[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2021018630A - Alarm aggregation sorting device and alarm aggregation sorting method - Google Patents

Alarm aggregation sorting device and alarm aggregation sorting method Download PDF

Info

Publication number
JP2021018630A
JP2021018630A JP2019134369A JP2019134369A JP2021018630A JP 2021018630 A JP2021018630 A JP 2021018630A JP 2019134369 A JP2019134369 A JP 2019134369A JP 2019134369 A JP2019134369 A JP 2019134369A JP 2021018630 A JP2021018630 A JP 2021018630A
Authority
JP
Japan
Prior art keywords
alarm
aggregation
sorting
level
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019134369A
Other languages
Japanese (ja)
Other versions
JP7034989B2 (en
Inventor
慎一郎 山本
Shinichiro Yamamoto
慎一郎 山本
易子 森野
Yasuko Morino
易子 森野
智 宮澤
Satoshi Miyazawa
智 宮澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Corp filed Critical SoftBank Corp
Priority to JP2019134369A priority Critical patent/JP7034989B2/en
Publication of JP2021018630A publication Critical patent/JP2021018630A/en
Application granted granted Critical
Publication of JP7034989B2 publication Critical patent/JP7034989B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Alarm Systems (AREA)

Abstract

To provide an alarm aggregation sorting device and an alarm aggregation sorting method capable of allocating a human resource only to alarms that a maintenance person should truly deal with.SOLUTION: In a network management system 1, an alarm aggregation sorting device 100 is a device that aggregates alarms from monitored systems, and causes a computer device to execute an aggregation function (alarm aggregation unit 101) of aggregating acquired alarm information according to a predetermined attribute, a sorting function (alarm sorting unit 102) of sorting the aggregated alarm information according to a predetermined condition, and a notification function (alarm notification unit 103) of notifying about the sorted alarm information.SELECTED DRAWING: Figure 1

Description

本発明は、警報集約選別装置及び警報集約選別方法に関する。 The present invention relates to an alarm aggregation sorting device and an alarm aggregation sorting method.

監視対象となるネットワークにおいて、少ない人数の保守担当者でも確実に警告通知を可能とする通知方法が種々提案されている。例えば、特許文献1には、ネットワーク管理システムからの警報情報に基づいて故障情報を作成し、故障情報に従って選択された言語で選択された通知先に選択された通知メディアに対応させた故障メッセージを通知し、トラブルチケットを起票する通知方法が開示されている。 Various notification methods have been proposed that enable a small number of maintenance personnel to reliably notify a warning in a network to be monitored. For example, in Patent Document 1, failure information is created based on alarm information from a network management system, and a failure message corresponding to a notification medium selected as a notification destination selected in a language selected according to the failure information is provided. A notification method for notifying and issuing a trouble ticket is disclosed.

特開2000−259563号公報JP-A-2000-259563

しかし、特許文献1の技術によれば、監視対象となるネットワークにおいて警報は日常的に多数発生する一方、保守担当者が直接対処しなければならない故障は全てではない。このため、人的資源を効率的に活用することができていなかった。 However, according to the technique of Patent Document 1, while a large number of alarms are generated on a daily basis in a network to be monitored, not all failures must be dealt with directly by a maintenance person. For this reason, human resources could not be utilized efficiently.

そこで、本発明は、真に保守担当者が対処すべき警報のみに人的資源を振り分けることができる警報集約選別装置及び警報集約選別方法を提供することを目的とする。 Therefore, an object of the present invention is to provide an alarm aggregation sorting device and an alarm aggregation sorting method capable of allocating human resources only to alarms that a maintenance person should truly deal with.

本発明の一態様に係る警報集約選別装置は、監視対象システムからの警報を集約する警報集約選別装置であって、取得した警報情報を所定の属性に沿って集約する集約機能と、集約された警報情報を所定の条件に従って選別する選別機能と、選別された警報情報について報知する報知機能と、をコンピュータ装置に実行させる。 The alarm aggregation and sorting device according to one aspect of the present invention is an alarm aggregation and sorting device that aggregates alarms from a monitored system, and has an aggregation function that aggregates acquired alarm information according to a predetermined attribute. A computer device is made to execute a sorting function for selecting alarm information according to a predetermined condition and a notification function for notifying the selected alarm information.

この態様によれば、所定の条件に従って選別された警報情報のみが報知されるので、真に担当者が対処すべき警報のみに人的資源を振り分けることができる。 According to this aspect, since only the alarm information selected according to a predetermined condition is notified, the human resource can be allocated only to the alarm that the person in charge should truly deal with.

上記態様において、選別するための条件は、当該警報が静観対象ではないこと、当該警報の危険度が所定レベル以上であること、当該警報に対する対応情報を保持していないこと、当該警報が所定の多量発生基準を満たしていないこと、のいずれか一つ以上を満たすことが好ましい。 In the above aspect, the conditions for sorting are that the alarm is not a subject of waiting, the risk level of the alarm is at a predetermined level or higher, the response information for the alarm is not retained, and the alarm is predetermined. It is preferable that one or more of the criteria for mass generation are not satisfied.

上記態様において、集約するための属性は、当該警報が発生したシステム、当該警報の危険度を示すレベル、当該警報の種類、当該警報の発生原因、のいずれか一つ以上を満たすことが好ましい。 In the above aspect, it is preferable that the attribute for aggregation satisfies any one or more of the system in which the alarm is generated, the level indicating the risk level of the alarm, the type of the alarm, and the cause of the alarm.

本発明の他の態様に係る警報集約選別方法は、監視対象システムからの警報を集約する警報集約選別方法であって、取得した警報情報を所定の属性に沿って集約する集約ステップと、集約された警報情報を所定の条件に従って選別する選別ステップと、選別された警報情報について報知する報知ステップと、を有する。 The alarm aggregation and selection method according to another aspect of the present invention is an alarm aggregation and selection method that aggregates alarms from a monitored system, and is aggregated with an aggregation step that aggregates acquired alarm information according to a predetermined attribute. It has a sorting step for sorting the alarm information according to a predetermined condition, and a notification step for notifying the sorted alarm information.

本発明によれば、真に保守担当者が対処すべき警報のみに人的資源を振り分けることができる警報集約選別装置及び警報集約選別方法を提供することができる。 According to the present invention, it is possible to provide an alarm aggregation sorting device and an alarm aggregation sorting method capable of allocating human resources only to alarms that a maintenance person should truly deal with.

本発明に係る警報集約選別装置の一実施形態を適用するネットワーク管理システムの全体構成図である。It is an overall block diagram of the network management system to which one Embodiment of the alarm aggregation sorting apparatus which concerns on this invention apply. 本実施形態の警報集約選別装置の機能を実行するコンピュータ装置のブロック図である。It is a block diagram of the computer apparatus which executes the function of the alarm aggregation sorting apparatus of this embodiment. 本実施形態の警報集約選別装置の警報集約機能の説明図である。It is explanatory drawing of the alarm aggregation function of the alarm aggregation sorting apparatus of this embodiment. 本実施形態の警報集約選別装置の警報選別機能の説明図である。It is explanatory drawing of the alarm sorting function of the alarm aggregation sorting apparatus of this embodiment. 本実施形態における選別パターン1の説明図である。It is explanatory drawing of the selection pattern 1 in this embodiment. 本実施形態における選別パターン2の説明図である。It is explanatory drawing of the selection pattern 2 in this embodiment. 本実施形態における選別パターン3の説明図である。It is explanatory drawing of the selection pattern 3 in this embodiment. 本実施形態における選別パターン4の説明図である。It is explanatory drawing of the selection pattern 4 in this embodiment. 本実施形態の警報集約選別装置の自動報知機能の説明図である。It is explanatory drawing of the automatic notification function of the alarm aggregation sorting apparatus of this embodiment. 本実施形態における警報レベルと自動報知の割付例の説明図である。It is explanatory drawing of the allocation example of the alarm level and automatic notification in this embodiment. 本実施形態の警報集約選別方法のフローチャートである。It is a flowchart of the alarm aggregation selection method of this embodiment.

添付図面を参照して、本発明の好適な実施形態について説明する。 Preferred embodiments of the present invention will be described with reference to the accompanying drawings.

[警報集約選別装置の構成]
まず、図1から図10を参照して、本発明に係る警報集約選別装置の一実施形態について説明する。図1は、本実施形態の警報集約選別装置を適用するネットワーク管理システムの全体構成図である。
[Configuration of alarm aggregation sorting device]
First, an embodiment of the alarm aggregation sorting device according to the present invention will be described with reference to FIGS. 1 to 10. FIG. 1 is an overall configuration diagram of a network management system to which the alarm aggregation sorting device of the present embodiment is applied.

図1に示すように、ネットワーク管理システム1は、警報検出装置10と、警報集約選別装置100と、端末装置20と、を備える。警報検出装置10は、監視対象となるネットワークシステムに生じる多数の警報を検出する機能を有する。警報集約選別装置100は、監視対象ネットワークシステムからの警報を集約する装置であって、警報集約部101と、警報選別部102と、警報報知部103と、を備える。端末装置20は、警報報知部40からの警報情報を表示する機能を有する。 As shown in FIG. 1, the network management system 1 includes an alarm detection device 10, an alarm aggregation sorting device 100, and a terminal device 20. The alarm detection device 10 has a function of detecting a large number of alarms generated in a network system to be monitored. The alarm aggregation sorting device 100 is a device that aggregates alarms from the monitored network system, and includes an alarm aggregation unit 101, an alarm sorting unit 102, and an alarm notification unit 103. The terminal device 20 has a function of displaying alarm information from the alarm notification unit 40.

次に、図2を参照して、警報集約選別装置100の機能を実行するコンピュータ装置200のハードウェア構成例について説明する。図2は、本実施形態の警報集約選別装置の機能を実行するコンピュータ装置のブロック図である。図2に示すように、コンピュータ装置200は、主なハードウェア構成として、制御部201と、記憶装置204と、警報集約部101と、警報選別部102と、警報報知部103と、インタフェース205とを含む。 Next, a hardware configuration example of the computer device 200 that executes the function of the alarm aggregation sorting device 100 will be described with reference to FIG. FIG. 2 is a block diagram of a computer device that executes the function of the alarm aggregation sorting device of the present embodiment. As shown in FIG. 2, the computer device 200 has a control unit 201, a storage device 204, an alarm aggregation unit 101, an alarm sorting unit 102, an alarm notification unit 103, and an interface 205 as main hardware configurations. including.

制御部201は、CPU(Central Processing Unit)202及びメモリ203を含む。コンピューティング装置200は、例えば、CPU202がメモリ203及び記憶装置204等に格納された所定のソフトウェアプログラム(例えば、警報集約選別プログラム)を実行することにより、他のハードウェア構成の処理及び動作を制御することにより、各種の機能を実現する。即ち、コンピュータ装置200は、制御部201の制御の下、所定のプログラムを実行することにより、他のハードウェアと協働して警報集約選別機能を実現する。なお、図2には、コンピュータ装置200が備える主要な構成が示されているにすぎず、コンピュータ装置200は、一般的な情報処理装置が備える他の構成も備える。 The control unit 201 includes a CPU (Central Processing Unit) 202 and a memory 203. The computing device 200 controls the processing and operation of other hardware configurations by, for example, the CPU 202 executing a predetermined software program (for example, an alarm aggregation selection program) stored in the memory 203, the storage device 204, or the like. By doing so, various functions are realized. That is, the computer device 200 realizes the alarm aggregation selection function in cooperation with other hardware by executing a predetermined program under the control of the control unit 201. Note that FIG. 2 only shows the main configurations included in the computer device 200, and the computer device 200 also includes other configurations included in a general information processing device.

記憶装置204は、ハードディスク等により構成される。記憶装置204は、制御部201によりデータ読み出し及び書き込みが行われる。すなわち、記憶装置204には、コンピュータ装置200における処理に必要なソフトウェアプログラムなどのデータが書き込まれており、さらに、当該処理の結果のデータが書き込まれる。警報集約部101は、警報検出装置10から取得した警報情報を所定の属性に沿って集約する警報集約機能を有する。警報選別部103は、警報集約部102で集約された警報情報を所定の条件に従って選別する選別機能を有する。警報報知部103は、警報選別部103で選別された警報情報について報知する報知機能を有する。周辺装置インタフェース205は、コンピュータ装置200が操作入力装置206や端末装置20等の周辺機器との間の通信を可能にするインタフェースである。 The storage device 204 is composed of a hard disk or the like. In the storage device 204, data is read and written by the control unit 201. That is, data such as a software program required for processing in the computer device 200 is written in the storage device 204, and further, data as a result of the processing is written in the storage device 204. The alarm aggregation unit 101 has an alarm aggregation function that aggregates alarm information acquired from the alarm detection device 10 according to a predetermined attribute. The alarm sorting unit 103 has a sorting function that sorts the alarm information collected by the alarm collecting unit 102 according to a predetermined condition. The alarm notification unit 103 has a notification function for notifying the alarm information selected by the alarm selection unit 103. The peripheral device interface 205 is an interface that enables the computer device 200 to communicate with peripheral devices such as the operation input device 206 and the terminal device 20.

次に、図2及び図3を参照して、本実施形態の警報集約選別装置100の警報集約機能について説明する。図3は、本実施形態の警報集約選別装置の警報集約機能の説明図である。図2を参照して説明したように、警報検出装置10から取得した警報情報は、警報集約部101において、所定の属性に沿って集約される。図3に示すように、警報情報を集約するための属性は、当該警報が発生したシステム31、当該警報の危険度を示す警報レベル32、当該警報の種類33、当該警報の発生原因34、のいずれか一つ以上に沿って集約することが好ましい。 Next, the alarm aggregation function of the alarm aggregation sorting device 100 of the present embodiment will be described with reference to FIGS. 2 and 3. FIG. 3 is an explanatory diagram of the alarm aggregation function of the alarm aggregation sorting device of the present embodiment. As described with reference to FIG. 2, the alarm information acquired from the alarm detection device 10 is aggregated by the alarm aggregation unit 101 according to a predetermined attribute. As shown in FIG. 3, the attributes for aggregating the alarm information are the system 31 in which the alarm was generated, the alarm level 32 indicating the risk level of the alarm, the type 33 of the alarm, and the cause 34 of the alarm. It is preferable to aggregate along any one or more.

システム31は、監視対象となるネットワークシステムにおいて、当該警報が発生したシステムに応じてノードを特定する属性である。システム31は、例えば、システムA…システムXのように、当該警報が発生したシステムに応じて集約するので、対象システムやノードを特定できる。警報レベル32は、当該警報の危険度を示すレベルに応じて集約する属性である。警報レベル32は、例えば、レベルA、レベルB…レベルXのように、当該警報の危険度を示すレベルに応じて集約するので、当該警報の緊急度に応じた報知ができる。警報の種類33は、同種の警報情報(メッセージ)を適用するグループ属性である。警報の種類33は、例えば、メッセージグループ1、メッセージグループ2…メッセージグループXのように、当該警報の種類に応じて集約するので、適切な自動報知メッセージを特定できる。発生原因34は、当該警報のトリガーとなる発生原因で集約する属性である。発生原因34は、例えば、トオリガー1、トリガー2、トリガー3、トリガー4…トリガーN、トリガーX、トリガーYのように、当該警報の発生原因に応じて集約するので、適切な自動報知メッセージを特定できる。トリガーが異なれば原則1警報として扱うが、1回のポーリングで得られた複数の警報情報について、同一のシステム/メッセージグループ/トリガー名単位で集約処理を行い、1インシデント(事象)として起票発行する。ここで、「ポーリング」とは、装置側がネットワークに対し一定の間隔で警報情報のアップを要求することをいう。 The system 31 is an attribute that identifies a node according to the system in which the alarm is generated in the network system to be monitored. Since the system 31 aggregates according to the system in which the alarm is generated, such as system A ... system X, the target system or node can be specified. The alarm level 32 is an attribute that is aggregated according to the level indicating the risk level of the alarm. Since the alarm level 32 is aggregated according to the level indicating the danger level of the alarm, for example, level A, level B ... level X, it is possible to notify according to the urgency of the alarm. The alarm type 33 is a group attribute to which the same type of alarm information (message) is applied. Since the alarm types 33 are aggregated according to the type of the alarm, such as message group 1, message group 2 ... Message group X, an appropriate automatic notification message can be specified. The occurrence cause 34 is an attribute that is aggregated by the occurrence cause that triggers the alarm. The occurrence cause 34 is aggregated according to the occurrence cause of the alarm, such as Toliger 1, Trigger 2, Trigger 3, Trigger 4 ... Trigger N, Trigger X, Trigger Y, so that an appropriate automatic notification message is specified. it can. If the triggers are different, it is treated as one alarm in principle, but multiple alarm information obtained by one polling is aggregated for the same system / message group / trigger name unit, and a draft is issued as one incident (event). To do. Here, "polling" means that the device side requests the network to upload alarm information at regular intervals.

次に、図2及び図4を参照して、本実施形態の警報集約選別装置100の警報選別機能について説明する。図2を参照して説明したように、警報集約部102で集約された警報情報は、警報選別部102において、所定の条件に従って選別される。集約された警報を選別するための条件は、当該警報が静観対象ではないこと、当該警報の危険度が所定のレベル以上であること、当該警報に対する対応手順等の対応情報(ナレッジ情報)を保持していないこと、当該警報が所定の多量発生基準を満たしていないこと、のいずれか一つ以上を満たしていることが好ましい。 Next, the alarm sorting function of the alarm aggregation sorting device 100 of the present embodiment will be described with reference to FIGS. 2 and 4. As described with reference to FIG. 2, the alarm information aggregated by the alarm summarizing unit 102 is sorted by the alarm sorting unit 102 according to a predetermined condition. The conditions for selecting the aggregated alarms are that the alarm is not a wait-and-see target, that the risk level of the alarm is at a predetermined level or higher, and that the response information (knowledge information) such as the response procedure for the alarm is retained. It is preferable that one or more of the above-mentioned warnings and the warnings do not meet the predetermined mass generation criteria.

図4は、本実施形態の警報集約選別装置の警報選別機能の説明図である。図4に示すように、警報選別機能は、集約された全警報に対して、静観対象41、警報レベル42、対応情報の有無43及び大量発報44の条件に従って、自動起票対象となる警報を選別する。静観対象41は、当該警報が静観対象であるか否かを判断し、静観でない警報を選別する。警報レベル42は、当該警報が危険域、重要警戒域、警戒域、特別注意域、注意域のどの危険レベルにあるかを判断し、警戒域以上である場合の警報を選別する。対応情報有無43は、当該警報に対する対応手順等の対応情報を保持しているか否かを判断し、対応情報がない場合に選別する。大量発報44は、当該警報が所定の多量発生基準を満たしているか否かを判断し、多量発生基準を満たしていない場合に選別する。本実施形態では、当該警報が静観対象ではないこと、当該警報の危険度が所定のレベル以上であること、当該警報に既に対応した旨の情報を保持していないこと、当該警報が所定の多量発生基準を満たしていないこと、の条件を段階的に判断し、自動起票対象警報として選別する。 FIG. 4 is an explanatory diagram of the alarm sorting function of the alarm aggregation sorting device of the present embodiment. As shown in FIG. 4, the alarm selection function automatically issues an alarm for all the aggregated alarms according to the conditions of the wait-and-see target 41, the alarm level 42, the presence / absence of corresponding information 43, and the mass alert 44. To sort out. The wait-and-see object 41 determines whether or not the alarm is a wait-and-see target, and selects an alarm that is not a wait-and-see. The alarm level 42 determines which of the danger levels the warning is in the danger zone, the important warning zone, the warning zone, the special caution zone, and the caution zone, and selects the alarm when the warning is above the warning zone. The response information presence / absence 43 determines whether or not the response information such as the response procedure for the alarm is retained, and selects if there is no response information. The mass alarm 44 determines whether or not the alarm meets a predetermined mass generation standard, and selects if the alarm does not meet the mass generation standard. In the present embodiment, the alarm is not a subject of waiting, the risk level of the alarm is at a predetermined level or higher, the information that the alarm has already been dealt with is not held, and the alarm has a predetermined large amount. The condition that the occurrence standard is not met is judged step by step and selected as an automatic drafting target alarm.

次に、図5から図8を参照して、本実施形態の警報選別機能の選別パターンについて説明する。図5は、本実施形態における選別パターン1の説明図である。図5に示すように、選別パターン1は、警報情報の警報レベルを選別対象とし、静観情報や対応情報は参考にしない。即ち、選別パターン1は、警報レベルが危険域以上である場合に自動起票対象とする選別パターンである。選別パターン1においては、メッセージグループがアプリケーション(AP)であるか、データベース(DB)であるか、警報メッセージの種類に拘わらず、自動起票対象とする。 Next, the selection pattern of the alarm selection function of the present embodiment will be described with reference to FIGS. 5 to 8. FIG. 5 is an explanatory diagram of the selection pattern 1 in the present embodiment. As shown in FIG. 5, in the selection pattern 1, the alarm level of the alarm information is selected, and the wait-and-see information and the corresponding information are not referred to. That is, the selection pattern 1 is a selection pattern to be automatically drafted when the alarm level is equal to or higher than the danger range. In the selection pattern 1, regardless of whether the message group is an application (AP), a database (DB), or the type of alarm message, the automatic drafting target is set.

図6は、本実施形態における選別パターン2の説明図である。図6に示すように、選別パターン2は、警報情報の警報メッセージの種類を選別対象とし、静観情報や対応情報は参考にしない。即ち、選別パターン2は、警報メッセージが「エラー(error)メッセージ」である場合に自動起票対象とする選別パターンである。選別パターン2においては、警報レベルが危険域にあっても、警報メッセージがエラー(error)メッセージでなければ自動起用の対象としない。また、選別パターン2では、メッセージグループがアプリケーション(AP)であるか、データベース(DB)であるかに拘わらず、自動起票対象とする。なお、選別パターン2において、システムAのノード(Node)1、メッセージグループDBは、警報レベルが危険域にあるが、警報メッセージが「CPUが50%を超過しました」であって静観情報に存在するので、自動起票対象としない。 FIG. 6 is an explanatory diagram of the selection pattern 2 in the present embodiment. As shown in FIG. 6, the sorting pattern 2 targets the type of the warning message of the warning information as the sorting target, and does not refer to the wait-and-see information or the corresponding information. That is, the selection pattern 2 is a selection pattern that is automatically drafted when the alarm message is an "error message". In the selection pattern 2, even if the alarm level is in the danger zone, if the alarm message is not an error message, it is not subject to automatic use. Further, in the selection pattern 2, regardless of whether the message group is an application (AP) or a database (DB), the automatic drafting target is set. In the selection pattern 2, the alarm level of the node 1 and the message group DB of the system A is in the danger zone, but the alarm message is "CPU has exceeded 50%" and exists in the wait-and-see information. Therefore, it is not subject to automatic drafting.

図7は、本実施形態における選別パターン3の説明図である。図7に示すように、選別パターン3は、警報情報のみならず、静観情報や対応情報を参考に選別する。即ち、選別パターン3において、システムAのノード(Node)1、メッセージグループAPは、警報レベルが危険域にあり、警報メッセージが「エラー(error)メッセージ」であるが、対応情報が存在するので、自動起票対象としない。また、システムAのノード(Node)1、メッセージグループDBは、警報レベルが危険域にあり、警報メッセージが「CPUが50%を超過しました」であるが、静観情報が存在するので自動起票対象としない。これに対し、システムAのノード(Node)2、メッセージグループAPは、警報レベルが危険域にあって、かつ警報メッセージが「エラー(error)メッセージ」であり、静観情報及び対応が存在しないので自動起用の対象とする。また、システムBのノード(Node)1、メッセージグループAPは、警報レベルが危険域にあって、かつ警報メッセージが「エラー(error)メッセージ」であり、静観情報及び対応が存在しないので自動起用の対象とする。 FIG. 7 is an explanatory diagram of the selection pattern 3 in the present embodiment. As shown in FIG. 7, the selection pattern 3 selects not only the alarm information but also the wait-and-see information and the correspondence information. That is, in the selection pattern 3, the node 1 of the system A and the message group AP have an alarm level in the danger zone and the alarm message is an "error message", but the corresponding information exists. Not subject to automatic drafting. In addition, the alarm level of the node 1 and the message group DB of the system A is in the danger zone, and the alarm message is "CPU has exceeded 50%", but since there is wait-and-see information, it is automatically issued. Not targeted. On the other hand, the node 2 of the system A and the message group AP are automatic because the alarm level is in the danger zone and the alarm message is an "error message" and there is no wait-and-see information and no response. Target for appointment. Further, the node 1 of the system B and the message group AP are automatically appointed because the alarm level is in the danger zone, the alarm message is an "error message", and there is no wait-and-see information and no response. set to target.

図8は、本実施形態における選別パターン4の説明図である。図8に示すように、選別パターン4は、警報情報の同一システム・同一ノード(Node)、同一メッセージグループにおいて、警報が多数回繰り返される場合の選別パターンである。即ち、同一のシステム/ノード/メッセージグループにおいて大量警報(例えば30件以上)が発生した場合は、重大障害が発生した可能性があるものと判断し、大量発生の印をつけ、個別対応ではない統制対応とする。 FIG. 8 is an explanatory diagram of the selection pattern 4 in the present embodiment. As shown in FIG. 8, the selection pattern 4 is a selection pattern in which the alarm is repeated many times in the same system, the same node (Node), and the same message group of the alarm information. That is, if a large number of alarms (for example, 30 or more) occur in the same system / node / message group, it is judged that a serious failure may have occurred, and a large number of occurrences are marked, and it is not an individual response. It will be controlled.

次に、図9を参照して、本実施形態の警報集約選別装置100の自動報知機能について説明する。図9は、本実施形態の警報集約選別装置の自動報知機能の説明図である。図9に示すように、自動起票対象警報91は、警報レベル毎に振り分けて端末装置20に自動報知される。例えば、警報レベル32が危険域及び重要警戒域にある場合は、緊急性を要するため、保守担当者21の端末装置20に自動架電される。また、警報レベル32が警戒域にある場合は、緊急性を要しないため、保守担当者21の端末装置20にメール送信される。統制対応の必要なもの(大量発報、対応情報がある警報、危険域警報)の場合は、保守担当者21の警報ランプを鳴動させるようにしてもよい。 Next, with reference to FIG. 9, the automatic notification function of the alarm aggregation sorting device 100 of the present embodiment will be described. FIG. 9 is an explanatory diagram of an automatic notification function of the alarm aggregation sorting device of the present embodiment. As shown in FIG. 9, the automatic drafting target alarm 91 is sorted according to the alarm level and automatically notified to the terminal device 20. For example, when the alarm level 32 is in the danger zone and the critical alert zone, the terminal device 20 of the maintenance person 21 is automatically called because of the urgency. Further, when the alarm level 32 is in the warning zone, an e-mail is sent to the terminal device 20 of the maintenance person 21 because there is no need for urgency. In the case of items requiring control response (mass alarm, alarm with response information, danger zone alarm), the alarm lamp of the maintenance person 21 may be sounded.

次に、図10を参照して、本実施形態における警報レベルと自動報知の割付例を説明する。図10は、本実施形態における警報レベルと自動報知の割付例の説明図である。図10に示すように、警報集約機能による処理を行う際に、警報レベルを参照し、警報レベル毎に処理を変更する。警報レベルは、例えば、注意域、特別注意域、警戒域、重要警戒域、危険域のレベルに分類される。注意域は、システムの軽微な警告やインシデントの予防を促すイベントであり、対処を実施しなくてもサービスへの影響は発生しない。特別注意域は、システムリソースの注意を促すイベントであり、経過観察が必要な事象である。サービスへの影響は発生しない。警戒域は、システムに異常が発生しているが、翌日以降に適切な対処をする事でサービスへの影響は発生しない。重要警戒域は、システムに異常が発生しているが即時に適切な対処をする事でサービスへの影響は発生しない。危険域は、システムに異常が発生しており、一部のサービスが利用不可、または特定のデータ不正や処理異常が発生する可能性がある。 Next, with reference to FIG. 10, an example of allocating the alarm level and the automatic notification in the present embodiment will be described. FIG. 10 is an explanatory diagram of an allocation example of an alarm level and an automatic notification in the present embodiment. As shown in FIG. 10, when performing the processing by the alarm aggregation function, the alarm level is referred to and the processing is changed for each alarm level. The warning level is classified into, for example, a caution zone, a special caution zone, a caution zone, an important caution zone, and a danger zone. The attention zone is an event that encourages the prevention of minor system warnings and incidents, and does not affect the service even if no action is taken. The special attention zone is an event that calls attention to system resources and requires follow-up. There is no impact on the service. In the caution area, there is an abnormality in the system, but if appropriate measures are taken the next day or later, the service will not be affected. In the important caution area, although an abnormality has occurred in the system, the service will not be affected by taking appropriate measures immediately. In the danger zone, an abnormality has occurred in the system, some services may not be available, or specific data fraud or processing abnormality may occur.

警報レベル毎にサービスへの影響及び基本対応の「あり、なし」を判断する。基本対応においては、インシデント(事象)の登録、自動報知方法(メール、電話)、業務影響確認の「あり、なし」を判断する。そして、図10におけるRの範囲をロジック化して、自動報知の割り付けを行う。 Judge the impact on the service and "yes / no" of the basic response for each alarm level. In the basic response, it is judged whether or not there is an incident (event) registration, automatic notification method (email, telephone), and business impact confirmation. Then, the range of R in FIG. 10 is made into a logic, and automatic notification is assigned.

[警報集約選別装置の作用、警報集約選別方法]
次に、本実施形態の警報集約選別装置100の作用を説明しながら、本実施形態の警報集約選別方法について説明する。本実施形態の警報集約選別方法は、監視対象システムからの警報を集約する警報集約選別方法である。本実施形態の警報集約選別方法は、取得した警報情報を所定の属性に沿って集約する警報集約ステップと、集約された警報情報を所定の条件に従って選別する選別ステップと、選別された警報情報について報知する報知ステップと、を有する。
[Operation of alarm aggregation sorting device, alarm aggregation sorting method]
Next, the alarm aggregation sorting method of the present embodiment will be described while explaining the operation of the alarm aggregation sorting device 100 of the present embodiment. The alarm aggregation selection method of the present embodiment is an alarm aggregation selection method that aggregates alarms from the monitored system. The alarm aggregation sorting method of the present embodiment includes an alarm aggregation step that aggregates the acquired alarm information according to a predetermined attribute, a selection step that selects the aggregated alarm information according to a predetermined condition, and the selected alarm information. It has a notification step for notifying.

以下、図1、図2及び図11を参照して、本実施形態の警報集約選別方法を具体的に説明する。図11は、本実施形態の警報集約選別方法のフローチャートである。図1、図2及び図11に示すように、警報検出装置10が監視対象となるネットワークシステムから警報を検出すると、警報集約選別装置100は、警報検出装置10から警報情報を取得する(S310)。次に、警報集約選別装置100の警報集約部101は、警報を集約するために警報の属性を判断する(S320)。警報の属性は、当該警報が発生したシステム、当該警報の危険度を示すレベル、当該警報の種類、当該警報の発生原因、のいずれか一つ以上に沿っている。さらに、警報集約部101は、警報の属性に基づいて、警報を集約する(S330)。 Hereinafter, the alarm aggregation selection method of the present embodiment will be specifically described with reference to FIGS. 1, 2 and 11. FIG. 11 is a flowchart of the alarm aggregation selection method of the present embodiment. As shown in FIGS. 1, 2 and 11, when the alarm detection device 10 detects an alarm from the network system to be monitored, the alarm aggregation sorting device 100 acquires the alarm information from the alarm detection device 10 (S310). .. Next, the alarm aggregation unit 101 of the alarm aggregation sorting device 100 determines the attribute of the alarm in order to aggregate the alarms (S320). The attributes of the alarm are in line with one or more of the system in which the alarm was generated, the level indicating the degree of danger of the alarm, the type of the alarm, and the cause of the alarm. Further, the alarm aggregation unit 101 aggregates alarms based on the attributes of the alarms (S330).

次に、警報集約選別装置100の警報選別部102は、警報集約部101において集約された警報が所定の条件を満たすか否かを判断する(S340)。本実施形態において選別するための条件は、当該警報が静観対象ではないこと、当該警報の危険度が所定レベル以上であること、当該警報に既に対応した旨の情報を保持していないこと、当該警報が所定の多量発生基準を満たしていないこと、のいずれか一つ以上を満たすことが好ましい。警報選別部102は、所定の条件を満たすと判断した場合(S340/YES)は、警報を選別する(S350)。警報選別部102は、所定の条件を満たさないと判断した場合(S340/NO)は、警報選別部102は選別条件の判断を続ける(S340)。 Next, the alarm sorting unit 102 of the alarm aggregation sorting device 100 determines whether or not the alarms aggregated by the alarm aggregation unit 101 satisfy a predetermined condition (S340). The conditions for selection in the present embodiment are that the alarm is not a subject of waiting, that the risk level of the alarm is at a predetermined level or higher, that information that the alarm has already been dealt with is not retained, and that the alarm is not retained. It is preferable that one or more of the alarms do not meet the predetermined mass generation criteria. When the alarm sorting unit 102 determines that the predetermined condition is satisfied (S340 / YES), the alarm sorting unit 102 sorts the alarm (S350). When the alarm sorting unit 102 determines that the predetermined condition is not satisfied (S340 / NO), the alarm sorting unit 102 continues to determine the sorting condition (S340).

次に、警報選別部102は、選別された警報レベルが所定のレベル以上であるか否かを判断する(S360)。警報レベルは、例えば、注意域、特別注意域、警戒域、重要警戒域、危険域のレベルに分類される。本実施形態における所定のレベルは、例えば、危険域以上とする。警報選別部102は、警報レベルが所定のレベル以上であると判断した場合(S360/YES)は、大量警報であるか否かを判断する(S370)。警報選別部102は、警報レベルが所定のレベル未満であると判断した場合(S360/NO)は、警報レベルが所定のレベルか否かの判断を続ける(S360)。 Next, the alarm sorting unit 102 determines whether or not the sorted alarm level is equal to or higher than a predetermined level (S360). The warning level is classified into, for example, a caution zone, a special caution zone, a caution zone, an important caution zone, and a danger zone. The predetermined level in this embodiment is, for example, above the danger zone. When the alarm sorting unit 102 determines that the alarm level is equal to or higher than a predetermined level (S360 / YES), it determines whether or not it is a mass alarm (S370). When the alarm sorting unit 102 determines that the alarm level is less than a predetermined level (S360 / NO), the alarm sorting unit 102 continues to determine whether or not the alarm level is a predetermined level (S360).

警報選別部102は、大量警報でないと判断した場合(S370/NO)は、自動起票対象とする(S380)。警報集約選別装置100の警報報知部103は、インタフェース205を介して端末装置20へ自動報知を行い(S390)、処理を終了する。警報選別部102は、大量警報であると判断した場合(S370/YES)は、自動起票対象としない(S400)。この場合、警報報知部103は警報ランプを鳴動させて(S410)、処理を終了する。 When the alarm sorting unit 102 determines that it is not a mass alarm (S370 / NO), it is subject to automatic drafting (S380). The alarm notification unit 103 of the alarm aggregation sorting device 100 automatically notifies the terminal device 20 via the interface 205 (S390), and ends the process. When the alarm sorting unit 102 determines that it is a mass alarm (S370 / YES), it is not subject to automatic drafting (S400). In this case, the alarm notification unit 103 sounds the alarm lamp (S410) and ends the process.

以上説明したように、本実施形態の警報集約選別装置100は、取得した警報情報を所定の属性に沿って集約する警報集約機能と、集約された警報情報を所定の条件に従って選別する選別機能と、選別された警報情報について報知する報知機能と、をコンピュータ装置に実行させる。したがって、本実施形態の警報集約選別装置100によれば、所定の条件に従って選別された警報情報のみが報知されるので、真に担当者が対処すべき警報のみに人的資源を振り分けることができ、人的資源を有効活用することができる。 As described above, the alarm aggregation sorting device 100 of the present embodiment has an alarm aggregation function that aggregates the acquired alarm information according to a predetermined attribute, and a sorting function that sorts the aggregated alarm information according to a predetermined condition. , A notification function for notifying the selected alarm information, and a computer device are executed. Therefore, according to the alarm aggregation sorting device 100 of the present embodiment, only the alarm information selected according to a predetermined condition is notified, so that human resources can be allocated only to the alarms that the person in charge should truly deal with. , Human resources can be used effectively.

また、本実施形態において、警報を集約するための属性は、当該警報が発生したシステム、当該警報の危険度を示すレベル、当該警報の種類、当該警報の発生原因、のいずれか一つ以上に沿っている。当該警報が発生したシステムに応じて集約するので、対象システムやノードを特定することができる。また、当該警報の危険度を示すレベルに応じて集約するので、警報の緊急度に応じた報知ができる。さらに、当該警報の種類に応じて集約するので、適切な自動報知メッセージを特定することができる。そして、当該警報の発生原因に応じて集約するので、適切な自動報知メッセージを特定することができる。 Further, in the present embodiment, the attribute for aggregating the alarms is one or more of the system in which the alarm is generated, the level indicating the risk level of the alarm, the type of the alarm, and the cause of the alarm. Along. Since it is aggregated according to the system in which the alarm is generated, the target system or node can be specified. In addition, since the alarms are aggregated according to the level indicating the degree of danger, notification can be made according to the degree of urgency of the alarm. Further, since it is aggregated according to the type of the alarm, an appropriate automatic notification message can be specified. Then, since it is aggregated according to the cause of the occurrence of the alarm, an appropriate automatic notification message can be specified.

さらに、本実施形態において、集約された警報を選別するための条件は、当該警報が静観対象ではないこと、当該警報の危険度が所定レベル以上であること、当該警報に対する対応手順等の対応情報を保持していないこと、当該警報が所定の多量発生基準を満たしていないこと、のいずれか一つ以上を満たしている。静観対象ではないことを条件としたので、経過観察中の警報を報知対象から除外し、選別処理を効率化することができる。また、警報の危険度が所定レベル以上であることを条件としたので、緊急度の高くないものを報知対象から除外し、選別処理を効率化することができる。さらに、対応手順等の対応情報を保持していないことを条件としたので、無駄を排除し、選別処理を効率化することができる。そして、多量発生基準を満たしていないことを条件としたので、地震などの天災・災害時の大量警報には適切に統制対象にできる。 Further, in the present embodiment, the conditions for selecting the aggregated alarms are that the alarms are not subject to waiting, the risk level of the alarms is at a predetermined level or higher, and the response information such as the procedure for responding to the alarms. Does not hold, or the alarm does not meet the predetermined mass generation criteria, or one or more of them is satisfied. Since it is a condition that it is not a wait-and-see target, it is possible to exclude the alarm during follow-up observation from the notification target and improve the efficiency of the sorting process. Further, since it is a condition that the risk level of the alarm is equal to or higher than a predetermined level, it is possible to exclude those having a low urgency level from the notification targets and improve the efficiency of the sorting process. Further, since it is a condition that the correspondence information such as the correspondence procedure is not held, waste can be eliminated and the sorting process can be made more efficient. And since it is a condition that it does not meet the mass generation standard, it can be appropriately controlled for mass warning in the event of a natural disaster such as an earthquake.

以上説明した実施形態は、本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。実施形態が備える各要素並びにその配置、材料、条件、形状及びサイズ等は、例示したものに限定されるわけではなく適宜変更することができる。また、異なる実施形態で示した構成同士を部分的に置換し又は組み合わせることが可能である。 The embodiments described above are for facilitating the understanding of the present invention, and are not for limiting and interpreting the present invention. Each element included in the embodiment and its arrangement, material, condition, shape, size, etc. are not limited to those exemplified, and can be changed as appropriate. In addition, the configurations shown in different embodiments can be partially replaced or combined.

1…ネットワーク管理システム、10…警報検出装置、20…端末装置、21…保守担当者、100…警報集約選別装置、101…警報集約部、102…警報選別部、103…警報報知部、200…コンピュータ装置 1 ... Network management system, 10 ... Alarm detection device, 20 ... Terminal device, 21 ... Maintenance staff, 100 ... Alarm aggregation sorting device, 101 ... Alarm aggregation section, 102 ... Alarm sorting section, 103 ... Alarm notification section, 200 ... Computer equipment

Claims (4)

監視対象システムからの警報を集約する警報集約選別装置であって、
取得した警報情報を所定の属性に沿って集約する集約機能と、
集約された前記警報情報を所定の条件に従って選別する選別機能と、
選別された前記警報情報について報知する報知機能と、
をコンピュータ装置に実行させる、警報集約選別装置。
It is an alarm aggregation sorting device that aggregates alarms from the monitored system.
An aggregation function that aggregates the acquired alarm information according to predetermined attributes,
A sorting function that sorts the aggregated alarm information according to predetermined conditions,
A notification function for notifying the selected alarm information and
An alarm aggregation sorting device that causes a computer device to execute.
前記選別するための前記条件は、
当該警報が静観対象ではないこと、
当該警報の危険度が所定レベル以上であること、
当該警報に対する対応情報を保持していないこと、
当該警報が所定の多量発生基準を満たしていないこと、
のいずれか一つ以上を満たすことである、請求項1に記載の警報集約選別装置。
The conditions for the selection are
That the alarm is not subject to waiting,
The risk level of the alarm is above the specified level,
Not holding information on how to respond to the alarm,
The alarm does not meet the prescribed mass generation criteria,
The alarm aggregation sorting device according to claim 1, wherein any one or more of the above is satisfied.
前記集約するための前記属性は、
当該警報が発生したシステム、
当該警報の危険度を示すレベル、
当該警報の種類、
当該警報の発生原因、
のいずれか一つ以上を満たすことである、請求項1に記載の警報集約選別装置。
The attribute for summarizing is
The system in which the alarm was generated,
Level indicating the degree of danger of the alarm,
The type of alarm,
Cause of the alarm,
The alarm aggregation sorting device according to claim 1, wherein any one or more of the above is satisfied.
監視対象システムからの警報を集約する警報集約選別方法であって、
取得した警報情報を所定の属性に沿って集約する集約ステップと、
集約された前記警報情報を所定の条件に従って選別する選別ステップと、
選別された前記警報情報について報知する報知ステップと、
を有する、警報集約選別方法。
This is an alarm aggregation selection method that aggregates alarms from monitored systems.
An aggregation step that aggregates the acquired alarm information according to a predetermined attribute,
A sorting step for sorting the aggregated alarm information according to predetermined conditions, and
A notification step for notifying the selected alarm information and
An alarm aggregation sorting method having.
JP2019134369A 2019-07-22 2019-07-22 Alarm aggregation sorting device and alarm aggregation sorting method Active JP7034989B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019134369A JP7034989B2 (en) 2019-07-22 2019-07-22 Alarm aggregation sorting device and alarm aggregation sorting method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019134369A JP7034989B2 (en) 2019-07-22 2019-07-22 Alarm aggregation sorting device and alarm aggregation sorting method

Publications (2)

Publication Number Publication Date
JP2021018630A true JP2021018630A (en) 2021-02-15
JP7034989B2 JP7034989B2 (en) 2022-03-14

Family

ID=74563676

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019134369A Active JP7034989B2 (en) 2019-07-22 2019-07-22 Alarm aggregation sorting device and alarm aggregation sorting method

Country Status (1)

Country Link
JP (1) JP7034989B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113409555A (en) * 2021-05-31 2021-09-17 广州慧云网络科技有限公司 Real-time alarm linkage method and system based on Internet of things

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004336130A (en) * 2003-04-30 2004-11-25 Ntt Data Corp Network state monitoring system and program
JP2014003353A (en) * 2012-06-15 2014-01-09 Hitachi Ltd Network device, network system, and alert information processing method
WO2016208159A1 (en) * 2015-06-26 2016-12-29 日本電気株式会社 Information processing device, information processing system, information processing method, and storage medium
JP2017167578A (en) * 2016-03-14 2017-09-21 株式会社日立製作所 Incident management system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004336130A (en) * 2003-04-30 2004-11-25 Ntt Data Corp Network state monitoring system and program
JP2014003353A (en) * 2012-06-15 2014-01-09 Hitachi Ltd Network device, network system, and alert information processing method
WO2016208159A1 (en) * 2015-06-26 2016-12-29 日本電気株式会社 Information processing device, information processing system, information processing method, and storage medium
JP2017167578A (en) * 2016-03-14 2017-09-21 株式会社日立製作所 Incident management system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
郷間 佳市郎: "セキュリティ対策のツボ 第6回 複数のセキュリティ製品の情報を収集・分析するSIM −相関関係から本当", 日経NETWORK, vol. 2004年9月号(第53号), JPN6021001070, 22 August 2004 (2004-08-22), pages 115 - 119, ISSN: 0004427307 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113409555A (en) * 2021-05-31 2021-09-17 广州慧云网络科技有限公司 Real-time alarm linkage method and system based on Internet of things

Also Published As

Publication number Publication date
JP7034989B2 (en) 2022-03-14

Similar Documents

Publication Publication Date Title
CN111049705B (en) Method and device for monitoring distributed storage system
US9070121B2 (en) Approach for prioritizing network alerts
JP3927539B2 (en) System and method for monitoring software queuing applications
CN105573824B (en) Monitoring method and system for distributed computing system
CN105376100B (en) A kind of distributed warning rule evaluation method suitable for cloud platform monitoring resource
CN105471671A (en) Method for customizing monitoring rules of cloud platform resources
CN108170580A (en) A kind of rule-based log alarming method, apparatus and system
CN109656782A (en) Visual scheduling monitoring method, device and server
CN109218102A (en) A kind of alarm monitoring method and system
CN105471661A (en) Alarming processing method and system
CN105871581A (en) Method and device for processing of alarm information in cloud calculation
CN110764967A (en) High-performance monitoring alarm system, method and device and computer readable storage medium
JP7034989B2 (en) Alarm aggregation sorting device and alarm aggregation sorting method
KR20110037969A (en) Targeted user notification of messages in a monitoring system
CN112910733A (en) Full link monitoring system and method based on big data
CN109976967B (en) Payment and recovery monitoring and early warning method and system based on intelligent scheduling
CN111211938B (en) Biological information software monitoring system and method
KR20240072451A (en) System and method for log monitoring processing based on latent space
CN115941443A (en) Service abnormity warning method and system based on message queue
US20200382457A1 (en) Method and device for notifying event
JP6423755B2 (en) Display control apparatus, display control apparatus control method, and program
CN118331823B (en) Method and system for managing and monitoring alarm of space engineering business operation log
CN112948075B (en) Task congestion processing method and device and electronic equipment
CN110601875B (en) Information output method, information output apparatus, management device, and computer-readable storage medium
JP2013164668A (en) Fault monitoring system, incident tabulation method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191211

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210310

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210810

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220208

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220302

R150 Certificate of patent or registration of utility model

Ref document number: 7034989

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150