WO2010024133A1

WO2010024133A1 - 検出ルール生成装置、検出ルール生成方法及びコンピュータプログラム

Info

Publication number: WO2010024133A1
Application number: PCT/JP2009/064308
Authority: WO
Inventors: 祐介兼安; 泰久後藤
Original assignee: インターナショナル・ビジネス・マシーンズ・コーポレーション
Priority date: 2008-08-29
Filing date: 2009-08-13
Publication date: 2010-03-04
Also published as: KR20110048522A; US8612372B2; EP2336889A1; JP5274565B2; EP2336889A4; CN102138130A; US20100057667A1; JPWO2010024133A1

Abstract

【課題】作業者の熟練度合に左右されることなく適切なシンプトンを生成することができる検出ルール生成装置、検出ルール生成方法及びコンピュータプログラムを提供する。【解決手段】複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する。コンポーネント間の関連情報を含むシステムのシステム構成情報を取得し、ログ情報及び／又は障害発生時の各コンポーネントから出力される障害情報を含むシステムの履歴情報を収集する。システム構成情報及び履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定し、特定された候補イベントを提示する。提示された候補イベントに基づいて検出ルールを生成する。

Description

検出ルール生成装置、検出ルール生成方法及びコンピュータプログラム

　本発明は、作業者の熟練度に依存することなく、障害が発生したイベントをより精度良く検出することが可能な検出ルールを生成することができる検出ルール生成装置、検出ルール生成方法及びコンピュータプログラムに関する。

　昨今のコンピュータ技術の急速な発展により、コンピュータシステムは社会インフラを構築する基幹システムに当然のように組み込まれている。社会インフラを定常的に正常に運用するためには、相当の運用コストが発生する。斯かる運用コストを少しでも削減し、しかもシステムの安定度を高める技術としてオートノミック・コンピューティング・システムが注目されている。

オートノミック・コンピューティング・システムは、システム規模の自己管理型環境を構築する技術全体の総称であり、システムに生じた問題、障害等を検出して自律的に解消するシステム全般を意味している。システムに生じた問題、障害等を検出する方法は、多様な方法が開示されている。

例えば特許文献１では、障害発生イベントを常時監視しておき、障害が発生した場合には障害解析に必要な初期解析用データを電子メールで送信する保守管理システムが開示されている。また、特許文献２では、イベントと発生原因との対応関係及び障害の発生原因間の遷移を有限オートマトンでモデル化し、学習を繰り返すことにより障害の発生原因の推定精度を高める障害原因推定システムが開示されている。

さらに特許文献３では、システムを構成する構成機器、リソース等の構成情報を記憶しておき、障害発生時に記憶してある構成情報に基づいて発生原因を解析する障害解析装置が開示されており、特許文献４では、システムに含まれるコンポーネント間の依存関係を記憶しておき、表示されている依存関係に基づいて障害原因の候補となるコンポーネントを容易に特定することができる、障害発生の原因箇所を発見するための支援システムが開示されている。

特開２００１－００５６９２号公報特開２００７－２５７１８４号公報特開２００５－３１６７２８号公報特開２００８－０６５６６８号公報

　しかし、特許文献１に開示されている保守管理システムでは、障害解析に必要な初期解析用データを入手することができるものの、該初期解析用データにはシステムの構成情報が含まれておらず、システムごとに固有の障害要因を解析するためにはさらなる詳細情報を入手する必要があるという問題点があった。また、特許文献２に開示されている障害原因推定システムでは、障害が発生すればするほど障害原因の推定精度が高まることが期待されるが、そもそも基幹インフラに適用されるシステムにおいては障害の発生を未然に防止することが強く要求されており、実態に即した方法とは言えない。

　また、特許文献３では、システムの構成情報を、特許文献４ではコンポーネント間の依存関係を、それぞれ用いることで障害発生の原因箇所の推定精度を高めているが、いずれも事前に障害が生じたイベントを検出するための検出ルール、及び該検出ルールに障害検出時の推奨アクション、コメント等を付加した知識情報（以下、シンプトン：ＳＹＭＰＴＯＭ）を記憶しておくことが前提となる。したがって、検出ルールを含むシンプトン生成時の作業者の熟練度合に大きく依存するとともに、シンプトン生成の作業負担が多大である、生成されたシンプトンの中核をなす障害発生イベントの検出ルールの評価、改善等が困難であるという問題点があった。

　本発明は斯かる事情に鑑みてなされたものであり、作業者の熟練度合に左右されることなく適切なシンプトンを生成することができる検出ルール生成装置、検出ルール生成方法及びコンピュータプログラムを提供することを目的とする。

　上記目的を達成するために第１発明に係る検出ルール生成装置は、複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置において、前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得する構成情報取得手段と、ログ情報及び／又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集する履歴情報収集手段と、取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定する候補イベント特定手段と、特定された候補イベントを提示する候補イベント提示手段とを備えることを特徴とする。

　また、第２発明に係る検出ルール生成装置は、第１発明において、前記検出ルールを生成してデータベースに記憶する検出ルール生成・記憶手段と、記憶されている検出ルールに基づいて候補イベントを検出する候補イベント検出手段とを備え、前記候補イベント提示手段は、検出された前記候補イベントを提示するようにしてあることを特徴とする。

　また、第３発明に係る検出ルール生成装置は、第１又は第２発明において、収集される前記ログ情報及び／又は前記障害情報を事前に統一データ形式に変換するデータ形式変換手段を備え、前記履歴情報収集手段は、前記統一データ形式に変換された前記ログ情報及び／又は前記障害情報を収集するようにしてあることを特徴とする。

　また、第４発明に係る検出ルール生成装置は、第１乃至第３発明のいずれか１つにおいて、ユーザによるイベントの選択を受け付けるイベント選択受付手段と、選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する検出ルール抽出手段と、抽出された検出ルールを提示する検出ルール提示手段と、提示された検出ルールの更新を受け付けて前記データベースを更新するデータベース更新手段とを備えることを特徴とする。

　また、第５発明に係る検出ルール生成装置は、第４発明において、前記イベント選択受付手段で選択を受け付けたイベントが単数であるか否かを判断する単複判断手段を備え、該単複判断手段で単数であると判断した場合、前記検出ルール抽出手段は、イベントを確認するフィルタ・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。

　また、第６発明に係る検出ルール生成装置は、第５発明において、前記単複判断手段で複数であると判断した場合、選択を受け付けたイベントを送り出したコンポーネントが単数であるか否かを判断するコンポーネント判断手段と、該コンポーネント判断手段で単数であると判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段とを備え、該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、所定の数値を閾値と比較するスレッシュホールド・パターンとして前記検出ルールを抽出するようにしてあり、前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、イベントの並びの存否を検出するシーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。

　また、第７発明に係る検出ルール生成装置は、第６発明において、前記コンポーネント判断手段で複数であると判断した場合、複数のコンポーネント間がトポロジー上で接続されているか否かを判断する接続判断手段と、該接続判断手段で接続されていないと判断した場合、複数のコンポーネントが並列関係にあるか否かを判断する並列関係判断手段とを備え、該並列関係判断手段で並列関係にないと判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。

　また、第８発明に係る検出ルール生成装置は、第７発明において、前記並列関係判断手段で並列関係にあると判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段を備え、該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、前記スレッシュホールド・パターンとして前記検出ルールを抽出するようにしてあり、前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。

　また、第９発明に係る検出ルール生成装置は、第７発明において、前記接続判断手段で接続されていると判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。

　また、第１０発明に係る検出ルール生成装置は、第７発明において、前記接続判断手段で接続されていると判断した場合、複数のコンポーネントが直列関係にあるか否かを判断する直列関係判断手段と、該直列関係判断手段で直列関係にないと判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段とを備え、該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、順序が特定されているオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあり、前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、順序が特定されていないアンオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあり、前記直列関係判断手段で直列関係にあると判断した場合、前記検出ルール抽出手段は、順序が特定されているオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。

　次に、上記目的を達成するために第１１発明に係る検出ルール生成方法は、複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置で実行することが可能な検出ルール生成方法において、前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得し、ログ情報及び／又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集し、取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定し、特定された候補イベントを提示することを特徴とする。

　また、第１２発明に係る検出ルール生成方法は、第１１発明において、前記検出ルールを生成してデータベースに記憶し、記憶されている検出ルールに基づいて候補イベントを検出し、検出された前記候補イベントを提示することを特徴とする。

　また、第１３発明に係る検出ルール生成方法は、第１１又は第１２発明において、収集される前記ログ情報及び／又は前記障害情報を事前に統一データ形式に変換し、前記統一データ形式に変換された前記ログ情報及び／又は前記障害情報を収集することを特徴とする。

　また、第１４発明に係る検出ルール生成方法は、第１１乃至第１３発明のいずれか１つにおいて、ユーザによるイベントの選択を受け付け、選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出し、抽出された検出ルールを提示し、提示された検出ルールの更新を受け付けて前記データベースを更新することを特徴とする。

　次に、上記目的を達成するために第１５発明に係るコンピュータプログラムは、複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置で実行することが可能なコンピュータプログラムにおいて、前記検出ルール生成装置を、前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得する構成情報取得手段、ログ情報及び／又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集する履歴情報収集手段、取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定する候補イベント特定手段、及び特定された候補イベントを提示する候補イベント提示手段として機能させることを特徴とする。

　また、第１６発明に係るコンピュータプログラムは、第１５発明において、前記検出ルール生成装置を、前記検出ルールを生成してデータベースに記憶する検出ルール生成・記憶手段、記憶されている検出ルールに基づいて候補イベントを検出する候補イベント検出手段として機能させ、前記候補イベント提示手段を、検出された前記候補イベントを提示する手段として機能させることを特徴とする。

　また、第１７発明に係るコンピュータプログラムは、第１５又は第１６発明において、前記検出ルール生成装置を、収集される前記ログ情報及び／又は前記障害情報を事前に統一データ形式に変換するデータ形式変換手段として機能させ、前記履歴情報収集手段を、前記統一データ形式に変換された前記ログ情報及び／又は前記障害情報を収集する手段として機能させることを特徴とする。

　また、第１８発明に係るコンピュータプログラムは、第１５乃至第１７発明のいずれか１つにおいて、前記検出ルール生成装置を、ユーザによるイベントの選択を受け付けるイベント選択受付手段、選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する検出ルール抽出手段、抽出された検出ルールを提示する検出ルール提示手段、及び提示された検出ルールの更新を受け付けて前記データベースを更新するデータベース更新手段として機能させることを特徴とする。

　本発明によれば、システム構成情報にコンポーネント間の関連情報を含むことにより、コンポーネント間の依存関係だけではなく関連情報も含めて障害発生イベントの検出ルールを生成することができる。また、検出ルールに基づいて候補イベントを提示することにより、ユーザによる検出ルール生成作業を効果的に支援することができ、検出ルール生成の熟練度合を問うことなく一定レベル以上の検出ルールを確実に生成することができる。

本発明の実施の形態に係る検出ルール生成装置の構成例を示すブロック図である。本発明の実施の形態に係る検出ルール生成装置の検出ルール生成時の機能ブロック図である。本発明の実施の形態に係る検出ルール生成装置の検出ルール更新時の機能ブロック図である。表示装置に表示される画面の例示図である。生成される検出ルールの典型的なルール・パターンの例示図である。本発明の実施の形態に係る検出ルール生成装置のＣＰＵの検出ルール生成処理の手順を示すフローチャートである。検出ルールのうちフィルタ・パターンが選択された場合の候補イベントの例示図である。検出ルールのうちオーダード・シーケンス・パターンが選択された場合の候補イベントの例示図である。検出ルールのうちアンオーダード・シーケンス・パターンが選択された場合の候補イベントの例示図である。検出ルールのうちスレッシュホールド・パターンが選択された場合の候補イベントの例示図である。本発明の実施の形態に係る検出ルール生成装置のＣＰＵの検出ルール更新処理の手順を示すフローチャートである。本発明の実施の形態に係る検出ルール生成装置のＣＰＵの検出ルール抽出処理の手順を示すフローチャートである。本発明の実施の形態に係る検出ルール生成装置のＣＰＵの検出ルール抽出処理の手順を示すフローチャートである。選択イベントが単数である場合のトポロジーの例示図である。選択イベントが複数であり、選択イベントが同種である場合のトポロジーの例示図である。選択イベントが複数であり、選択イベントが複数種である場合のトポロジーの例示図である。選択イベントが複数であり、コンポーネント間の関係が無相関であり、選択イベントが同種である場合のトポロジーの例示図である。選択イベントが複数であり、コンポーネント間の関係が無相関であり、選択イベントが複数種である場合のトポロジーの例示図である。選択イベントが複数であり、コンポーネント間の関係が並列関係であり、選択イベントが同種である場合のトポロジーの例示図である。選択イベントが複数であり、コンポーネント間の関係が並列関係であり、選択イベントが複数種である場合のトポロジーの例示図である。選択イベントが複数であり、コンポーネント間の関係が完全な直列関係ではなく、選択イベントが同種である場合のトポロジーの例示図である。選択イベントが複数であり、コンポーネント間の関係が完全な直列関係ではなく、選択イベントが複数種である場合のトポロジーの例示図である。選択イベントが複数であり、コンポーネント間の関係が完全な直列関係であり、選択イベントが同種である場合のトポロジーの例示図である。選択イベントが複数であり、コンポーネント間の関係が完全な直列関係であり、選択イベントが複数種である場合のトポロジーの例示図である。

　以下、本発明の実施の形態に係る検出ルール生成装置について、図面に基づいて具体的に説明する。以下の実施の形態は、特許請求の範囲に記載された発明を限定するものではなく、実施の形態の中で説明されている特徴的事項の組み合わせの全てが解決手段の必須事項であるとは限らないことは言うまでもない。

　また、本発明は多くの異なる態様にて実施することが可能であり、実施の形態の記載内容に限定して解釈されるべきものではない。実施の形態を通じて同じ要素には同一の符号を付している。

　以下の実施の形態では、コンピュータシステムにコンピュータプログラムを導入した検出ルール生成装置について説明するが、当業者であれば明らかな通り、本発明はその一部をコンピュータで実行することが可能なコンピュータプログラムとして実施することができる。したがって、本発明は、検出ルール生成装置というハードウェアとしての実施の形態、ソフトウェアとしての実施の形態、又はソフトウェアとハードウェアとの組み合わせの実施の形態をとることができる。コンピュータプログラムは、ハードディスク、ＤＶＤ、ＣＤ、光記憶装置、磁気記憶装置等の任意のコンピュータで読み取ることが可能な記録媒体に記録することができる。

　本発明の実施の形態では、システム構成情報にコンポーネント間の関連情報を含むことにより、コンポーネント間の依存関係だけではなく関連情報も含めて障害発生イベントの検出ルールを生成することができる。また、検出ルールに基づいて候補イベントを提示することにより、ユーザによる検出ルール生成作業を効果的に支援することができ、検出ルール生成の熟練度合を問うことなく一定レベル以上の検出ルールを確実に生成することができる。ここで、「コンポーネント」とは、サービス、アプリケーション、ミドルウェア、ハードウェア、デバイスドライバ、オペレーティングシステム等のコンピューティング環境におけるコンポーネント全般を意味している。また、「システム構成情報」とは、システムを構成している複数のコンポーネント間の依存関係に関する情報だけではなく、障害解析に有用な関連を導出することが可能な情報、例えば通信における接続関係、命令、指示等による操作主体、客体の関係等の情報を含む広い概念である。したがって、コンポーネントのトポロジー図を容易に作成することができる。

　また、ログ情報及び／又は障害情報を統一データ形式にて収集することにより、ログ情報及び／又は障害情報に含まれるイベントの表示、解析が容易となり、候補イベントをより容易に特定することができる。

　さらに、選択を受け付けたイベントに対応した検出ルールを容易に更新することができ、より実際のシステム構成に即した検出ルールを生成することが可能となる。ここで「トポロジー」とは、コンポーネント間の接続関係、依存関係を示す概念である。

　図１は、本発明の実施の形態に係る検出ルール生成装置の構成例を示すブロック図である。本発明の実施の形態に係る検出ルール生成装置１は、少なくともＣＰＵ（中央演算装置）１１、メモリ１２、記憶装置１３、Ｉ／Ｏインタフェース１４、通信インタフェース１５、ビデオインタフェース１６、可搬型ディスクドライブ１７及び上述したハードウェアを接続する内部バス１８で構成されている。

　ＣＰＵ１１は、内部バス１８を介して検出ルール生成装置１の上述したようなハードウェア各部と接続されており、上述したハードウェア各部の動作を制御するとともに、記憶装置１３に記憶されているコンピュータプログラム１００に従って、種々のソフトウェア的機能を実行する。メモリ１２は、ＳＲＡＭ、ＳＤＲＡＭ等の揮発性メモリで構成され、コンピュータプログラム１００の実行時にロードモジュールが展開され、コンピュータプログラム１００の実行時に発生する一時的なデータ等を記憶する。

　記憶装置１３は、内蔵される固定型記憶装置（ハードディスク）、ＲＯＭ等で構成されている。記憶装置１３に記憶されているコンピュータプログラム１００は、プログラム及びデータ等の情報を記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体９０から、可搬型ディスクドライブ１７によりダウンロードされ、実行時には記憶装置１３からメモリ１２へ展開して実行される。もちろん、通信インタフェース１５を介してネットワーク２に接続されている外部のコンピュータからダウンロードされたコンピュータプログラムであっても良い。

　また記憶装置１３は、シンプトンデータベース１３１を備えている。シンプトンデータベース１３１には、障害が発生したイベントを検出するための検出ルールに加えて、検出ルールごとに障害検出時の推奨アクション、コメント等を付加してある。ユーザが、障害が発生したイベントを選択した場合、選択されたイベントに応じて検出ルールが抽出され、コンポーネントのトポロジー図とともに表示装置２３に表示される。

　また記憶装置１３は、障害が発生したか否かの監視対象となるシステムのシステム構成情報を記憶する構成情報記憶部１３２と、監視対象となるシステムのログ情報、該システムで障害が発生した場合に出力されるイベント情報等の履歴情報を記憶する履歴情報記憶部１３３とを備えている。構成情報記憶部１３２は、監視対象となる監視対象システム２００のコンポーネント間の依存関係情報、各コンポーネントの関連情報等を含むＣＣＭＤＢ（Ｃｈａｎｇｅ　ａｎｄ　Ｃｏｎｆｉｇｕｒａｔｉｏｎ　Ｍａｎａｇｅｍｅｎｔ　ＤＢ）で構成されている。構成情報記憶部１３２に記憶されているシステム構成情報に基づいてコンポーネントのトポロジー図を表示することができる。なお、構成情報記憶部１３２は、記憶装置１３内に備わっていても良いが、通常は本実施の形態に係る検出ルール生成装置１とは別個に設けてあり、例えばネットワーク２を介して接続されている外部コンピュータ等に備わっている。

　通信インタフェース１５は内部バス１８に接続されており、インターネット、ＬＡＮ、ＷＡＮ等の外部のネットワーク２に接続されることにより、外部のコンピュータ等とデータ送受信を行うことが可能となっている。また、監視対象システム２００ともネットワーク２を介して接続されており、システム構成情報、障害発生時の履歴情報等を取得することが可能となっている。

　Ｉ／Ｏインタフェース１４は、キーボード２１、マウス２２等のデータ入力媒体と接続され、データの入力を受け付ける。また、ビデオインタフェース１６は、ＣＲＴモニタ、ＬＣＤ等の表示装置２３と接続され、所定の画像を表示する。

　図２は、本発明の実施の形態に係る検出ルール生成装置１の検出ルール生成時の機能ブロック図である。構成情報抽出部２０１は、監視対象システム２００に含まれるコンポーネント間の関連情報を含むシステム構成情報を抽出して、構成情報記憶部１３２に記憶する。コンポーネント間の関連情報を含むシステム構成情報とは、例えばコンポーネント間の通信における接続関係情報、操作・非操作の関係に関するリンク関係情報等である。なお、構成情報抽出部２０１は本発明に必須の構成要件ではなく、事前に構成情報記憶部１３２にシステム構成情報を生成しておいても良く、検出ルール生成装置１内に内蔵していてもいなくても良い。すなわち、構成情報抽出部２０１及び構成情報記憶部１３２は、本発明の実施の形態に係る検出ルール生成装置１の必須の構成要件ではない。

　構成情報取得部２０２は、構成情報記憶部１３２に記憶されているシステム構成情報を取得する。システム構成情報は監視対象システム２００ごとに対応付けて構成情報記憶部１３２に記憶してあり、監視対象システム２００に応じて対応するシステム構成情報を取得する。

　履歴情報収集部２０３は、監視対象システム２００を常時監視し、監視対象システム２００に含まれる各コンポーネントから出力されたログ情報及び／又は障害発生時に出力されるイベント情報等の障害情報を含む履歴情報を収集して、履歴情報記憶部１３３に記憶する。ログ情報は、常時出力されるシステムログ等に限定されるものではなく、障害発生時に割り込み処理等により出力されるメッセージ情報等を含んでも良い。

　なお、履歴情報収集部２０３で収集した履歴情報は、それぞれデータ形式が相違することが多く、そのままでは候補イベントを特定する基本情報として用いることができない場合も生じうる。そこで、データ形式変換部２０９を備え、標準的な統一データ形式に変換して履歴情報記憶部１３３へ記憶しておくことが望ましい。

　候補イベント特定部２０４は、構成情報取得部２０２で取得されたシステム構成情報及び履歴情報記憶部１３３に記憶されている履歴情報に基づいて、障害が発生しているイベントを検出するための検出ルールを生成するために選択されるべき候補となる候補イベントを特定する。

　候補イベント提示部２０５は、特定された候補イベントを表示装置２３に提示する。これにより、ユーザは提示された候補イベント群の中から最適なイベントを選択することにより、精度良く検出ルールを生成することができる。

　一方、検出ルール生成・記憶部２０６は、選択されたイベントを送出したコンポーネントを含むシステム構成情報に基づいて検出ルールを生成し、シンプトンデータベース１３１に記憶する。候補イベント検出部２０７は、生成された検出ルール及び記憶してある履歴情報に基づいて、次に選択対象となる候補イベントを表示装置２３に提示する。これにより、ユーザはより最適なイベントを選択することができ、より精度良く検出ルールを生成することができる。検出ルール提示部２０８は、候補イベントを選択することにより更新する対象となる検出ルールを表示装置２３に提示する。

　図３は、本発明の実施の形態に係る検出ルール生成装置１の検出ルール更新時の機能ブロック図である。イベント選択受付部３０１は、表示装置２３に表示されているイベントリストの中から、ユーザによるイベントの選択を受け付ける。イベントの選択は、マウス２２等のポインティングデバイスによる選択でも良いし、キーボード２１によるキー入力による選択であっても良い。

　検出ルール抽出部３０２は、選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する。抽出された検出ルールは、検出ルール提示部２０８により、表示装置２３に画面４０の一部として提示される。表示画面の詳細は後述する。更新部３０３は、表示装置２３に提示された検出ルールの更新を受け付け、シンプトンデータベース１３１を更新する。

　図４は、表示装置２３に表示される画面４０の例示図である。トポロジー図表示領域４１には、監視対象システム２００に含まれるコンポーネントの依存関係を示すトポロジー図を表示する。推奨情報表示領域４２には、推奨される検出ルール及び追加イベントとして推奨される追加イベントが表示される。

　イベントリスト表示領域４３には、監視対象システム２００に含まれるイベントが一覧表示される。イベント選択受付部３０１により、イベントリスト表示領域４３に表示されているイベントから候補イベントの選択を受け付けた場合、選択を受け付けた候補イベント及び依存関係を有するイベントが強調表示される。図４では、選択を受け付けた候補イベント及び依存関係を有するイベントの表示色を変更して表示している。強調表示の方法は特に限定されるものではなく、輝度を変更しても良い。

　検出ルール抽出部３０２により抽出された検出ルールは、優先順位に応じて推奨情報表示領域４２に表示される。表示された検出ルールをマウス２２等のポインティングデバイスにより選択することにより、トポロジー図表示領域４１に表示されるトポロジー図が変動する。

　また、推奨情報表示領域４２には、推奨される追加イベントも表示されており、更新部３０３にてマウス２２等のポインティングデバイスにより追加イベントを選択等することにより、トポロジー図表示領域４１に表示されているトポロジー図に追加表示される。これによりシンプトンデータベース１３１を更新することができる。

　図５は、生成される検出ルールの典型的なルール・パターンの例示図である。図５（ａ）はフィルタ・パターンの例示図を、図５（ｂ）はシーケンス・パターンの例示図を、図５（ｃ）はスレッシュホールド・パターンの例示図を、それぞれ示している。

　図５（ａ）に示すように、フィルタ・パターンは、個々のイベントが選択を受け付けたイベントと一致しているか否かを確認する検出ルールであり、選択を受け付けたイベントが１つである場合に有効な検出ルールである。図５（ａ）では、イベントａからｉまでの中でイベントｆが選択イベント‘１’であることを確認している。

　図５（ｂ）に示すように、シーケンス・パターンは、イベントの並びの存否を検出する検出ルールであり、選択を受け付けたイベントが複数である場合に有効な検出ルールである。図５（ｂ）では、イベントａからｉまでの中での一定期間Ｔ内に存在するイベントの中に、選択イベント‘１’に相当するイベントｃ、選択イベント‘２’に相当するイベントｅがこの順序で存在することを確認している。

　図５（ｃ）に示すように、スレッシュホールド・パターンは、所定の数値を閾値と比較する検出ルールであり、選択を受け付けたイベントが複数である場合に有効な検出ルールである。図５（ｃ）では、イベントａからｉまでの中で選択イベント‘１’に相当するイベントｂ、ｄ、ｆ、ｇを計数している。図５（ｃ）でハッチング表示されているイベントは、一定期間Ｔ内に存在する選択イベント‘１’に相当するイベントであり、閾値（スレッシュホールド）を‘４’イベントと設定していることから、閾値の範囲内で選択されていることを確認することができる。

　図６は、本発明の実施の形態に係る検出ルール生成装置１のＣＰＵ１１の検出ルール生成処理の手順を示すフローチャートである。まず検出ルール生成装置１は、監視対象システム２００に含まれるコンポーネント間の関連情報を含むシステム構成情報を取得する（ステップＳ６０１）。もちろん、事前にシステム構成情報を取得して、構成情報記憶部１３２に記憶しておいても良い。

　検出ルール生成装置１のＣＰＵ１１は、監視対象システム２００を常時監視し、監視対象システム２００に含まれる各コンポーネントから出力されたログ情報及び／又は障害発生時に出力されるイベント情報等の障害情報を含む履歴情報を収集し（ステップＳ６０２）、データ形式を標準的な統一データ形式に変換して（ステップＳ６０３）、記憶装置１３の履歴情報記憶部１３３に記憶する（ステップＳ６０４）。ログ情報は、常時出力されるシステムログ等に限定されるものではなく、障害発生時に割り込み処理等により出力されるメッセージ情報等を含んでも良い。

　ＣＰＵ１１は、記憶装置１３の構成情報記憶部１３２に記憶されているシステム構成情報及び履歴情報記憶部１３３に記憶されている履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定する（ステップＳ６０５）。ＣＰＵ１１は、特定された候補イベントを表示装置２３に表示出力する（ステップＳ６０６）。

　記憶装置１３の構成情報記憶部１３２に記憶されているシステム構成情報及び履歴情報記憶部１３３に記憶されている履歴情報に基づいて、候補イベントを特定する方法は、特に限定されるものではない。ここでは、検出ルールが図５に示すルール・パターンである場合の候補イベントの特定処理手順について、図面を参照しながら具体的に説明する。

　なお、検出ルールのルール・パターンのうち、シーケンス・パターンについては、さらに２種類のルール・パターンに分類する。すなわち、オーダード・シーケンス・パターンは、順序が特定されているシーケンス・パターンを意味しており、アンオーダード・シーケンス・パターンとは、順序が特定されていないシーケンス・パターンを意味している。

　図７は、検出ルールのうちフィルタ・パターンが選択された場合の候補イベントの例示図である。図７（ａ）は、トポロジー図表示領域４１に表示されるトポロジー図の例示図であり、図７（ｂ）は、イベントリスト表示領域４３に表示されているイベントの例示図である。

　図７（ａ）に示すように、ユーザによる選択を受け付けたイベントが、矢印７３で示されたコンポーネントＢ２である場合、イベントリスト表示領域４３に表示されているコンポーネントＢ２にて選択を受け付けたイベントＢが強調表示される。図７（ｂ）では、コンポーネントＢ２にて選択を受け付けたイベントＢがハッチング表示されている。

　そして、図７（ａ）のトポロジー図から、コンポーネントＢ２に近接する依存関係を有する近接コンポーネント７１として、コンポーネントＡ、Ｃ２が選択される。選択されたコンポーネントＡ、Ｃ２に対応し、一定期間Ｔ内に存在するイベントが候補イベントとなる。また、コンポーネントＢ２と並列関係にある同種コンポーネント７２として、コンポーネントＢ１、Ｂ２、Ｂ３が選択される。選択されたコンポーネントＢ１、Ｂ２、Ｂ３に対応し、一定期間Ｔ内に存在するイベントが候補イベントとなる。したがって、図７（ｂ）に示す送出コンポーネント群７４、７５に対応する候補イベントであるイベントＣ、Ｄ、Ｅ、Ｄ’、Ｉ、Ｃ’が候補イベントとして特定される。

　図８は、検出ルールのうちオーダード・シーケンス・パターンが選択された場合の候補イベントの例示図である。図８（ａ）は、トポロジー図表示領域４１に表示されるトポロジー図の例示図であり、図８（ｂ）は、イベントリスト表示領域４３に表示されているイベントの例示図である。

　図８（ａ）に示すように、ユーザによる選択を受け付けたイベントが、矢印８２、８２で示されたコンポーネントＡ、Ｂ１である場合、イベントリスト表示領域４３に表示されているコンポーネントＡにて選択を受け付けたイベントＣ’、コンポーネントＢ１にて選択を受け付けたイベントＤ’が強調表示される。図８（ｂ）では、選択を受け付けた両イベントがハッチング表示されている。

　そして、図８（ａ）のトポロジー図から、コンポーネントＡ、Ｂ１と直列関係にあるコンポーネント８１として、コンポーネントＡ、Ｂ１、Ｃ１が選択される。選択されたコンポーネントＡ、Ｂ１、Ｃ１に対応し、一定期間Ｔ内に存在するイベントが候補イベントとなる。したがって、図８（ｂ）に示す送出コンポーネント群８３、８４に対応する候補イベントであるイベントＥ、Ａ’、Ｋ、Ｅが候補イベントとして特定される。

　図９は、検出ルールのうちアンオーダード・シーケンス・パターンが選択された場合の候補イベントの例示図である。図９（ａ）は、トポロジー図表示領域４１に表示されるトポロジー図の例示図であり、図９（ｂ）は、イベントリスト表示領域４３に表示されているイベントの例示図である。

　図９（ａ）に示すように、ユーザによる選択を受け付けたイベントが、矢印９２、９２、・・・で示されたコンポーネントＡ、Ｂ１、Ｂ２、Ｃ２である場合、イベントリスト表示領域４３に表示されているコンポーネントＡにて選択を受け付けたイベントＡ’、コンポーネントＢ１にて選択を受け付けたイベントＤ’、コンポーネントＢ２にて選択を受け付けたイベントＢ、コンポーネントＣ２にて選択を受け付けたイベントＣ’が強調表示される。図９（ｂ）では、選択を受け付けたイベント群がハッチング表示されている。

　そして、図９（ａ）のトポロジー図から、コンポーネントＡ、Ｂ１、Ｂ２、Ｃ２と直列関係又は部分的直列関係にあるコンポーネント９１として、コンポーネントＡ、Ｂ１、Ｂ２、Ｂ３、Ｃ１、Ｃ２が選択される。選択されたコンポーネントＡ、Ｂ１、Ｂ２、Ｂ３、Ｃ１、Ｃ２に対応し、一定期間Ｔ内に存在するイベントが候補イベントとなる。したがって、図９（ｂ）に示す送出コンポーネント９３、９４、９５に対応する候補イベントであるイベントＤ、Ｉ、Ｋが候補イベントとして特定される。

　図１０は、検出ルールのうちスレッシュホールド・パターンが選択された場合の候補イベントの例示図である。図１０（ａ）は、トポロジー図表示領域４１に表示されるトポロジー図の例示図であり、図１０（ｂ）は、イベントリスト表示領域４３に表示されているイベントの例示図である。

　図１０（ａ）に示すように、ユーザによる選択を受け付けたイベントが、矢印１０２、１０２で示されたコンポーネントＣ２、Ｃ３である場合、イベントリスト表示領域４３に表示されているコンポーネントＣ２にて選択を受け付けたイベントＢ、コンポーネントＣ３にて選択を受け付けたイベントＩが強調表示される。図１０（ｂ）では、選択を受け付けた両イベントがハッチング表示されている。

　そして、図１０（ａ）のトポロジー図から、コンポーネントＣ２、Ｃ３と並列関係にあるコンポーネント１０１として、コンポーネントＣ１、Ｃ２、Ｃ３が選択される。選択されたコンポーネントＣ１、Ｃ２、Ｃ３に対応し、一定期間Ｔ内に存在するイベントが候補イベントとなる。したがって、図１０（ｂ）に示す送出コンポーネント１０３、１０４、１０５に対応する候補イベントであるイベントＥ、Ｋ、Ｅが候補イベントとして特定される。

　次に図１１は、本発明の実施の形態に係る検出ルール生成装置１のＣＰＵ１１の検出ルール更新処理の手順を示すフローチャートである。検出ルール生成装置１のＣＰＵ１１は、ユーザによるイベントの選択を受け付ける（ステップＳ１１０１）。ユーザによるイベントの選択は、マウス２２等のポインティングデバイスによる選択でも良いし、キーボード２１によるキー入力による選択であっても良い。

　ＣＰＵ１１は、選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する（ステップＳ１１０２）。ＣＰＵ１１は、抽出された検出ルールを表示装置２３へ表示し（ステップＳ１１０３）、検出ルールの更新を受け付け（ステップＳ１１０４）、シンプトンデータベース１３１を更新する（ステップＳ１１０５）。

　検出ルールの抽出方法は特に限定されるものではないが、選択されたイベント及びトポロジーに応じて推奨されるルール・パターンがある程度まで特定される。図１２及び図１３は、本発明の実施の形態に係る検出ルール生成装置１のＣＰＵ１１の検出ルール抽出処理の手順を示すフローチャートである。

　図１２において、検出ルール生成装置１のＣＰＵ１１は、ユーザによる選択を受け付けた選択イベントが複数であるか否かを判断する（ステップＳ１２０１）。ＣＰＵ１１が、選択イベントが単数であると判断した場合（ステップＳ１２０１：ＮＯ）、ＣＰＵ１１は、検出ルールとしてフィルタ・パターンを優先して抽出する（ステップＳ１２０２）。もちろん、例外的ではあるが、スレッシュホールド・パターンを抽出しても良いことは言うまでもない。

　図１４は、選択イベントが単数である場合のトポロジーの例示図である。図１４（ａ）は、イベント発生時刻を含むイベントの例示図であり、図１４（ｂ）は、イベント発生時刻を含むトポロジー図の例示図である。

　図１４では、コンポーネントＡから送出されたイベントＡが単独で１０時１０分に発生しており、イベントの存在を確認するか、イベント数を計数するか以外の検出ルールの抽出は考えられない。したがって、検出ルールとしてフィルタ・パターンを優先して抽出し、例外的にスレッシュホールド・パターンを抽出する。

　図１２に戻って、検出ルール生成装置１のＣＰＵ１１が、選択イベントが複数であると判断した場合（ステップＳ１２０１：ＹＥＳ）、ＣＰＵ１１は、複数の選択イベントを送出したコンポーネントが複数であるか否かを判断する（ステップＳ１２０３）。ＣＰＵ１１が、送出したコンポーネントが単数であると判断した場合（ステップＳ１２０３：ＮＯ）、ＣＰＵ１１は、選択イベントの種類が同種であるか否かを判断する（ステップＳ１２０４）。

　ＣＰＵ１１が、選択イベントの種類が同種であると判断した場合（ステップＳ１２０４：ＹＥＳ）、ＣＰＵ１１は、検出ルールとしてスレッシュホールド・パターンを優先して抽出する（ステップＳ１２０５）。もちろん、例外的では有るが、フィルタ・パターンを抽出しても良いことは言うまでもない。

　図１５は、選択イベントが複数であり、選択イベントが同種である場合のトポロジーの例示図である。図１５（ａ）は、イベント発生時刻を含むイベントの例示図であり、図１５（ｂ）は、イベント発生時刻を含むトポロジー図の例示図である。

　図１５では、コンポーネントＡから送出された３つのイベントＡが、それぞれ１０時１０分、２０分、３０分に発生しており、イベント数を計数するか、イベントの存在を確認するか以外の検出ルールの抽出は考えられない。したがって、検出ルールとしてスレッシュホールド・パターンを優先して抽出し、例外的にフィルタ・パターンを抽出する。

　図１２に戻って、検出ルール生成装置１のＣＰＵ１１が、選択イベントの種類が複数種であると判断した場合（ステップＳ１２０４：ＮＯ）、ＣＰＵ１１は、検出ルールとしてシーケンス・パターンを抽出する（ステップＳ１２０６）。選択イベントの順序付けの有無に応じて、オーダード・シーケンス・パターンかアンオーダード・シーケンス・パターンかのいずれかを優先して抽出すれば良いが、選択イベントが互いに相違していることから、オーダード・シーケンス・パターンを優先して抽出することが好ましい。

　図１６は、選択イベントが複数であり、選択イベントが複数種である場合のトポロジーの例示図である。図１６（ａ）は、イベント発生時刻を含むイベントの例示図であり、図１６（ｂ）は、イベント発生時刻を含むトポロジー図の例示図である。

　図１６では、コンポーネントＡから送出された３種類のイベントＡ、Ｂ、Ｃが、それぞれ１０時１０分、２０分、３０分に発生しており、イベントの発生順序を考慮した検出ルールしか抽出できない。したがって、検出ルールとしてシーケンス・パターンを抽出する。

　図１２に戻って、検出ルール生成装置１のＣＰＵ１１が、送出したコンポーネントが複数であると判断した場合（ステップＳ１２０３：ＹＥＳ）、ＣＰＵ１１は、複数のコンポーネント間がトポロジー上で接続されているか否かを判断する（ステップＳ１２０７）。ＣＰＵ１１が、トポロジー上で接続されていないと判断した場合（ステップＳ１２０７：ＮＯ）、ＣＰＵ１１は、コンポーネント間の接続関係が並列関係であるか否かを判断する（ステップＳ１２０８）。

　ＣＰＵ１１が、コンポーネント間の接続関係が並列関係ではないと判断した場合（ステップＳ１２０８：ＮＯ）、ＣＰＵ１１は、選択イベントの種類が同種であるか否かを判断する（ステップＳ１２０９）。ＣＰＵ１１が、選択イベントの種類が同種であると判断した場合（ステップＳ１２０９：ＹＥＳ）、ＣＰＵ１１は、検出ルールとしてアンオーダード・シーケンス・パターンを抽出する（ステップＳ１２１０）。もちろん、例外的では有るが、スレッシュホールド・パターンを抽出しても良いし、状況によってはオーダード・シーケンス・パターンを抽出しても良い。

　図１７は、選択イベントが複数であり、コンポーネント間の関係が無相関であり、選択イベントが同種である場合のトポロジーの例示図である。図１７（ａ）は、イベント発生時刻を含むイベントの例示図であり、図１７（ｂ）は、イベント発生時刻を含むトポロジー図の例示図である。

　図１７では、３つのコンポーネントＡ、Ｂ、Ｃから、それぞれ１０時１０分、２０分、３０分に同じイベントＡが発生しており、順不同ではあるもののイベントの並びを検出することが好ましい。したがって、検出ルールとしてアンオーダード・シーケンス・パターンを優先して抽出することが好ましい。

　図１２に戻って、検出ルール生成装置１のＣＰＵ１１が、選択イベントの種類が複数種であると判断した場合（ステップＳ１２０９：ＮＯ）、ＣＰＵ１１は、検出ルールとしてシーケンス・パターンを抽出する（ステップＳ１２１１）。選択イベントの順序付けの有無に応じて、オーダード・シーケンス・パターンかアンオーダード・シーケンス・パターンかのいずれかを優先して抽出すれば良いが、コンポーネント間が直列関係でも並列関係でもないことから、アンオーダード・シーケンス・パターンを優先して抽出することが好ましい。

　図１８は、選択イベントが複数であり、コンポーネント間の関係が無相関であり、選択イベントが複数種である場合のトポロジーの例示図である。図１８（ａ）は、イベント発生時刻を含むイベントの例示図であり、図１８（ｂ）は、イベント発生時刻を含むトポロジー図の例示図である。

　図１８では、３つのコンポーネントＡ、Ｂ、Ｃから、それぞれ１０時１０分、２０分、３０分に異なるイベントＡ、Ｂ、Ｃが発生しており、順不同ではあるもののイベントの並びを検出することが好ましい。したがって、検出ルールとしてアンオーダード・シーケンス・パターンを優先して抽出することが好ましい。

　図１２に戻って、検出ルール生成装置１のＣＰＵ１１が、コンポーネント間の接続関係が並列関係であると判断した場合（ステップＳ１２０８：ＹＥＳ）、ＣＰＵ１１は、選択イベントの種類が同種であるか否かを判断する（ステップＳ１２１２）。ＣＰＵ１１が、選択イベントの種類が同種であると判断した場合（ステップＳ１２１２：ＹＥＳ）、ＣＰＵ１１は、検出ルールとしてスレッシュホールド・パターンを抽出する（ステップＳ１２１３）。もちろん、例外的では有るが、アンオーダード・シーケンス・パターンを抽出しても良いし、状況によってはオーダード・シーケンス・パターンを抽出しても良い。

　図１９は、選択イベントが複数であり、コンポーネント間の関係が並列関係であり、選択イベントが同種である場合のトポロジーの例示図である。図１９（ａ）は、イベント発生時刻を含むイベントの例示図であり、図１９（ｂ）は、イベント発生時刻を含むトポロジー図の例示図である。

　図１９では、コンポーネントＰに接続されて並列関係にある３つのコンポーネントＡ、Ｂ、Ｃから、それぞれ１０時１０分、２０分、３０分にイベントＡが発生しており、順不同ではあるもののイベントの並びを検出することが好ましい。したがって、検出ルールとしてアンオーダード・シーケンス・パターンを優先して抽出することが好ましい。

　図１２に戻って、検出ルール生成装置１のＣＰＵ１１が、選択イベントの種類が複数種であると判断した場合（ステップＳ１２１２：ＮＯ）、ＣＰＵ１１は、検出ルールとしてアンオーダード・シーケンス・パターンを抽出する（ステップＳ１２１４）。もちろん、例外的では有るが、スレッシュホールド・パターンを抽出しても良いし、状況によってはオーダード・シーケンス・パターンを抽出しても良い。

　図２０は、選択イベントが複数であり、コンポーネント間の関係が並列関係であり、選択イベントが複数種である場合のトポロジーの例示図である。図２０（ａ）は、イベント発生時刻を含むイベントの例示図であり、図２０（ｂ）は、イベント発生時刻を含むトポロジー図の例示図である。

　図２０では、コンポーネントＰに接続されて並列関係にある３つのコンポーネントＡ、Ｂ、Ｃから、それぞれ１０時１０分、２０分、３０分に異なるイベントＡ、Ｂ、Ｃが発生しており、イベントの並びよりはむしろイベントの発生数を計数することが好ましい。したがって、検出ルールとしてスレッシュホールド・パターンを優先して抽出することが好ましい。

　図１２に戻って、検出ルール生成装置１のＣＰＵ１１が、トポロジー上で接続されていると判断した場合（ステップＳ１２０７：ＹＥＳ）、ＣＰＵ１１は、図１３に示すように、コンポーネント間が完全な直列関係にあるか否かを判断する（ステップＳ１３０１）。ＣＰＵ１１が、コンポーネント間が完全な直列関係にないと判断した場合（ステップＳ１３０１：ＮＯ）、ＣＰＵ１１は、選択イベントの種類が同種であるか否かを判断する（ステップＳ１３０２）。

　ＣＰＵ１１が、選択イベントの種類が同種であると判断した場合（ステップＳ１３０２：ＹＥＳ）、ＣＰＵ１１は、検出ルールとしてオーダード・シーケンス・パターンを抽出する（ステップＳ１３０３）。もちろん、例外的では有るが、スレッシュホールド・パターンを抽出しても良いし、状況によってはアンオーダード・シーケンス・パターンを抽出しても良い。

　図２１は、選択イベントが複数であり、コンポーネント間の関係が完全な直列関係ではなく、選択イベントが同種である場合のトポロジーの例示図である。図２１（ａ）は、イベント発生時刻を含むイベントの例示図であり、図２１（ｂ）は、イベント発生時刻を含むトポロジー図の例示図である。

　図２１では、コンポーネントＡ、コンポーネントＡに接続されて並列関係にある２つのコンポーネントＢ、Ｃから、それぞれ１０時１０分、２０分、３０分にイベントＡが発生しており、イベントの発生数を計数するよりはむしろ順不同であってもイベントの並びを検出することが好ましい。したがって、検出ルールとしてアンオーダード・シーケンス・パターンを優先して抽出することが好ましい。

　図１３に戻って、検出ルール生成装置１のＣＰＵ１１が、選択イベントの種類が複数種であると判断した場合（ステップＳ１３０２：ＮＯ）、ＣＰＵ１１は、検出ルールとしてシーケンス・パターンを抽出する（ステップＳ１３０４）。選択イベントの順序付けの有無に応じて、オーダード・シーケンス・パターンかアンオーダード・シーケンス・パターンかのいずれかを優先して抽出すれば良いが、コンポーネント間が完全な直列関係にないことから、アンオーダード・シーケンス・パターンを優先して抽出することが好ましい。

　図２２は、選択イベントが複数であり、コンポーネント間の関係が完全な直列関係ではなく、選択イベントが複数種である場合のトポロジーの例示図である。図２２（ａ）は、イベント発生時刻を含むイベントの例示図であり、図２２（ｂ）は、イベント発生時刻を含むトポロジー図の例示図である。

　図２２では、コンポーネントＡ、コンポーネントＡに接続されて並列関係にある２つのコンポーネントＢ、Ｃから、それぞれ１０時１０分、２０分、３０分に異なるイベントＡ、Ｂ、Ｃが発生しており、順不同であってもイベントの並びを検出することが好ましい。したがって、検出ルールとしてアンオーダード・シーケンス・パターンを優先して抽出することが好ましい。

　図１３に戻って、検出ルール生成装置１のＣＰＵ１１が、コンポーネント間が完全な直列関係にあると判断した場合（ステップＳ１３０１：ＹＥＳ）、ＣＰＵ１１は、選択イベントの種類が同種であるか否かを判断する（ステップＳ１３０５）。ＣＰＵ１１が、選択イベントの種類が同種であると判断した場合（ステップＳ１３０５：ＹＥＳ）、ＣＰＵ１１は、検出ルールとしてオーダード・シーケンス・パターンを抽出する（ステップＳ１３０６）。もちろん、例外的では有るが、スレッシュホールド・パターンを抽出しても良いし、状況によってはアンオーダード・シーケンス・パターンを抽出しても良い。

　図２３は、選択イベントが複数であり、コンポーネント間の関係が完全な直列関係であり、選択イベントが同種である場合のトポロジーの例示図である。図２３（ａ）は、イベント発生時刻を含むイベントの例示図であり、図２３（ｂ）は、イベント発生時刻を含むトポロジー図の例示図である。

　図２３では、直列関係にあるコンポーネントＡ、Ｂ、Ｃから、それぞれ１０時１０分、２０分、３０分にイベントＡが発生しており、一定順序のイベントの並びを検出することが好ましい。したがって、検出ルールとしてオーダード・シーケンス・パターンを優先して抽出することが好ましい。

　図１３に戻って、検出ルール生成装置１のＣＰＵ１１が、選択イベントの種類が複数種であると判断した場合（ステップＳ１３０５：ＮＯ）、ＣＰＵ１１は、検出ルールとしてシーケンス・パターンを抽出する（ステップＳ１３０７）。選択イベントの順序付けの有無に応じて、オーダード・シーケンス・パターンかアンオーダード・シーケンス・パターンかのいずれかを優先して抽出すれば良いが、コンポーネント間が完全な直列関係であることから、オーダード・シーケンス・パターンを優先して抽出することが好ましい。

　図２４は、選択イベントが複数であり、コンポーネント間の関係が完全な直列関係であり、選択イベントが複数種である場合のトポロジーの例示図である。図２４（ａ）は、イベント発生時刻を含むイベントの例示図であり、図２４（ｂ）は、イベント発生時刻を含むトポロジー図の例示図である。

　図２４では、直列関係にあるコンポーネントＡ、Ｂ、Ｃから、それぞれ１０時１０分、２０分、３０分に異なるイベントＡ、Ｂ、Ｃが発生しており、一定順序のイベントの並びを検出することが好ましい。したがって、検出ルールとしてオーダード・シーケンス・パターンを優先して抽出することが好ましい。

　以上のように本実施の形態によれば、システム構成情報にコンポーネント間の関連情報を含むことにより、コンポーネント間の依存関係だけではなく関連情報も含めて障害発生イベントの検出ルールを生成することができる。また、検出ルールに基づいて候補イベントを提示することにより、ユーザによる検出ルール生成作業を効果的に支援することができ、検出ルール生成の熟練度合を問うことなく一定レベル以上の検出ルールを確実に生成することができる。

　なお、本発明は上記実施例に限定されるものではなく、本発明の趣旨の範囲内であれば多種の変更、改良等が可能である。例えばネットワークを介して本実施の形態に係る検出ルール生成装置に接続されている外部のコンピュータの記憶装置に、トポロジーデータベース、構成情報記憶部、履歴情報記憶部を備え、必要に応じて読み出すようにしても良い。

　１　検出ルール生成装置
　１１　ＣＰＵ
　１２　メモリ（共有メモリ）
　１３　記憶装置
　１４　Ｉ／Ｏインタフェース
　１５　通信インタフェース
　１６　ビデオインタフェース
　１７　可搬型ディスクドライブ
　１８　内部バス
　２３　表示装置
　９０　可搬型記録媒体
　１００　コンピュータプログラム
　１３１　シンプトンデータベース
　１３２　構成情報記憶部
　１３３　履歴情報記憶部

Claims

　複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置において、
　前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得する構成情報取得手段と、
　ログ情報及び／又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集する履歴情報収集手段と、
　取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定する候補イベント特定手段と、
　特定された候補イベントを提示する候補イベント提示手段と
　を備えることを特徴とする検出ルール生成装置。
　前記検出ルールを生成してデータベースに記憶する検出ルール生成・記憶手段と、
　記憶されている検出ルールに基づいて候補イベントを検出する候補イベント検出手段と　を備え、
　前記候補イベント提示手段は、検出された前記候補イベントを提示するようにしてあることを特徴とする請求項１記載の検出ルール生成装置。
　収集される前記ログ情報及び／又は前記障害情報を事前に統一データ形式に変換するデータ形式変換手段を備え、
　前記履歴情報収集手段は、前記統一データ形式に変換された前記ログ情報及び／又は前記障害情報を収集するようにしてあることを特徴とする請求項１又は２記載の検出ルール生成装置。
　ユーザによるイベントの選択を受け付けるイベント選択受付手段と、
　選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する検出ルール抽出手段と、
　抽出された検出ルールを提示する検出ルール提示手段と、
　提示された検出ルールの更新を受け付けて前記データベースを更新するデータベース更新手段と
　を備えることを特徴とする請求項１乃至３のいずれか一項に記載の検出ルール生成装置。
　前記イベント選択受付手段で選択を受け付けたイベントが単数であるか否かを判断する単複判断手段を備え、
　該単複判断手段で単数であると判断した場合、前記検出ルール抽出手段は、イベントを確認するフィルタ・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項４記載の検出ルール生成装置。
　前記単複判断手段で複数であると判断した場合、選択を受け付けたイベントを送り出したコンポーネントが単数であるか否かを判断するコンポーネント判断手段と、
　該コンポーネント判断手段で単数であると判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段と
　を備え、
　該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、所定の数値を閾値と比較するスレッシュホールド・パターンとして前記検出ルールを抽出するようにしてあり、
　前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、イベントの並びの存否を検出するシーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項５記載の検出ルール生成装置。
　前記コンポーネント判断手段で複数であると判断した場合、複数のコンポーネント間がトポロジー上で接続されているか否かを判断する接続判断手段と、
　該接続判断手段で接続されていないと判断した場合、複数のコンポーネントが並列関係にあるか否かを判断する並列関係判断手段と
　を備え、
　該並列関係判断手段で並列関係にないと判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項６記載の検出ルール生成装置。
　前記並列関係判断手段で並列関係にあると判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段を備え、
　該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、前記スレッシュホールド・パターンとして前記検出ルールを抽出するようにしてあり、
　前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項７記載の検出ルール生成装置。
　前記接続判断手段で接続されていると判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項７記載の検出ルール生成装置。
　前記接続判断手段で接続されていると判断した場合、複数のコンポーネントが直列関係にあるか否かを判断する直列関係判断手段と、
　該直列関係判断手段で直列関係にないと判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段と
　を備え、
　該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、順序が特定されているオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあり、
　前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、順序が特定されていないアンオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあり、
　前記直列関係判断手段で直列関係にあると判断した場合、前記検出ルール抽出手段は、順序が特定されているオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項７記載の検出ルール生成装置。
　複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置で実行することが可能な検出ルール生成方法において、
　前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得し、
　ログ情報及び／又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集し、
　取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定し、
　特定された候補イベントを提示することを特徴とする検出ルール生成方法。
　前記検出ルールを生成してデータベースに記憶し、
　記憶されている検出ルールに基づいて候補イベントを検出し、
　検出された前記候補イベントを提示することを特徴とする請求項１１記載の検出ルール生成方法。
　収集される前記ログ情報及び／又は前記障害情報を事前に統一データ形式に変換し、
　前記統一データ形式に変換された前記ログ情報及び／又は前記障害情報を収集することを特徴とする請求項１１又は１２記載の検出ルール生成方法。
　ユーザによるイベントの選択を受け付け、
　選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出し、
　抽出された検出ルールを提示し、
　提示された検出ルールの更新を受け付けて前記データベースを更新することを特徴とする請求項１１乃至１３のいずれか一項に記載の検出ルール生成方法。
　複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置で実行することが可能なコンピュータプログラムにおいて、
　前記検出ルール生成装置を、
　前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得する構成情報取得手段、
　ログ情報及び／又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集する履歴情報収集手段、
　取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定する候補イベント特定手段、及び
　特定された候補イベントを提示する候補イベント提示手段
　として機能させることを特徴とするコンピュータプログラム。
　前記検出ルール生成装置を、
　前記検出ルールを生成してデータベースに記憶する検出ルール生成・記憶手段、
　記憶されている検出ルールに基づいて候補イベントを検出する候補イベント検出手段
　として機能させ、
　前記候補イベント提示手段を、検出された前記候補イベントを提示する手段として機能させることを特徴とする請求項１５記載のコンピュータプログラム。
　前記検出ルール生成装置を、
　収集される前記ログ情報及び／又は前記障害情報を事前に統一データ形式に変換するデータ形式変換手段として機能させ、
　前記履歴情報収集手段を、前記統一データ形式に変換された前記ログ情報及び／又は前記障害情報を収集する手段として機能させることを特徴とする請求項１５又は１６記載のコンピュータプログラム。
　前記検出ルール生成装置を、
　ユーザによるイベントの選択を受け付けるイベント選択受付手段、
　選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する検出ルール抽出手段、
　抽出された検出ルールを提示する検出ルール提示手段、及び
　提示された検出ルールの更新を受け付けて前記データベースを更新するデータベース更新手段
　として機能させることを特徴とする請求項１５乃至１７のいずれか一項に記載のコンピュータプログラム。