ネットワークシステム、管理装置、管理方法及び管理プログラム
【課題】通信に問題のある箇所の特定を迅速に行なうことを課題とする。
【解決手段】ネットワークシステムにおいて、収集装置は、ネットワークに接続された機器からトラフィック情報を収集し、収集した情報から管理装置による検索条件として利用される通信情報を抽出し、抽出した通信情報と、トラフィック情報の収集時刻と、自己の収集装置を識別するための識別情報とを含む要約情報を生成し、所定の契機で要約情報を管理装置に送信する。管理装置は、所定の時間範囲に含まれる収集時刻に対応する通信情報と識別情報とを、所定の時間範囲ごとに要約情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録し、時間帯と通信情報に該当する索引情報とを含んだ要求を外部装置から受け付けた場合に、記憶部を検索して得られる識別情報を外部装置に送信する。
【解決手段】ネットワークシステムにおいて、収集装置は、ネットワークに接続された機器からトラフィック情報を収集し、収集した情報から管理装置による検索条件として利用される通信情報を抽出し、抽出した通信情報と、トラフィック情報の収集時刻と、自己の収集装置を識別するための識別情報とを含む要約情報を生成し、所定の契機で要約情報を管理装置に送信する。管理装置は、所定の時間範囲に含まれる収集時刻に対応する通信情報と識別情報とを、所定の時間範囲ごとに要約情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録し、時間帯と通信情報に該当する索引情報とを含んだ要求を外部装置から受け付けた場合に、記憶部を検索して得られる識別情報を外部装置に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークシステム、管理装置、管理方法及び管理プログラムに関する。
【背景技術】
【0002】
従来、ローカル端末で利用や管理をしていた資源をネットワーク上のサーバ装置に移行することで、複数の利用者で資源を共有するクラウドコンピューティング(Cloud Computing)が知られている。かかるクラウドコンピューティングには、物理マシン上で少なくとも一つの仮想マシンを動作させる仮想化技術が適用されることがある。つまり、ネットワークに複数接続されることがあるサーバ装置それぞれは、一つの様態として、複数の仮想マシン環境を含むことになる。
【0003】
例えば、このような仮想化技術が適用されたクラウドコンピューティングのサービスを管理する管理者は、通信に問題がある指摘を利用者から受けた場合に、該当するトラフィックを特定して問題点を把握する必要がある。問題点の把握において、管理者は、利用者単位、特定のサーバ装置、特定のロケーション単位等に相当する、IP(Internet Protocol)アドレスとVLAN‐ID(Virtual Local Area Network‐Identifier)との単位でトラフィックを計測する。これにより、管理者は、通信に問題のある箇所を特定する。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−50433号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、従来技術では、通信に問題のある箇所の特定を迅速に行なうことができないという問題がある。具体的に、従来技術では、利用者単位等で通信に問題のある箇所を特定しているため、ネットワークのシステム構成が変更されると、これに伴い計測する箇所も手動で変更することになる。この結果、従来技術では、トラフィックの継続的な計測を行ないたい場合であっても、ネットワークのシステム構成が変更されると、通信に問題のある箇所の特定を迅速に行なうことができない。
【0006】
そこで、本発明は、上記に鑑みてなされたものであって、通信に問題のある箇所の特定を迅速に行なうことが可能であるネットワークシステム、管理装置、管理方法及び管理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上述した課題を解決し、目的を達成するため、本発明に係るネットワークシステムは、収集装置と、該収集装置にネットワークで接続され前記収集装置を管理する管理装置とを有するネットワークシステムであって、前記収集装置は、前記ネットワークに接続された機器から、トラフィックに関する情報を収集する収集部と、前記収集部によって収集された情報から前記管理装置による検索条件として利用される通信情報を抽出し、抽出した通信情報と、前記トラフィックに関する情報を収集した時刻である収集時刻情報と、自己の収集装置を識別するための識別情報とを含む要約情報を生成する要約情報生成部と、前記要約情報生成部によって生成された要約情報を所定の契機で前記管理装置に送信する要約情報送信部とを有し、前記管理装置は、前記収集装置によって送信された要約情報を受信する要約情報受信部と、前記要約情報受信部によって受信された要約情報のうち、所定時間の範囲に含まれる前記収集時刻情報に対応する前記通信情報と前記識別情報とを、前記所定時間の範囲ごとに、要約情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する登録部と、時間帯と前記通信情報に該当する索引情報とを含んだ要求を外部装置から受け付けた場合に、前記時間帯と前記索引情報とを条件として前記記憶部を検索し、検索結果として得られた識別情報を前記外部装置に送信する識別情報送信部とを有する。
【発明の効果】
【0008】
本発明に係るネットワークシステム、管理装置、管理方法及び管理プログラムの一つの様態によれば、通信に問題のある箇所の特定を迅速に行なうことができるという効果を奏する。
【図面の簡単な説明】
【0009】
【図1】図1は、実施例1に係るネットワークシステムの構成例を示す図である。
【図2】図2は、実施例1に係る収集装置と管理装置との構成例を示す図である。
【図3】図3は、ブルームフィルタの追加と削除との例について説明する図である。
【図4A】図4Aは、要約情報の追加例について説明する図である。
【図4B】図4Bは、要約情報の追加例について説明する図である。
【図5A】図5Aは、識別情報の要求例について説明する図である。
【図5B】図5Bは、識別情報の要求例について説明する図である。
【図6】図6は、実施例1に係る処理全体の流れの例を示すシーケンス図である。
【図7】図7は、実施例2に係るNATデバイスによるアドレス変換前後のフロー情報をマージする例を説明する図である。
【図8】図8は、実施例2に係る収集装置と管理装置との構成例を示す図である。
【図9】図9は、実施例2に係るフロー情報マージ処理の流れの例を示すフローチャートである。
【図10】図10は、実施例3に係るライブマイグレーション時の動作例について説明する図である。
【図11】図11は、実施例3に係る収集装置と管理装置との構成例を示す図である。
【図12】図12は、実施例3に係るライブマイグレーション時の収集処理の流れの例を示すフローチャートである。
【図13】図13は、本発明に係る管理プログラムがコンピュータを用いて具体的に実現されることを示す図である。
【図14A】図14Aは、従来技術に係るネットワークシステムの構成例を示す図である。
【図14B】図14Bは、従来技術に係るネットワークシステムによる動作例を説明する図である。
【発明を実施するための形態】
【0010】
以下に添付図面を参照して、本発明に係るネットワークシステム、管理装置、管理方法及び管理プログラムの実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。また、各実施例は、内容を矛盾させない範囲で適宜組み合わせることが可能である。
【実施例1】
【0011】
[従来技術に係るネットワークシステム]
まず、図14A及び図14Bを用いて、従来技術に係るネットワークシステムについて説明する。図14Aは、従来技術に係るネットワークシステムの構成例を示す図である。また、図14Bは、従来技術に係るネットワークシステムによる動作例を説明する図である。
【0012】
例えば、図14Aに示すように、ネットワークシステムには、物理マシンであるサーバ装置等を示す情報処理装置A、情報処理装置B及び情報処理装置Cと、各情報処理装置に接続されたスイッチと、各スイッチに接続されたルータとが含まれる。同様に、ネットワークシステムには、計測されたトラフィックを収集する収集装置であるコレクタが含まれる。なお、ネットワークシステムに含まれる各装置の数は、図示のものに限られない。
【0013】
また、各情報処理装置は、仮想マシンであるVM(Virtual Machine)1及びVM2の生成や制御を行なうハイパーバイザと、種々のハードウェアとを有する。かかる各情報処理装置は、2重化されていても良い。また、ハイパーバイザは、仮想マシンモニタ(VMM:Virtual Machine Monitor)等と呼ばれることがある。また、VM1は、利用者に提供するサービスであるAP(Application)1と、ハイパーバイザによって制御されるOS(Operating System)1とを含む。同様に、VM2は、AP2とOS2とを含む。なお、各情報処理装置に含まれるVMの数は、図示のものに限られない。
【0014】
上記構成において、利用者に対して情報処理装置Aに含まれるVM1及びVM2のAP1及びAP2のサービスを提供する場合を説明する。また、情報処理装置Aは、例えば、2重化されているものとする。このとき、図14Aの黒い円で示す位置、すなわち情報処理装置A及び該情報処理装置Aに接続されるスイッチの位置は、利用者によって利用されるサービスに該当するトラフィックが計測される計測点となる。そして、コレクタは、図14Aの破線矢印で示すように、情報処理装置A及び該情報処理装置Aに接続されるスイッチから、計測されたトラフィックに関する情報を収集する。これにより、管理者は、コレクタによって収集されたトラフィックに関する情報に基づき、通信に問題のある箇所を特定する。
【0015】
その後、図14Bに示すように、図14Aに示す情報処理装置AのVM2から情報処理装置BのVM1に利用者によって利用されるサービスが移動した場合を説明する。かかるサービスの移動は、一つの様態として、実行中の仮想マシンを別のホストに移動するライブマイグレーション(LM:Live Migration)等が該当する。また、情報処理装置Bは、例えば、情報処理装置Aと同様に2重化されているものとする。このとき、図14Bの黒い円で示す位置、すなわち情報処理装置A及び該情報処理装置Aに接続されるスイッチの位置と、情報処理装置B及び該情報処理装置Bに接続されるスイッチの位置とは、利用者によって利用されるサービスに該当するトラフィックが計測される計測点となる。
【0016】
そして、コレクタは、図14Bの破線矢印で示すように、情報処理装置A及び該情報処理装置Aに接続されるスイッチから、計測されたトラフィックに関する情報を収集する。同様に、コレクタは、図14Bの破線矢印で示すように、情報処理装置B及び該情報処理装置Bに接続されるスイッチから、計測されたトラフィックに関する情報を収集する。これにより、管理者は、コレクタによって収集されたトラフィックに関する情報に基づき、通信に問題のある箇所を特定する。但し、ライブマイグレーション等により計測点が変更された場合に、管理者は、計測点を手動で変更することになる。これらの結果、従来技術では、トラフィックの継続的な計測を行ないたい場合であっても、ネットワークのシステム構成が変更されると、手動で計測点を変更することになるため、通信に問題のある箇所の特定を迅速に行なうことができない。
【0017】
[システム構成]
次に、図1を用いて、実施例1に係るネットワークシステムの構成を説明する。図1は、実施例1に係るネットワークシステムの構成例を示す図である。
【0018】
例えば、図1に示すように、実施例1に係るネットワークシステムには、物理マシンであるサーバ装置等を示す情報処理装置A、情報処理装置B及び情報処理装置Cと、これらの情報処理装置に接続されたスイッチとが含まれる。同様に、ネットワークシステムには、各スイッチに接続されたルータと、該ルータにさらに接続されたルータとが含まれる。同様に、ネットワークシステムには、管理装置と外部装置とが含まれる。なお、ネットワークシステムに含まれる各装置の数は、図示のものに限られない。また、外部装置とは、例えば、ネットワークシステムを監視する監視者によって操作される監視装置等である。
【0019】
また、各情報処理装置は、仮想マシンであるVM1、VM2又は収集装置の生成や制御を行なうハイパーバイザと、種々のハードウェアとを有する。かかる情報処理装置は、2重化されていても良い。また、ハイパーバイザは、仮想マシンモニタ等と呼ばれることがある。また、VM1は、利用者に提供するサービスであるAP1と、ハイパーバイザによって制御されるOS1とを含む。同様に、VM2は、AP2とOS2とを含む。同様に、収集装置は、ハイパーバイザによって制御されるOSを含む。なお、各情報処理装置に含まれるVMの数は、図示のものに限られない。
【0020】
上記構成において、情報処理装置の全てがアクティブ状態である場合に、各収集装置は、図1の(A)〜(G)に示す計測点に配置された機器から、トラフィックに関する情報を収集する。具体的には、スイッチやルータ等は、計測したトラフィックに関する情報を、ネットワーク内で近傍の収集装置に対して通知する。例えば、計測点(A)と計測点(D)とのトラフィックに関する情報は、情報処理装置Aに含まれる収集装置によって収集される。また、計測点(B)のトラフィックに関する情報は、情報処理装置Bに含まれる収集装置によって収集される。また、計測点(C)のトラフィックに関する情報は、情報処理装置Cに含まれる収集装置によって収集される。また、計測点(E)、(F)及び(G)のトラフィックに関する情報は、それぞれの計測点に近傍の図示されていない収集装置によって収集される。なお、各計測点で計測されたトラフィック情報をどの収集装置が収集するかについては、予め決定される。
【0021】
そして、各収集装置は、収集された情報から管理装置による検索条件として利用される通信情報を抽出し、抽出した通信情報と、トラフィックに関する情報を収集した時刻である収集時刻情報と、自己の収集装置を識別するための識別情報とを含む要約情報を生成する。続いて、各収集装置は、生成した要約情報を所定の契機で管理装置に送信する。かかる所定の契機は、例えば、情報収集毎や一定時間毎等である。
【0022】
一方、管理装置は、収集装置によって送信された要約情報を受信する。そして、管理装置は、受信した要約情報のうち、所定時間の範囲に含まれる収集時刻情報に対応する通信情報と識別情報とを、該所定時間の範囲ごとに、要約情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する。ここで、かかるデータ構造は、例えば、ブルームフィルタ(BF:Bloom Filter)等が挙げられる。その後、管理装置は、時間帯と通信情報に該当する索引情報とを含んだ要求を外部装置から受け付けた場合に、時間帯と索引情報とを条件として記憶部を検索し、検索結果として得られた識別情報を外部装置に送信する。かかるブルームフィルタについては、“BURTON H. BLOOM,「Space/Time Trade‐offs in Hash Coding with Allowable Errors. Communications of the ACM Vol.13 Issue 7:422‐426(1970)」”等の論文がある。
【0023】
つまり、実施例1に係るネットワークシステムは、全ての計測点で常時計測されるトラフィック情報を集約し、記憶領域を効率良く利用可能なデータ構造で登録するので、外部装置からの計測点の問い合わせに対しても高速に応答することができる。換言すると、実施例1に係るネットワークシステムは、利用者単位等で通信に問題のある箇所を特定するために、計測点が変更されると継続してトラフィック計測できない従来技術と比較して、通信に問題のある箇所の特定を迅速に行なうことができる。
【0024】
[実施例1に係る装置構成]
次に、図2を用いて、実施例1に係る収集装置と管理装置との構成を説明する。図2は、実施例1に係る収集装置と管理装置との構成例を示す図である。なお、以下の説明では、収集されるトラフィックに関する情報の例として、送信元や送信先のIPアドレス、送信元や送信先のポート番号、通信で利用されるプロトコル又はVLAN‐ID等を含むフロー情報を挙げて説明する。
【0025】
例えば、図2に示すように、収集装置100は、記憶部110と、制御部120とを有し、ネットワークに接続される機器からフロー情報を収集するコレクタである。記憶部110は、例えば、制御部120による各種処理に要するデータや、制御部120による各種処理結果を記憶する。
【0026】
制御部120は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。かかる制御部120には、収集部121と、要約情報生成部122と、要約情報送信部123とが含まれる。
【0027】
収集部121は、例えば、ネットワークに接続されたスイッチやルータ、収集装置100を含むサーバ装置等の情報処理装置から、フロー情報を収集する。また、収集部121は、フロー情報の収集毎に、収集した時刻を記録しておく。なお、収集部121は、収集したフロー情報と、フロー情報を収集した時刻とを要約情報生成部122に通知する。或いは、収集部121は、収集したフロー情報と、フロー情報を収集した時刻とを記憶部110に登録しても良い。
【0028】
要約情報生成部122は、例えば、収集部121によって収集されたフロー情報から、管理装置150による検索条件の一つとして利用される送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDとを抽出する。要約情報生成部122によって抽出された送信元IPアドレス又は送信先IPアドレスについて、単に「IPアドレス」と呼ぶことがある。
【0029】
そして、要約情報生成部122は、抽出したIPアドレス及びVLAN‐IDと、フロー情報を収集した時刻と、収集装置100を識別するための識別情報とを含む要約情報を生成する。なお、要約情報生成部122は、生成した要約情報を要約情報送信部123に通知する。要約情報送信部123は、例えば、要約情報生成部122によって生成された要約情報を、フロー情報の収集毎や一定時間毎等の所定の契機で管理装置150に送信する。すなわち、要約情報とは、トラフィック交流に関する要約情報である。
【0030】
また、例えば、図2に示すように、管理装置150は、記憶部160と、制御部170とを有する。記憶部160は、例えば、制御部170による各種処理に要するデータや、制御部170による各種処理結果を記憶する。また、記憶部160は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。
【0031】
制御部170は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。また、制御部170は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又はCPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。かかる制御部170には、要約情報受信部171と、登録部172と、識別情報送信部173とが含まれる。
【0032】
要約情報受信部171は、例えば、収集装置100によって送信された要約情報を受信する。なお、要約情報受信部171は、受信した要約情報を登録部172に通知する。登録部172は、例えば、要約情報受信部171によって受信された要約情報のうち、所定の時間範囲に含まれるフロー情報を収集した時刻に対応する、IPアドレス及びVLAN‐IDと収集装置100を識別するための識別情報とを取得する。そして、登録部172は、所定の時間範囲ごとに、取得したIPアドレス及びVLAN‐IDと識別情報とを、ブルームフィルタによるデータ構造で記憶部160に登録する。
【0033】
ここで、図3を用いて、ブルームフィルタの追加と削除とについて説明する。図3は、ブルームフィルタの追加と削除との例について説明する図である。例えば、図3に示すように、記憶部160におけるブルームフィルタは、所定時間の範囲として1時間ごとに、時間の古い順に配列される。例を挙げると、「2011/03/01 00:00〜00:59」のブルームフィルタから、「2011/03/31 05:00〜05:59」のブルームフィルタまで配列される。
【0034】
そして、このようなブルームフィルタの配列において、新たなブルームフィルタの配列が追加される場合に、時間の最も古い「2011/03/01 00:00〜00:59」のブルームフィルタは削除される。なお、ブルームフィルタの削除については、一定時間の経過毎に実行されても良い。すなわち、記憶領域を効率良く利用可能なデータ構造であるブルームフィルタを適用するとともに、所定の契機で時間の最も古いブルームフィルタを削除することにより、データ量の増大を抑制している。
【0035】
ここで、図4A及び図4Bを用いて、要約情報の追加について説明する。図4A及び図4Bは、要約情報の追加例について説明する図である。例えば、収集装置100からの要約情報は、「([(IPk,vlank)|k=1,・・・,n],time,collector_id)」で与えられる。これらのうち、「IPk」は、IPアドレスを表している。また、「vlank」は、VLAN‐IDを表している。また、「time」は、収集時刻を表している。また、「collector_id」は、収集装置100の識別情報を表している。
【0036】
図4Aの例において、上記要約情報を受け付けた登録部172は、収集時刻「time」に該当するブルームフィルタの配列を引き、該当するブルームフィルタ「2011/03/31 05:00〜05:59」を取得する。そして、登録部172は、IPアドレス「IPk」、VLAN‐ID「vlank」及び識別情報「collector_id」をキーとして、取得したブルームフィルタ「2011/03/31 05:00〜05:59」に追加する。
【0037】
図4Bの例において、上記要約情報を受け付けた登録部172は、収集時刻「time」に該当するブルームフィルタの配列を引き、該当するブルームフィルタ「2011/03/31 05:00〜05:59」を取得する。さらに、登録部172は、識別情報「collector_id」に該当するブルームフィルタの配列を引き、該当するブルームフィルタ「Collector_id=1」を取得する。そして、登録部172は、IPアドレス「IPk」及びVLAN‐ID「vlank」をキーとして、取得したブルームフィルタ「Collector_id=1」に追加する。すなわち、ブルームフィルタは、IPアドレスの分散や収集装置の数等によって、そのデータ構造を変化させても良い。
【0038】
なお、上記の例に限られるものではなく、要約情報に含まれる「IPk」と「vlank」とについては、「IPk」又は「vlank」でユニークに特定しても良いし、「IPk」と「vlank」との組み合わせによって、ユニークに特定しても良い。
【0039】
図2の説明に戻り、識別情報送信部173は、例えば、時間帯と、索引であるIPアドレス及びVLAN‐IDとを含んだ要求を外部装置から受け付けた場合に、時間帯、IPアドレス及びVLAN‐IDをキーとして記憶部160を検索する。そして、識別情報送信部173は、検索の結果、得られた識別情報を外部装置に送信する。
【0040】
ここで、図5A及び図5Bを用いて、識別情報の要求について説明する。図5A及び図5Bは、識別情報の要求例について説明する図である。例えば、外部装置からの識別情報の要求は、「(IP,vlan,timefrom,timeto)」で与えられる。これらのうち、「IP」は、IPアドレスを表している。また、「vlan」は、VLAN‐IDを表している。また、「timefrom」と「timeto」とで、時間帯を表している。
【0041】
図5Aの例において、上記要求を受け付けた識別情報送信部173は、時間帯「timefrom〜timeto」を含むブルームフィルタ「2011/03/31 05:00〜05:59」を参照する。そして、識別情報送信部173は、IPアドレス「IP」とVLAN‐ID「vlan」とを条件として識別情報「collector_id」を検索する。続いて、識別情報送信部173は、検索結果として得られた識別情報「collector_id」の集合を外部装置に送信する。外部装置に送信される識別情報に該当する収集装置100に近傍の機器に対しては、通信に問題のある箇所である可能性があるため、外部装置は、受信した識別情報に該当する収集装置100にアクセスして、収集装置100が収集して記憶しているトラフィック情報の該当箇所を参照することで、かかる問題の有無や故障箇所等の確認を行なう。
【0042】
図5Bの例において、上記要求を受け付けた識別情報送信部173は、時間帯「timefrom〜timeto」を含むブルームフィルタ「2011/03/31 05:00〜05:59」を参照する。さらに、識別情報送信部173は、IPアドレス「IP」とVLAN‐ID「vlan」とに該当するブルームフィルタ「Collector_id=1」を参照する。そして、識別情報送信部173は、参照の結果、得られた識別情報「collector_id」の集合を外部装置に送信する。同様に、外部装置に送信される識別情報に該当する収集装置100に近傍の機器に対しては、通信に問題のある箇所である可能性があり、後に、かかる問題の有無や故障箇所等の確認が行われる。
【0043】
[実施例1に係る処理シーケンス]
次に、図6を用いて、実施例1に係る処理全体の流れを説明する。図6は、実施例1に係る処理全体の流れの例を示すシーケンス図である。なお、図6において、ネットワーク機器とは、トラフィックを計測するスイッチやルータ、或いは、サーバ装置等の情報処理装置を指す。
【0044】
例えば、図6に示すように、各ネットワーク機器は、トラフィックに関する情報を収集し、収集した情報を収集装置100に対して送信する(ステップS101)。トラフィックに関する情報は、例えば、送信元や送信先のIPアドレス、送信元や送信先のポート番号、通信で利用されるプロトコル又はVLAN‐ID等を含むフロー情報等である。
【0045】
また、収集装置100は、各ネットワーク機器から送信されたトラフィックに関する情報であるフロー情報を収集する(ステップS102)。そして、収集装置100は、フロー情報から送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDとを抽出し、これらと、フロー情報を収集した時刻と、自己の収集装置100を識別するための識別情報とを含む要約情報を生成する(ステップS103)。続いて、収集装置100は、生成した要約情報を所定の契機で管理装置150に対して送信する(ステップS104)。所定の契機は、例えば、フロー情報の収集毎や一定時間毎等である。
【0046】
また、管理装置150は、収集装置100によって送信された要約情報を受信する(ステップS105)。そして、管理装置150は、受信した要約情報のうち、送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDと、識別情報とを、フロー情報を収集した時刻を含む所定の時間範囲ごとに、ブルームフィルタによるデータ構造で記憶部160に登録する(ステップS106)。
【0047】
また、外部装置は、時間帯と、索引である送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDとを含む識別情報の要求を管理装置150に対して送信する(ステップS107)。また、外部装置から要求を受け付けた管理装置150は、時間帯、送信元IPアドレス又は送信先IPアドレス及びVLAN‐IDをキーとして記憶部160を検索し、検索結果として得られた識別情報の集合を外部装置に対して送信する(ステップS108)。また、外部装置は、管理装置150によって送信された識別情報の集合を受信する(ステップS109)。
【0048】
[実施例1による効果]
上述したように、ネットワークシステムにおいて、収集装置100は、ネットワークに接続された機器からトラフィック情報を収集し、管理装置150による検索条件として利用される通信情報を抽出し、抽出した通信情報と、トラフィックの収集時刻と、自己の収集装置100を識別するための識別情報とを含む要約情報を生成して、管理装置150に対して要約情報を送信する。また、管理装置150は、要約情報のうち、所定時間の範囲に含まれる収集時刻に対応する通信情報と識別情報とを、所定時間の範囲ごとに、要約情報の何れかの情報がどの配列に含まれているかをビット列で表現したブルームフィルタ等のデータ構造で記憶部110に登録する。その後、管理装置150は、時間帯と通信情報に該当する索引情報とを含んだ要求を外部装置から受け付けた場合に、時間帯と索引情報とを条件として記憶部110を検索し、検索結果として得られた識別情報を外部装置に送信する。これらの結果、ネットワークシステムは、通信に問題のある箇所の特定を迅速に行なうことができる。
【0049】
また、本発明は、所定時間の範囲毎に(ブルーム)フィルタを用意することで、各フィルタに追加される要素が分散されるため、1つのフィルタへの追加要素数が膨大になることによる偽陰性発生率を抑えることができる。また、1つのブルームフィルタに全ての要素を追加した場合は、そのフィルタから一部の要素を削除することはできないものの、本発明では、不要になった所定時間範囲のフィルタについて、フィルタごと削除すれば良いため、削除が容易となり、また、精度に影響を及ぼすこともない。
【実施例2】
【0050】
上記実施例1では、各収集装置で収集されたフロー情報に含まれるIPアドレスを要約情報の一つとして利用する場合を説明した。但し、IPアドレスについては、以下に説明するように、異なるフロー情報に含まれる異なるIPアドレスが元々は同一のIPアドレスである可能性もある。そこで、以下では、異なるフロー情報に含まれる異なるIPアドレスが元々は同一のIPアドレスである場合のネットワークシステムについて説明する。
【0051】
[実施例2に係るフロー情報マージ処理]
図7は、実施例2に係るNAT(Network Address Translation)デバイスによるアドレス変換前後のフロー情報をマージする例を説明する図である。例えば、図7に示すように、ネットワークシステムにおいて、パケット等を伝送する伝送装置からネットワークへパケット伝送される場合に、トラフィック計測するスイッチの計測点(X)と(Y)との間にアドレス変換を実行するNATデバイスが配置されている。
【0052】
上記構成において、収集装置は、計測点(X)と(Y)とのスイッチから、フロー情報を収集する。このとき、計測点(X)と(Y)とにおけるフロー情報に含まれるIPアドレスは、NATデバイスによって変換されているため異なるものの、実際には同一のIPアドレスとして扱われることが好ましい。具体的には、図7の例において、計測点(X)からは、グローバルIPアドレスを含むフロー情報が送信される。同様に、図7の例において、計測点(Y)からは、グローバルIPアドレスへの変換前のIPアドレス(ローカルIPアドレス)を含むフロー情報が送信される。
【0053】
このことから、収集装置は、計測点(X)から収集されるフロー情報に含まれるグローバルIPアドレスを予め保持しておく。そして、収集装置は、計測点(X)から、予め保持しているグローバルIPアドレスを含むフロー情報を収集した場合に、NATデバイスによるアドレス変換前後の送信元IPアドレス又は送信先IPアドレスと、アドレス変換前後のIPアドレスを対応付けるためのセッションIDとが一致するフロー情報をマージした要約情報を生成する。かかるセッションIDは、TCP(Transmission Control Protocol)やUDP(User Datagram Protocol)による通信の単位を識別するためのものであり、アドレス変換前後のIPアドレスの対応付けに利用されるIDである。
【0054】
[実施例2に係る装置構成]
次に、図8を用いて、実施例2に係る収集装置と管理装置との構成を説明する。図8は、実施例2に係る収集装置と管理装置との構成例を示す図である。なお、図8において、実施例1に係る収集装置100や管理装置150と同様の構成要素については、同一の符号を付している。以下では、実施例1とは異なる構成要素について主に説明し、同様の構成要素についてはその説明を省略する。
【0055】
例えば、図8に示すように、収集装置200は、記憶部210と、制御部220とを有し、ネットワークに接続される機器からフロー情報を収集するコレクタである。記憶部210は、例えば、制御部220による各種処理に要するデータや、制御部220による各種処理結果を記憶する。例えば、記憶部210は、ネットワークに接続されたNATデバイス等のアドレス変換装置によるアドレス変換後のグローバルIPアドレスを記憶する。
【0056】
制御部220は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。かかる制御部220には、収集部221と、要約情報生成部222と、要約情報送信部123とが含まれる。
【0057】
収集部221は、例えば、ネットワークに接続されたスイッチやルータ、収集装置200を含むサーバ装置等の情報処理装置から、フロー情報を収集する。また、収集部221は、フロー情報の収集毎に、収集した時刻を記録しておく。そして、収集部221は、収集したフロー情報と、フロー情報を収集した時刻とを記憶部210に登録する。なお、収集部221は、収集したフロー情報とフロー情報を収集した旨とを要約情報生成部222に通知する。
【0058】
要約情報生成部222は、例えば、収集部221によって収集されたフロー情報から、管理装置150による検索条件の一つとして利用される送信元IPアドレス又は送信元IPアドレスと、VLAN‐IDとを抽出する。要約情報生成部222によって抽出された送信元IPアドレス又は送信先IPアドレスについて、単に「IPアドレス」と呼ぶことがある。
【0059】
そして、要約情報生成部222は、記憶部210を参照し、予め保持しているグローバルIPアドレスを含むフロー情報が収集部221によって収集されたか否かを判定する。ここで、要約情報生成部222は、グローバルIPアドレスを含むフロー情報が収集されたと判定した場合に、NATデバイスによる変換前後の送信元IPアドレス又は送信先IPアドレスと、セッションIDとが一致するか否かを判定する。
【0060】
このとき、要約情報生成部222は、これらの情報が一致すると判定した場合に、一致したフロー情報をマージして、変換前のIPアドレス(プライベート側)及びVLAN‐IDと、フロー情報を収集した時刻と、自己の収集装置200を識別するための識別情報とを含む要約情報を生成する。かかるマージについては、プライベートアドレスのトラヒック情報と、グローバルアドレスのトラヒック情報とで、セッションIDが一致しているものであれば、両トラヒック情報をプライベートアドレスのトラヒック情報として統合するものである。なお、要約情報生成部222は、生成した要約情報を要約情報送信部123に通知する。要約情報送信部123は、例えば、要約情報生成部222によって生成された要約情報を、フロー情報の収集毎や一定時間毎等の所定の契機で管理装置150に送信する。
【0061】
[実施例2に係るフロー情報マージ処理の流れ]
次に、図9を用いて、実施例2に係るフロー情報マージ処理の流れについて説明する。図9は、実施例2に係るフロー情報マージ処理の流れの例を示すフローチャートである。
【0062】
例えば、図9に示すように、収集装置200は、グローバルIPアドレスを含むフロー情報を収集した場合に(ステップS201肯定)、NATデバイスによるアドレス変換前後の所定情報を取得する(ステップS202)。ここで、所定情報とは、例えば、送信元IPアドレス又は送信先IPアドレスと、セッションIDとである。一方、収集装置200は、グローバルIPアドレスを含むフロー情報を収集していない場合に(ステップS201否定)、マージ処理を実行することなく、実施例1と同様の処理を実行する。
【0063】
そして、収集装置200は、取得したNATデバイスによるアドレス変換前後の所定情報が一致するか否かを判定する(ステップS203)。このとき、収集装置200は、所定情報が一致すると判定した場合に(ステップS203肯定)、NATデバイス変換前後におけるフロー情報をマージした要約情報を生成する(ステップS204)。一方、収集装置200は、所定情報が一致しないと判定した場合に(ステップS203否定)、マージ処理を実行することなく、実施例1と同様の処理を実行する。
【0064】
[実施例2による効果]
上述したように、ネットワークシステムにおいて、収集装置200は、予め保持しているグローバルIPアドレスを含むフロー情報を収集した場合に、NATデバイス等のアドレス変換装置によるアドレス変換前後のフロー情報について、送信元IPアドレス又は送信先IPアドレスと、セッションIDとが一致するフロー情報をマージした要約情報を生成して、管理装置150に対して要約情報を送信する。これらの結果、ネットワークシステムは、管理装置150によって管理されるデータ量を削減できるので、より高速に識別情報を検索することができる。
【実施例3】
【0065】
上記実施例1では、ネットワークに含まれる情報処理装置の全てがアクティブ状態である場合を説明した。本発明は、ネットワークに含まれる情報処理装置の何れかがアクティブ状態であり、さらにシステム構成が変更される場合にも適用することができる。そこで、以下では、ネットワークに含まれる情報処理装置の何れかがアクティブ状態であり、さらにシステム構成が変更される場合を説明する。
【0066】
[実施例3に係るライブマイグレーション時の動作]
図10を用いて、実施例3に係るライブマイグレーション時の動作について説明する。図10は、実施例3に係るライブマイグレーション時の動作例について説明する図である。
【0067】
例えば、図10において、実施例3に係るネットワークシステムでは、当初、情報処理装置Aのみがアクティブ状態であり、さらに、情報処理装置Aに含まれるVM1とVM2とによってサービスが提供されているものとする。このとき、計測点(A)と計測点(D)とのトラフィックに関する情報は、情報処理装置Aに含まれる収集装置によって収集される。また、計測点(F)及び(G)のトラフィックに関する情報は、それぞれの計測点に近傍の図示されていない収集装置によって収集される。これにより、情報処理装置Aに含まれる収集装置は、図10の(O)に示すように、生成した要約情報を管理装置へ送信する。
【0068】
このような状態において、図10の実線矢印で示すように、情報処理装置Aに含まれるVM2が情報処理装置CのVM1へライブマイグレーションされる場合を説明する。かかるライブマイグレーションにより、情報処理装置Cの電源が投入されるとともに、情報処理装置Cに接続されるスイッチについても電源が投入される。このとき、電源投入された情報処理装置Cと該情報処理装置Cに接続されたスイッチとは、予め決定されているトラフィック情報の送信先を設定する。また、電源投入後、情報処理装置Cに含まれる収集装置は、起動待ちの状態から復帰すると、管理装置に対して要約情報の送信開始の旨を通知する。
【0069】
これらにより、計測点(A)と計測点(D)とのトラフィックに関する情報は、情報処理装置Aに含まれる収集装置によって収集される。また、計測点(C)のトラフィックに関する情報は、情報処理装置Cに含まれる収集装置によって収集される。また、計測点(E)、(F)及び(G)のトラフィックに関する情報は、それぞれの計測点に近傍の図示されていない収集装置によって収集される。その後、情報処理装置Aに含まれる収集装置は、図10の(O)に示すように、生成した要約情報を管理装置へ送信する。また、情報処理装置Cに含まれる収集装置は、図10の(P)に示すように、生成した要約情報を管理装置へ送信する。
【0070】
[実施例3に係る装置構成]
次に、図11を用いて、実施例3に係る収集装置と管理装置との構成を説明する。図11は、実施例3に係る収集装置と管理装置との構成例を示す図である。なお、図11において、実施例1に係る収集装置や管理装置と同様の構成要素については、同一の符号を付している。以下では、実施例1とは異なる構成要素について主に説明し、同様の構成要素についてはその説明を省略する。
【0071】
例えば、図11に示すように、収集装置300は、記憶部110と、制御部320とを有し、ネットワークに接続される機器からフロー情報を収集するコレクタである。また、収集装置300は、ネットワークに接続されたサーバ装置等の所定の物理マシン上に構築される。記憶部110は、例えば、制御部320による各種処理に要するデータや、制御部320による各種処理結果を記憶する。制御部320は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。かかる制御部320には、収集部321と、要約情報生成部122と、要約情報送信部123とが含まれる。
【0072】
収集部321は、例えば、ライブマイグレーション等によるシステム構成の変化をトリガとして、サーバ装置等の所定の物理マシンの電源が投入され、収集装置300がアクティブ状態に遷移した場合に、ネットワークに接続されたスイッチやルータ、収集装置300を含むサーバ装置等の所定の物理マシンから、フロー情報を収集する。また、収集部321は、フロー情報の収集毎に、収集した時刻を記録しておく。なお、収集部321は、収集したフロー情報と、フロー情報を収集した時刻とを要約情報生成部122に通知する。或いは、収集部321は、収集したフロー情報と、フロー情報を収集した時刻とを記憶部110に登録しても良い。
【0073】
要約情報生成部122は、例えば、収集部321によって収集されたフロー情報から、管理装置150による検索条件の一つとして利用される送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDとを抽出する。要約情報生成部122によって抽出された送信元IPアドレス又は送信先IPアドレスについて、単に「IPアドレス」と呼ぶことがある。
【0074】
そして、要約情報生成部122は、抽出したIPアドレス及びVLAN‐IDと、フロー情報を収集した時刻と、収集装置300を識別するための識別情報とを含む要約情報を生成する。なお、要約情報生成部122は、生成した要約情報を要約情報送信部123に通知する。要約情報送信部123は、例えば、要約情報生成部122によって生成された要約情報を、フロー情報の収集毎や一定時間毎等の所定の契機で管理装置150に送信する。
【0075】
[ライブマイグレーション時の収集処理の流れ]
次に、図12を用いて、実施例3に係るライブマイグレーション時の収集処理について説明する。図12は、実施例3に係るライブマイグレーション時の収集処理の流れの例を示すフローチャートである。
【0076】
例えば、図12に示すように、収集装置300は、収集装置300を含む物理マシンの電源が投入された場合に(ステップS301肯定)、ネットワークに接続された機器からトラフィックに関する情報であるフロー情報を収集する(ステップS302)。なお、収集装置300は、物理マシンの電源が投入されていない場合に(ステップS301否定)、物理マシンの電源投入待ち、すなわち起動待ちの状態となる。
【0077】
そして、収集装置300は、収集したフロー情報から送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDとを抽出し、これらと、フロー情報を収集した時刻と、収集装置300を識別するための識別情報とを含む要約情報を生成する(ステップS303)。続いて、収集装置300は、生成した要約情報を所定の契機で管理装置150に対して送信する(ステップS304)。所定の契機は、例えば、フロー情報の収集毎や一定時間毎等である。
【0078】
[実施例3による効果]
上述したように、ネットワークシステムにおいて、収集装置300は、ライブマイグレーション等のシステム構成の変化に伴い、ネットワーク機器からトラフィック情報を収集する。この結果、ネットワークシステムは、手動で計測点を変更する従来技術と比較して、継続してトラフィック情報を収集できるとともに、通信に問題のある箇所の特定を迅速に行なうことができる。
【実施例4】
【0079】
さて、これまで本発明に係る収集装置と管理装置とを含むネットワークシステムの実施例について説明したが、上述した実施例以外にも種々の異なる形態にて実施されてよいものである。そこで、(1)収集する情報、(2)異常系、(3)計測可能なトラフィック、(4)構成、(5)プログラム、において異なる実施例を説明する。
【0080】
(1)収集する情報
上記実施例では、ネットワークに接続された各ネットワーク機器からトラフィックに関する情報を収集する場合を説明したが、収集する情報についてはトラフィックに関する情報に限られるものではない。例えば、ネットワークに接続されるサーバ装置のログ情報等であっても良く、管理装置は、ネットワークから収集された収集情報を管理する。かかるサーバ装置とは、上記実施例における収集装置自体や収集装置に接続されたサーバ装置を指す。なお、収集する情報は、収集装置自体の動作に関する情報、及び/又は、収集装置に接続された他のサーバ装置の動作に関する情報であっても良い。さらには、管理装置の外部から収集した情報でも、管理装置の内部で生成された情報であっても良い。
【0081】
具体的には、管理装置は、ネットワークから収集された収集情報のうち、所定時間の範囲に含まれる該収集情報を送信した送信元装置における収集情報の収集時刻である収集時刻情報に対応する、管理装置による検索条件として利用される索引情報と、該送信元装置を識別するための識別情報とを、所定時間の範囲ごとに、収集情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する。その後、管理装置は、時間帯と索引情報とを含んだ要求を外部装置から受け付けた場合に、時間帯と索引情報とを条件として記憶部を検索し、検索結果として得られた識別情報を外部装置に送信する。
【0082】
ここで、収集する情報について、上記のログ情報を含む収集情報を例に挙げて説明する。例えば、上記実施例における収集装置やネットワークに接続されたサーバ装置等は、ログ情報を含む収集情報を管理装置に対して送信する。かかる収集情報には、一つの様態として、アラートを識別するアラートIDを含むログ情報と、ログ情報を収集又は生成した時刻である収集時刻情報と、収集装置やサーバ装置を識別するための識別情報とを含む。
【0083】
また、管理装置は、これらの情報を含んだ収集情報を受信し、受信した収集情報のうち、所定時間の範囲に含まれる収集時刻情報に対応する、アラートIDと識別情報とを、所定時間の範囲ごとに、ブルームフィルタによるデータ構造で記憶部に登録する。ここで、アラートIDは、索引情報として利用される情報の一例である。また、ブルームフィルタの利用については、上記実施例と同様であるためその説明を省略する。その後、管理装置は、時間帯と、索引情報に該当するアラートIDとを含んだ要求を外部装置から受け付けた場合に、時間帯及びアラートIDをキーとして記憶部を検索する。すなわち、管理者は、顧客からの通信に係る問い合わせに応じて、アラートの種別に応じたアラートIDとともに、時間帯を外部装置に入力する。そして、管理装置は、検索の結果、得られた識別情報を外部装置に送信する。
【0084】
このように、本発明に係る管理装置は、ネットワークにおける各種情報を収集し、ブルームフィルタによるデータ構造で収集情報を登録するので、トラフィックに関する情報に限らない種々の情報に対する問い合わせ要求に応じた、通信に問題のある箇所の特定を迅速に行なうことができる。
【0085】
(2)異常系
上記実施例において、管理装置は、ネットワーク内の各収集装置との通信状況の状態を管理することもできる。例えば、上記実施例で説明したように、収集装置は、要約情報の送信を開始する場合に、送信開始の旨を管理装置に対して通知する。同様に、収集装置は、要約情報の送信を終了する場合に、送信終了の旨を管理装置に対して通知する。ここで、要約情報の送信を終了する場合とは、VMやハードウェア全体がシャットダウンされる場合等である。
【0086】
このとき、管理装置は、例えば、要約情報が送信開始されている状態において、収集装置から要約情報が受信できなくなった場合に、異常であると判定する。収集装置から要約情報が受信できなくなった場合については、例えば、定期的に送信されていた要約情報が過去の2倍以上の間隔で受信出来なくなった場合や、所定時間送信されて来なかった場合等でも良い。また、管理装置は、例えば、要約情報が送信終了されている状態において、収集装置から要約情報を受信した場合に、異常ではあるものの、該要約情報の受信を要約情報の送信開始の合図として判定して受信を開始するようにしても良い。
【0087】
(3)計測可能なトラフィック
上記実施例において、図1を例に挙げると、情報処理装置Aで計測可能なトラフィックは、VM1、VM2及び収集装置間の相互通信と、VM1及び外部の他装置間の通信と、VM2及び外部の他装置間の通信と、収集装置及び外部の他装置間の通信におけるトラフィックとなる。
【0088】
(4)構成
また、上記文書中や図面中等で示した処理手順、制御手順、具体的名称、各種のデータやパラメタ等を含む情報(例えば、収集装置100によって生成される要約情報や、管理装置150によって記憶部に登録される際のデータ構造等)については、特記する場合を除いて任意に変更することができる。
【0089】
また、図示した収集装置100や管理装置150の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は、図示のものに限られず、その全部又は一部を各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合することができる。
【0090】
また、収集装置100や管理装置150にて行われる各処理機能は、その全部又は任意の一部が、CPU及び該CPUにて解析実行されるプログラムにて実現され、或いは、ワイヤードロジックによるハードウェアとして実現され得る。
【0091】
(5)プログラム
図13は、本発明に係る管理プログラムがコンピュータを用いて具体的に実現されることを示す図である。図13に例示するように、コンピュータ1000は、例えば、メモリ1001と、CPU1002と、ハードディスクドライブインタフェース1003と、ディスクドライブインタフェース1004と、シリアルポートインタフェース1005と、ビデオアダプタ1006と、ネットワークインタフェース1007とを有し、これらの各部はバス1008によって接続される。
【0092】
メモリ1001は、図13に例示するように、ROM1001a及びRAM1001bを含む。ROM1001aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1003は、図13に例示するように、ハードディスクドライブ1009に接続される。ディスクドライブインタフェース1004は、図13に例示するように、ディスクドライブ1010に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1010に挿入される。シリアルポートインタフェース1005は、図13に例示するように、例えばマウス1011、キーボード1012に接続される。ビデオアダプタ1006は、図13に例示するように、例えばディスプレイ1013に接続される。
【0093】
ここで、図13に例示するように、ハードディスクドライブ1009は、例えば、OS(Operating System)1009a、アプリケーションプログラム1009b、プログラムモジュール1009c、プログラムデータ1009dを記憶する。すなわち、本発明に係る管理プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1009cとして、例えばハードディスクドライブ1009に記憶される。具体的には、上記実施例で説明した要約情報受信部171と同様の処理を実行する要約情報受信手順と、登録部172と同様の処理を実行する登録手順と、識別情報送信部173と同様の処理を実行する識別情報送信手順とが記述されたプログラムモジュール1009cが、ハードディスクドライブ1009に記憶される。また、上記実施例で説明した記憶部160に記憶されるデータのように、管理プログラムによる処理に用いられるデータは、プログラムデータ1009dとして、例えばハードディスクドライブ1009に記憶される。そして、CPU1002が、ハードディスクドライブ1009に記憶されたプログラムモジュール1009cやプログラムデータ1009dを必要に応じてRAM1001bに読み出し、要約情報受信手順、登録手順、識別情報送信手順を実行する。
【0094】
なお、管理プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ハードディスクドライブ1009に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1010等を介してCPU1002によって読み出されてもよい。あるいは、管理プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1007を介してCPU1002によって読み出されてもよい。
【符号の説明】
【0095】
100 収集装置
110 記憶部
120 制御部
121 収集部
122 要約情報生成部
123 要約情報送信部
150 管理装置
160 記憶部
170 制御部
171 要約情報受信部
172 登録部
173 識別情報送信部
【技術分野】
【0001】
本発明は、ネットワークシステム、管理装置、管理方法及び管理プログラムに関する。
【背景技術】
【0002】
従来、ローカル端末で利用や管理をしていた資源をネットワーク上のサーバ装置に移行することで、複数の利用者で資源を共有するクラウドコンピューティング(Cloud Computing)が知られている。かかるクラウドコンピューティングには、物理マシン上で少なくとも一つの仮想マシンを動作させる仮想化技術が適用されることがある。つまり、ネットワークに複数接続されることがあるサーバ装置それぞれは、一つの様態として、複数の仮想マシン環境を含むことになる。
【0003】
例えば、このような仮想化技術が適用されたクラウドコンピューティングのサービスを管理する管理者は、通信に問題がある指摘を利用者から受けた場合に、該当するトラフィックを特定して問題点を把握する必要がある。問題点の把握において、管理者は、利用者単位、特定のサーバ装置、特定のロケーション単位等に相当する、IP(Internet Protocol)アドレスとVLAN‐ID(Virtual Local Area Network‐Identifier)との単位でトラフィックを計測する。これにより、管理者は、通信に問題のある箇所を特定する。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−50433号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、従来技術では、通信に問題のある箇所の特定を迅速に行なうことができないという問題がある。具体的に、従来技術では、利用者単位等で通信に問題のある箇所を特定しているため、ネットワークのシステム構成が変更されると、これに伴い計測する箇所も手動で変更することになる。この結果、従来技術では、トラフィックの継続的な計測を行ないたい場合であっても、ネットワークのシステム構成が変更されると、通信に問題のある箇所の特定を迅速に行なうことができない。
【0006】
そこで、本発明は、上記に鑑みてなされたものであって、通信に問題のある箇所の特定を迅速に行なうことが可能であるネットワークシステム、管理装置、管理方法及び管理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上述した課題を解決し、目的を達成するため、本発明に係るネットワークシステムは、収集装置と、該収集装置にネットワークで接続され前記収集装置を管理する管理装置とを有するネットワークシステムであって、前記収集装置は、前記ネットワークに接続された機器から、トラフィックに関する情報を収集する収集部と、前記収集部によって収集された情報から前記管理装置による検索条件として利用される通信情報を抽出し、抽出した通信情報と、前記トラフィックに関する情報を収集した時刻である収集時刻情報と、自己の収集装置を識別するための識別情報とを含む要約情報を生成する要約情報生成部と、前記要約情報生成部によって生成された要約情報を所定の契機で前記管理装置に送信する要約情報送信部とを有し、前記管理装置は、前記収集装置によって送信された要約情報を受信する要約情報受信部と、前記要約情報受信部によって受信された要約情報のうち、所定時間の範囲に含まれる前記収集時刻情報に対応する前記通信情報と前記識別情報とを、前記所定時間の範囲ごとに、要約情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する登録部と、時間帯と前記通信情報に該当する索引情報とを含んだ要求を外部装置から受け付けた場合に、前記時間帯と前記索引情報とを条件として前記記憶部を検索し、検索結果として得られた識別情報を前記外部装置に送信する識別情報送信部とを有する。
【発明の効果】
【0008】
本発明に係るネットワークシステム、管理装置、管理方法及び管理プログラムの一つの様態によれば、通信に問題のある箇所の特定を迅速に行なうことができるという効果を奏する。
【図面の簡単な説明】
【0009】
【図1】図1は、実施例1に係るネットワークシステムの構成例を示す図である。
【図2】図2は、実施例1に係る収集装置と管理装置との構成例を示す図である。
【図3】図3は、ブルームフィルタの追加と削除との例について説明する図である。
【図4A】図4Aは、要約情報の追加例について説明する図である。
【図4B】図4Bは、要約情報の追加例について説明する図である。
【図5A】図5Aは、識別情報の要求例について説明する図である。
【図5B】図5Bは、識別情報の要求例について説明する図である。
【図6】図6は、実施例1に係る処理全体の流れの例を示すシーケンス図である。
【図7】図7は、実施例2に係るNATデバイスによるアドレス変換前後のフロー情報をマージする例を説明する図である。
【図8】図8は、実施例2に係る収集装置と管理装置との構成例を示す図である。
【図9】図9は、実施例2に係るフロー情報マージ処理の流れの例を示すフローチャートである。
【図10】図10は、実施例3に係るライブマイグレーション時の動作例について説明する図である。
【図11】図11は、実施例3に係る収集装置と管理装置との構成例を示す図である。
【図12】図12は、実施例3に係るライブマイグレーション時の収集処理の流れの例を示すフローチャートである。
【図13】図13は、本発明に係る管理プログラムがコンピュータを用いて具体的に実現されることを示す図である。
【図14A】図14Aは、従来技術に係るネットワークシステムの構成例を示す図である。
【図14B】図14Bは、従来技術に係るネットワークシステムによる動作例を説明する図である。
【発明を実施するための形態】
【0010】
以下に添付図面を参照して、本発明に係るネットワークシステム、管理装置、管理方法及び管理プログラムの実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。また、各実施例は、内容を矛盾させない範囲で適宜組み合わせることが可能である。
【実施例1】
【0011】
[従来技術に係るネットワークシステム]
まず、図14A及び図14Bを用いて、従来技術に係るネットワークシステムについて説明する。図14Aは、従来技術に係るネットワークシステムの構成例を示す図である。また、図14Bは、従来技術に係るネットワークシステムによる動作例を説明する図である。
【0012】
例えば、図14Aに示すように、ネットワークシステムには、物理マシンであるサーバ装置等を示す情報処理装置A、情報処理装置B及び情報処理装置Cと、各情報処理装置に接続されたスイッチと、各スイッチに接続されたルータとが含まれる。同様に、ネットワークシステムには、計測されたトラフィックを収集する収集装置であるコレクタが含まれる。なお、ネットワークシステムに含まれる各装置の数は、図示のものに限られない。
【0013】
また、各情報処理装置は、仮想マシンであるVM(Virtual Machine)1及びVM2の生成や制御を行なうハイパーバイザと、種々のハードウェアとを有する。かかる各情報処理装置は、2重化されていても良い。また、ハイパーバイザは、仮想マシンモニタ(VMM:Virtual Machine Monitor)等と呼ばれることがある。また、VM1は、利用者に提供するサービスであるAP(Application)1と、ハイパーバイザによって制御されるOS(Operating System)1とを含む。同様に、VM2は、AP2とOS2とを含む。なお、各情報処理装置に含まれるVMの数は、図示のものに限られない。
【0014】
上記構成において、利用者に対して情報処理装置Aに含まれるVM1及びVM2のAP1及びAP2のサービスを提供する場合を説明する。また、情報処理装置Aは、例えば、2重化されているものとする。このとき、図14Aの黒い円で示す位置、すなわち情報処理装置A及び該情報処理装置Aに接続されるスイッチの位置は、利用者によって利用されるサービスに該当するトラフィックが計測される計測点となる。そして、コレクタは、図14Aの破線矢印で示すように、情報処理装置A及び該情報処理装置Aに接続されるスイッチから、計測されたトラフィックに関する情報を収集する。これにより、管理者は、コレクタによって収集されたトラフィックに関する情報に基づき、通信に問題のある箇所を特定する。
【0015】
その後、図14Bに示すように、図14Aに示す情報処理装置AのVM2から情報処理装置BのVM1に利用者によって利用されるサービスが移動した場合を説明する。かかるサービスの移動は、一つの様態として、実行中の仮想マシンを別のホストに移動するライブマイグレーション(LM:Live Migration)等が該当する。また、情報処理装置Bは、例えば、情報処理装置Aと同様に2重化されているものとする。このとき、図14Bの黒い円で示す位置、すなわち情報処理装置A及び該情報処理装置Aに接続されるスイッチの位置と、情報処理装置B及び該情報処理装置Bに接続されるスイッチの位置とは、利用者によって利用されるサービスに該当するトラフィックが計測される計測点となる。
【0016】
そして、コレクタは、図14Bの破線矢印で示すように、情報処理装置A及び該情報処理装置Aに接続されるスイッチから、計測されたトラフィックに関する情報を収集する。同様に、コレクタは、図14Bの破線矢印で示すように、情報処理装置B及び該情報処理装置Bに接続されるスイッチから、計測されたトラフィックに関する情報を収集する。これにより、管理者は、コレクタによって収集されたトラフィックに関する情報に基づき、通信に問題のある箇所を特定する。但し、ライブマイグレーション等により計測点が変更された場合に、管理者は、計測点を手動で変更することになる。これらの結果、従来技術では、トラフィックの継続的な計測を行ないたい場合であっても、ネットワークのシステム構成が変更されると、手動で計測点を変更することになるため、通信に問題のある箇所の特定を迅速に行なうことができない。
【0017】
[システム構成]
次に、図1を用いて、実施例1に係るネットワークシステムの構成を説明する。図1は、実施例1に係るネットワークシステムの構成例を示す図である。
【0018】
例えば、図1に示すように、実施例1に係るネットワークシステムには、物理マシンであるサーバ装置等を示す情報処理装置A、情報処理装置B及び情報処理装置Cと、これらの情報処理装置に接続されたスイッチとが含まれる。同様に、ネットワークシステムには、各スイッチに接続されたルータと、該ルータにさらに接続されたルータとが含まれる。同様に、ネットワークシステムには、管理装置と外部装置とが含まれる。なお、ネットワークシステムに含まれる各装置の数は、図示のものに限られない。また、外部装置とは、例えば、ネットワークシステムを監視する監視者によって操作される監視装置等である。
【0019】
また、各情報処理装置は、仮想マシンであるVM1、VM2又は収集装置の生成や制御を行なうハイパーバイザと、種々のハードウェアとを有する。かかる情報処理装置は、2重化されていても良い。また、ハイパーバイザは、仮想マシンモニタ等と呼ばれることがある。また、VM1は、利用者に提供するサービスであるAP1と、ハイパーバイザによって制御されるOS1とを含む。同様に、VM2は、AP2とOS2とを含む。同様に、収集装置は、ハイパーバイザによって制御されるOSを含む。なお、各情報処理装置に含まれるVMの数は、図示のものに限られない。
【0020】
上記構成において、情報処理装置の全てがアクティブ状態である場合に、各収集装置は、図1の(A)〜(G)に示す計測点に配置された機器から、トラフィックに関する情報を収集する。具体的には、スイッチやルータ等は、計測したトラフィックに関する情報を、ネットワーク内で近傍の収集装置に対して通知する。例えば、計測点(A)と計測点(D)とのトラフィックに関する情報は、情報処理装置Aに含まれる収集装置によって収集される。また、計測点(B)のトラフィックに関する情報は、情報処理装置Bに含まれる収集装置によって収集される。また、計測点(C)のトラフィックに関する情報は、情報処理装置Cに含まれる収集装置によって収集される。また、計測点(E)、(F)及び(G)のトラフィックに関する情報は、それぞれの計測点に近傍の図示されていない収集装置によって収集される。なお、各計測点で計測されたトラフィック情報をどの収集装置が収集するかについては、予め決定される。
【0021】
そして、各収集装置は、収集された情報から管理装置による検索条件として利用される通信情報を抽出し、抽出した通信情報と、トラフィックに関する情報を収集した時刻である収集時刻情報と、自己の収集装置を識別するための識別情報とを含む要約情報を生成する。続いて、各収集装置は、生成した要約情報を所定の契機で管理装置に送信する。かかる所定の契機は、例えば、情報収集毎や一定時間毎等である。
【0022】
一方、管理装置は、収集装置によって送信された要約情報を受信する。そして、管理装置は、受信した要約情報のうち、所定時間の範囲に含まれる収集時刻情報に対応する通信情報と識別情報とを、該所定時間の範囲ごとに、要約情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する。ここで、かかるデータ構造は、例えば、ブルームフィルタ(BF:Bloom Filter)等が挙げられる。その後、管理装置は、時間帯と通信情報に該当する索引情報とを含んだ要求を外部装置から受け付けた場合に、時間帯と索引情報とを条件として記憶部を検索し、検索結果として得られた識別情報を外部装置に送信する。かかるブルームフィルタについては、“BURTON H. BLOOM,「Space/Time Trade‐offs in Hash Coding with Allowable Errors. Communications of the ACM Vol.13 Issue 7:422‐426(1970)」”等の論文がある。
【0023】
つまり、実施例1に係るネットワークシステムは、全ての計測点で常時計測されるトラフィック情報を集約し、記憶領域を効率良く利用可能なデータ構造で登録するので、外部装置からの計測点の問い合わせに対しても高速に応答することができる。換言すると、実施例1に係るネットワークシステムは、利用者単位等で通信に問題のある箇所を特定するために、計測点が変更されると継続してトラフィック計測できない従来技術と比較して、通信に問題のある箇所の特定を迅速に行なうことができる。
【0024】
[実施例1に係る装置構成]
次に、図2を用いて、実施例1に係る収集装置と管理装置との構成を説明する。図2は、実施例1に係る収集装置と管理装置との構成例を示す図である。なお、以下の説明では、収集されるトラフィックに関する情報の例として、送信元や送信先のIPアドレス、送信元や送信先のポート番号、通信で利用されるプロトコル又はVLAN‐ID等を含むフロー情報を挙げて説明する。
【0025】
例えば、図2に示すように、収集装置100は、記憶部110と、制御部120とを有し、ネットワークに接続される機器からフロー情報を収集するコレクタである。記憶部110は、例えば、制御部120による各種処理に要するデータや、制御部120による各種処理結果を記憶する。
【0026】
制御部120は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。かかる制御部120には、収集部121と、要約情報生成部122と、要約情報送信部123とが含まれる。
【0027】
収集部121は、例えば、ネットワークに接続されたスイッチやルータ、収集装置100を含むサーバ装置等の情報処理装置から、フロー情報を収集する。また、収集部121は、フロー情報の収集毎に、収集した時刻を記録しておく。なお、収集部121は、収集したフロー情報と、フロー情報を収集した時刻とを要約情報生成部122に通知する。或いは、収集部121は、収集したフロー情報と、フロー情報を収集した時刻とを記憶部110に登録しても良い。
【0028】
要約情報生成部122は、例えば、収集部121によって収集されたフロー情報から、管理装置150による検索条件の一つとして利用される送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDとを抽出する。要約情報生成部122によって抽出された送信元IPアドレス又は送信先IPアドレスについて、単に「IPアドレス」と呼ぶことがある。
【0029】
そして、要約情報生成部122は、抽出したIPアドレス及びVLAN‐IDと、フロー情報を収集した時刻と、収集装置100を識別するための識別情報とを含む要約情報を生成する。なお、要約情報生成部122は、生成した要約情報を要約情報送信部123に通知する。要約情報送信部123は、例えば、要約情報生成部122によって生成された要約情報を、フロー情報の収集毎や一定時間毎等の所定の契機で管理装置150に送信する。すなわち、要約情報とは、トラフィック交流に関する要約情報である。
【0030】
また、例えば、図2に示すように、管理装置150は、記憶部160と、制御部170とを有する。記憶部160は、例えば、制御部170による各種処理に要するデータや、制御部170による各種処理結果を記憶する。また、記憶部160は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。
【0031】
制御部170は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。また、制御部170は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又はCPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。かかる制御部170には、要約情報受信部171と、登録部172と、識別情報送信部173とが含まれる。
【0032】
要約情報受信部171は、例えば、収集装置100によって送信された要約情報を受信する。なお、要約情報受信部171は、受信した要約情報を登録部172に通知する。登録部172は、例えば、要約情報受信部171によって受信された要約情報のうち、所定の時間範囲に含まれるフロー情報を収集した時刻に対応する、IPアドレス及びVLAN‐IDと収集装置100を識別するための識別情報とを取得する。そして、登録部172は、所定の時間範囲ごとに、取得したIPアドレス及びVLAN‐IDと識別情報とを、ブルームフィルタによるデータ構造で記憶部160に登録する。
【0033】
ここで、図3を用いて、ブルームフィルタの追加と削除とについて説明する。図3は、ブルームフィルタの追加と削除との例について説明する図である。例えば、図3に示すように、記憶部160におけるブルームフィルタは、所定時間の範囲として1時間ごとに、時間の古い順に配列される。例を挙げると、「2011/03/01 00:00〜00:59」のブルームフィルタから、「2011/03/31 05:00〜05:59」のブルームフィルタまで配列される。
【0034】
そして、このようなブルームフィルタの配列において、新たなブルームフィルタの配列が追加される場合に、時間の最も古い「2011/03/01 00:00〜00:59」のブルームフィルタは削除される。なお、ブルームフィルタの削除については、一定時間の経過毎に実行されても良い。すなわち、記憶領域を効率良く利用可能なデータ構造であるブルームフィルタを適用するとともに、所定の契機で時間の最も古いブルームフィルタを削除することにより、データ量の増大を抑制している。
【0035】
ここで、図4A及び図4Bを用いて、要約情報の追加について説明する。図4A及び図4Bは、要約情報の追加例について説明する図である。例えば、収集装置100からの要約情報は、「([(IPk,vlank)|k=1,・・・,n],time,collector_id)」で与えられる。これらのうち、「IPk」は、IPアドレスを表している。また、「vlank」は、VLAN‐IDを表している。また、「time」は、収集時刻を表している。また、「collector_id」は、収集装置100の識別情報を表している。
【0036】
図4Aの例において、上記要約情報を受け付けた登録部172は、収集時刻「time」に該当するブルームフィルタの配列を引き、該当するブルームフィルタ「2011/03/31 05:00〜05:59」を取得する。そして、登録部172は、IPアドレス「IPk」、VLAN‐ID「vlank」及び識別情報「collector_id」をキーとして、取得したブルームフィルタ「2011/03/31 05:00〜05:59」に追加する。
【0037】
図4Bの例において、上記要約情報を受け付けた登録部172は、収集時刻「time」に該当するブルームフィルタの配列を引き、該当するブルームフィルタ「2011/03/31 05:00〜05:59」を取得する。さらに、登録部172は、識別情報「collector_id」に該当するブルームフィルタの配列を引き、該当するブルームフィルタ「Collector_id=1」を取得する。そして、登録部172は、IPアドレス「IPk」及びVLAN‐ID「vlank」をキーとして、取得したブルームフィルタ「Collector_id=1」に追加する。すなわち、ブルームフィルタは、IPアドレスの分散や収集装置の数等によって、そのデータ構造を変化させても良い。
【0038】
なお、上記の例に限られるものではなく、要約情報に含まれる「IPk」と「vlank」とについては、「IPk」又は「vlank」でユニークに特定しても良いし、「IPk」と「vlank」との組み合わせによって、ユニークに特定しても良い。
【0039】
図2の説明に戻り、識別情報送信部173は、例えば、時間帯と、索引であるIPアドレス及びVLAN‐IDとを含んだ要求を外部装置から受け付けた場合に、時間帯、IPアドレス及びVLAN‐IDをキーとして記憶部160を検索する。そして、識別情報送信部173は、検索の結果、得られた識別情報を外部装置に送信する。
【0040】
ここで、図5A及び図5Bを用いて、識別情報の要求について説明する。図5A及び図5Bは、識別情報の要求例について説明する図である。例えば、外部装置からの識別情報の要求は、「(IP,vlan,timefrom,timeto)」で与えられる。これらのうち、「IP」は、IPアドレスを表している。また、「vlan」は、VLAN‐IDを表している。また、「timefrom」と「timeto」とで、時間帯を表している。
【0041】
図5Aの例において、上記要求を受け付けた識別情報送信部173は、時間帯「timefrom〜timeto」を含むブルームフィルタ「2011/03/31 05:00〜05:59」を参照する。そして、識別情報送信部173は、IPアドレス「IP」とVLAN‐ID「vlan」とを条件として識別情報「collector_id」を検索する。続いて、識別情報送信部173は、検索結果として得られた識別情報「collector_id」の集合を外部装置に送信する。外部装置に送信される識別情報に該当する収集装置100に近傍の機器に対しては、通信に問題のある箇所である可能性があるため、外部装置は、受信した識別情報に該当する収集装置100にアクセスして、収集装置100が収集して記憶しているトラフィック情報の該当箇所を参照することで、かかる問題の有無や故障箇所等の確認を行なう。
【0042】
図5Bの例において、上記要求を受け付けた識別情報送信部173は、時間帯「timefrom〜timeto」を含むブルームフィルタ「2011/03/31 05:00〜05:59」を参照する。さらに、識別情報送信部173は、IPアドレス「IP」とVLAN‐ID「vlan」とに該当するブルームフィルタ「Collector_id=1」を参照する。そして、識別情報送信部173は、参照の結果、得られた識別情報「collector_id」の集合を外部装置に送信する。同様に、外部装置に送信される識別情報に該当する収集装置100に近傍の機器に対しては、通信に問題のある箇所である可能性があり、後に、かかる問題の有無や故障箇所等の確認が行われる。
【0043】
[実施例1に係る処理シーケンス]
次に、図6を用いて、実施例1に係る処理全体の流れを説明する。図6は、実施例1に係る処理全体の流れの例を示すシーケンス図である。なお、図6において、ネットワーク機器とは、トラフィックを計測するスイッチやルータ、或いは、サーバ装置等の情報処理装置を指す。
【0044】
例えば、図6に示すように、各ネットワーク機器は、トラフィックに関する情報を収集し、収集した情報を収集装置100に対して送信する(ステップS101)。トラフィックに関する情報は、例えば、送信元や送信先のIPアドレス、送信元や送信先のポート番号、通信で利用されるプロトコル又はVLAN‐ID等を含むフロー情報等である。
【0045】
また、収集装置100は、各ネットワーク機器から送信されたトラフィックに関する情報であるフロー情報を収集する(ステップS102)。そして、収集装置100は、フロー情報から送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDとを抽出し、これらと、フロー情報を収集した時刻と、自己の収集装置100を識別するための識別情報とを含む要約情報を生成する(ステップS103)。続いて、収集装置100は、生成した要約情報を所定の契機で管理装置150に対して送信する(ステップS104)。所定の契機は、例えば、フロー情報の収集毎や一定時間毎等である。
【0046】
また、管理装置150は、収集装置100によって送信された要約情報を受信する(ステップS105)。そして、管理装置150は、受信した要約情報のうち、送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDと、識別情報とを、フロー情報を収集した時刻を含む所定の時間範囲ごとに、ブルームフィルタによるデータ構造で記憶部160に登録する(ステップS106)。
【0047】
また、外部装置は、時間帯と、索引である送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDとを含む識別情報の要求を管理装置150に対して送信する(ステップS107)。また、外部装置から要求を受け付けた管理装置150は、時間帯、送信元IPアドレス又は送信先IPアドレス及びVLAN‐IDをキーとして記憶部160を検索し、検索結果として得られた識別情報の集合を外部装置に対して送信する(ステップS108)。また、外部装置は、管理装置150によって送信された識別情報の集合を受信する(ステップS109)。
【0048】
[実施例1による効果]
上述したように、ネットワークシステムにおいて、収集装置100は、ネットワークに接続された機器からトラフィック情報を収集し、管理装置150による検索条件として利用される通信情報を抽出し、抽出した通信情報と、トラフィックの収集時刻と、自己の収集装置100を識別するための識別情報とを含む要約情報を生成して、管理装置150に対して要約情報を送信する。また、管理装置150は、要約情報のうち、所定時間の範囲に含まれる収集時刻に対応する通信情報と識別情報とを、所定時間の範囲ごとに、要約情報の何れかの情報がどの配列に含まれているかをビット列で表現したブルームフィルタ等のデータ構造で記憶部110に登録する。その後、管理装置150は、時間帯と通信情報に該当する索引情報とを含んだ要求を外部装置から受け付けた場合に、時間帯と索引情報とを条件として記憶部110を検索し、検索結果として得られた識別情報を外部装置に送信する。これらの結果、ネットワークシステムは、通信に問題のある箇所の特定を迅速に行なうことができる。
【0049】
また、本発明は、所定時間の範囲毎に(ブルーム)フィルタを用意することで、各フィルタに追加される要素が分散されるため、1つのフィルタへの追加要素数が膨大になることによる偽陰性発生率を抑えることができる。また、1つのブルームフィルタに全ての要素を追加した場合は、そのフィルタから一部の要素を削除することはできないものの、本発明では、不要になった所定時間範囲のフィルタについて、フィルタごと削除すれば良いため、削除が容易となり、また、精度に影響を及ぼすこともない。
【実施例2】
【0050】
上記実施例1では、各収集装置で収集されたフロー情報に含まれるIPアドレスを要約情報の一つとして利用する場合を説明した。但し、IPアドレスについては、以下に説明するように、異なるフロー情報に含まれる異なるIPアドレスが元々は同一のIPアドレスである可能性もある。そこで、以下では、異なるフロー情報に含まれる異なるIPアドレスが元々は同一のIPアドレスである場合のネットワークシステムについて説明する。
【0051】
[実施例2に係るフロー情報マージ処理]
図7は、実施例2に係るNAT(Network Address Translation)デバイスによるアドレス変換前後のフロー情報をマージする例を説明する図である。例えば、図7に示すように、ネットワークシステムにおいて、パケット等を伝送する伝送装置からネットワークへパケット伝送される場合に、トラフィック計測するスイッチの計測点(X)と(Y)との間にアドレス変換を実行するNATデバイスが配置されている。
【0052】
上記構成において、収集装置は、計測点(X)と(Y)とのスイッチから、フロー情報を収集する。このとき、計測点(X)と(Y)とにおけるフロー情報に含まれるIPアドレスは、NATデバイスによって変換されているため異なるものの、実際には同一のIPアドレスとして扱われることが好ましい。具体的には、図7の例において、計測点(X)からは、グローバルIPアドレスを含むフロー情報が送信される。同様に、図7の例において、計測点(Y)からは、グローバルIPアドレスへの変換前のIPアドレス(ローカルIPアドレス)を含むフロー情報が送信される。
【0053】
このことから、収集装置は、計測点(X)から収集されるフロー情報に含まれるグローバルIPアドレスを予め保持しておく。そして、収集装置は、計測点(X)から、予め保持しているグローバルIPアドレスを含むフロー情報を収集した場合に、NATデバイスによるアドレス変換前後の送信元IPアドレス又は送信先IPアドレスと、アドレス変換前後のIPアドレスを対応付けるためのセッションIDとが一致するフロー情報をマージした要約情報を生成する。かかるセッションIDは、TCP(Transmission Control Protocol)やUDP(User Datagram Protocol)による通信の単位を識別するためのものであり、アドレス変換前後のIPアドレスの対応付けに利用されるIDである。
【0054】
[実施例2に係る装置構成]
次に、図8を用いて、実施例2に係る収集装置と管理装置との構成を説明する。図8は、実施例2に係る収集装置と管理装置との構成例を示す図である。なお、図8において、実施例1に係る収集装置100や管理装置150と同様の構成要素については、同一の符号を付している。以下では、実施例1とは異なる構成要素について主に説明し、同様の構成要素についてはその説明を省略する。
【0055】
例えば、図8に示すように、収集装置200は、記憶部210と、制御部220とを有し、ネットワークに接続される機器からフロー情報を収集するコレクタである。記憶部210は、例えば、制御部220による各種処理に要するデータや、制御部220による各種処理結果を記憶する。例えば、記憶部210は、ネットワークに接続されたNATデバイス等のアドレス変換装置によるアドレス変換後のグローバルIPアドレスを記憶する。
【0056】
制御部220は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。かかる制御部220には、収集部221と、要約情報生成部222と、要約情報送信部123とが含まれる。
【0057】
収集部221は、例えば、ネットワークに接続されたスイッチやルータ、収集装置200を含むサーバ装置等の情報処理装置から、フロー情報を収集する。また、収集部221は、フロー情報の収集毎に、収集した時刻を記録しておく。そして、収集部221は、収集したフロー情報と、フロー情報を収集した時刻とを記憶部210に登録する。なお、収集部221は、収集したフロー情報とフロー情報を収集した旨とを要約情報生成部222に通知する。
【0058】
要約情報生成部222は、例えば、収集部221によって収集されたフロー情報から、管理装置150による検索条件の一つとして利用される送信元IPアドレス又は送信元IPアドレスと、VLAN‐IDとを抽出する。要約情報生成部222によって抽出された送信元IPアドレス又は送信先IPアドレスについて、単に「IPアドレス」と呼ぶことがある。
【0059】
そして、要約情報生成部222は、記憶部210を参照し、予め保持しているグローバルIPアドレスを含むフロー情報が収集部221によって収集されたか否かを判定する。ここで、要約情報生成部222は、グローバルIPアドレスを含むフロー情報が収集されたと判定した場合に、NATデバイスによる変換前後の送信元IPアドレス又は送信先IPアドレスと、セッションIDとが一致するか否かを判定する。
【0060】
このとき、要約情報生成部222は、これらの情報が一致すると判定した場合に、一致したフロー情報をマージして、変換前のIPアドレス(プライベート側)及びVLAN‐IDと、フロー情報を収集した時刻と、自己の収集装置200を識別するための識別情報とを含む要約情報を生成する。かかるマージについては、プライベートアドレスのトラヒック情報と、グローバルアドレスのトラヒック情報とで、セッションIDが一致しているものであれば、両トラヒック情報をプライベートアドレスのトラヒック情報として統合するものである。なお、要約情報生成部222は、生成した要約情報を要約情報送信部123に通知する。要約情報送信部123は、例えば、要約情報生成部222によって生成された要約情報を、フロー情報の収集毎や一定時間毎等の所定の契機で管理装置150に送信する。
【0061】
[実施例2に係るフロー情報マージ処理の流れ]
次に、図9を用いて、実施例2に係るフロー情報マージ処理の流れについて説明する。図9は、実施例2に係るフロー情報マージ処理の流れの例を示すフローチャートである。
【0062】
例えば、図9に示すように、収集装置200は、グローバルIPアドレスを含むフロー情報を収集した場合に(ステップS201肯定)、NATデバイスによるアドレス変換前後の所定情報を取得する(ステップS202)。ここで、所定情報とは、例えば、送信元IPアドレス又は送信先IPアドレスと、セッションIDとである。一方、収集装置200は、グローバルIPアドレスを含むフロー情報を収集していない場合に(ステップS201否定)、マージ処理を実行することなく、実施例1と同様の処理を実行する。
【0063】
そして、収集装置200は、取得したNATデバイスによるアドレス変換前後の所定情報が一致するか否かを判定する(ステップS203)。このとき、収集装置200は、所定情報が一致すると判定した場合に(ステップS203肯定)、NATデバイス変換前後におけるフロー情報をマージした要約情報を生成する(ステップS204)。一方、収集装置200は、所定情報が一致しないと判定した場合に(ステップS203否定)、マージ処理を実行することなく、実施例1と同様の処理を実行する。
【0064】
[実施例2による効果]
上述したように、ネットワークシステムにおいて、収集装置200は、予め保持しているグローバルIPアドレスを含むフロー情報を収集した場合に、NATデバイス等のアドレス変換装置によるアドレス変換前後のフロー情報について、送信元IPアドレス又は送信先IPアドレスと、セッションIDとが一致するフロー情報をマージした要約情報を生成して、管理装置150に対して要約情報を送信する。これらの結果、ネットワークシステムは、管理装置150によって管理されるデータ量を削減できるので、より高速に識別情報を検索することができる。
【実施例3】
【0065】
上記実施例1では、ネットワークに含まれる情報処理装置の全てがアクティブ状態である場合を説明した。本発明は、ネットワークに含まれる情報処理装置の何れかがアクティブ状態であり、さらにシステム構成が変更される場合にも適用することができる。そこで、以下では、ネットワークに含まれる情報処理装置の何れかがアクティブ状態であり、さらにシステム構成が変更される場合を説明する。
【0066】
[実施例3に係るライブマイグレーション時の動作]
図10を用いて、実施例3に係るライブマイグレーション時の動作について説明する。図10は、実施例3に係るライブマイグレーション時の動作例について説明する図である。
【0067】
例えば、図10において、実施例3に係るネットワークシステムでは、当初、情報処理装置Aのみがアクティブ状態であり、さらに、情報処理装置Aに含まれるVM1とVM2とによってサービスが提供されているものとする。このとき、計測点(A)と計測点(D)とのトラフィックに関する情報は、情報処理装置Aに含まれる収集装置によって収集される。また、計測点(F)及び(G)のトラフィックに関する情報は、それぞれの計測点に近傍の図示されていない収集装置によって収集される。これにより、情報処理装置Aに含まれる収集装置は、図10の(O)に示すように、生成した要約情報を管理装置へ送信する。
【0068】
このような状態において、図10の実線矢印で示すように、情報処理装置Aに含まれるVM2が情報処理装置CのVM1へライブマイグレーションされる場合を説明する。かかるライブマイグレーションにより、情報処理装置Cの電源が投入されるとともに、情報処理装置Cに接続されるスイッチについても電源が投入される。このとき、電源投入された情報処理装置Cと該情報処理装置Cに接続されたスイッチとは、予め決定されているトラフィック情報の送信先を設定する。また、電源投入後、情報処理装置Cに含まれる収集装置は、起動待ちの状態から復帰すると、管理装置に対して要約情報の送信開始の旨を通知する。
【0069】
これらにより、計測点(A)と計測点(D)とのトラフィックに関する情報は、情報処理装置Aに含まれる収集装置によって収集される。また、計測点(C)のトラフィックに関する情報は、情報処理装置Cに含まれる収集装置によって収集される。また、計測点(E)、(F)及び(G)のトラフィックに関する情報は、それぞれの計測点に近傍の図示されていない収集装置によって収集される。その後、情報処理装置Aに含まれる収集装置は、図10の(O)に示すように、生成した要約情報を管理装置へ送信する。また、情報処理装置Cに含まれる収集装置は、図10の(P)に示すように、生成した要約情報を管理装置へ送信する。
【0070】
[実施例3に係る装置構成]
次に、図11を用いて、実施例3に係る収集装置と管理装置との構成を説明する。図11は、実施例3に係る収集装置と管理装置との構成例を示す図である。なお、図11において、実施例1に係る収集装置や管理装置と同様の構成要素については、同一の符号を付している。以下では、実施例1とは異なる構成要素について主に説明し、同様の構成要素についてはその説明を省略する。
【0071】
例えば、図11に示すように、収集装置300は、記憶部110と、制御部320とを有し、ネットワークに接続される機器からフロー情報を収集するコレクタである。また、収集装置300は、ネットワークに接続されたサーバ装置等の所定の物理マシン上に構築される。記憶部110は、例えば、制御部320による各種処理に要するデータや、制御部320による各種処理結果を記憶する。制御部320は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。かかる制御部320には、収集部321と、要約情報生成部122と、要約情報送信部123とが含まれる。
【0072】
収集部321は、例えば、ライブマイグレーション等によるシステム構成の変化をトリガとして、サーバ装置等の所定の物理マシンの電源が投入され、収集装置300がアクティブ状態に遷移した場合に、ネットワークに接続されたスイッチやルータ、収集装置300を含むサーバ装置等の所定の物理マシンから、フロー情報を収集する。また、収集部321は、フロー情報の収集毎に、収集した時刻を記録しておく。なお、収集部321は、収集したフロー情報と、フロー情報を収集した時刻とを要約情報生成部122に通知する。或いは、収集部321は、収集したフロー情報と、フロー情報を収集した時刻とを記憶部110に登録しても良い。
【0073】
要約情報生成部122は、例えば、収集部321によって収集されたフロー情報から、管理装置150による検索条件の一つとして利用される送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDとを抽出する。要約情報生成部122によって抽出された送信元IPアドレス又は送信先IPアドレスについて、単に「IPアドレス」と呼ぶことがある。
【0074】
そして、要約情報生成部122は、抽出したIPアドレス及びVLAN‐IDと、フロー情報を収集した時刻と、収集装置300を識別するための識別情報とを含む要約情報を生成する。なお、要約情報生成部122は、生成した要約情報を要約情報送信部123に通知する。要約情報送信部123は、例えば、要約情報生成部122によって生成された要約情報を、フロー情報の収集毎や一定時間毎等の所定の契機で管理装置150に送信する。
【0075】
[ライブマイグレーション時の収集処理の流れ]
次に、図12を用いて、実施例3に係るライブマイグレーション時の収集処理について説明する。図12は、実施例3に係るライブマイグレーション時の収集処理の流れの例を示すフローチャートである。
【0076】
例えば、図12に示すように、収集装置300は、収集装置300を含む物理マシンの電源が投入された場合に(ステップS301肯定)、ネットワークに接続された機器からトラフィックに関する情報であるフロー情報を収集する(ステップS302)。なお、収集装置300は、物理マシンの電源が投入されていない場合に(ステップS301否定)、物理マシンの電源投入待ち、すなわち起動待ちの状態となる。
【0077】
そして、収集装置300は、収集したフロー情報から送信元IPアドレス又は送信先IPアドレスと、VLAN‐IDとを抽出し、これらと、フロー情報を収集した時刻と、収集装置300を識別するための識別情報とを含む要約情報を生成する(ステップS303)。続いて、収集装置300は、生成した要約情報を所定の契機で管理装置150に対して送信する(ステップS304)。所定の契機は、例えば、フロー情報の収集毎や一定時間毎等である。
【0078】
[実施例3による効果]
上述したように、ネットワークシステムにおいて、収集装置300は、ライブマイグレーション等のシステム構成の変化に伴い、ネットワーク機器からトラフィック情報を収集する。この結果、ネットワークシステムは、手動で計測点を変更する従来技術と比較して、継続してトラフィック情報を収集できるとともに、通信に問題のある箇所の特定を迅速に行なうことができる。
【実施例4】
【0079】
さて、これまで本発明に係る収集装置と管理装置とを含むネットワークシステムの実施例について説明したが、上述した実施例以外にも種々の異なる形態にて実施されてよいものである。そこで、(1)収集する情報、(2)異常系、(3)計測可能なトラフィック、(4)構成、(5)プログラム、において異なる実施例を説明する。
【0080】
(1)収集する情報
上記実施例では、ネットワークに接続された各ネットワーク機器からトラフィックに関する情報を収集する場合を説明したが、収集する情報についてはトラフィックに関する情報に限られるものではない。例えば、ネットワークに接続されるサーバ装置のログ情報等であっても良く、管理装置は、ネットワークから収集された収集情報を管理する。かかるサーバ装置とは、上記実施例における収集装置自体や収集装置に接続されたサーバ装置を指す。なお、収集する情報は、収集装置自体の動作に関する情報、及び/又は、収集装置に接続された他のサーバ装置の動作に関する情報であっても良い。さらには、管理装置の外部から収集した情報でも、管理装置の内部で生成された情報であっても良い。
【0081】
具体的には、管理装置は、ネットワークから収集された収集情報のうち、所定時間の範囲に含まれる該収集情報を送信した送信元装置における収集情報の収集時刻である収集時刻情報に対応する、管理装置による検索条件として利用される索引情報と、該送信元装置を識別するための識別情報とを、所定時間の範囲ごとに、収集情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する。その後、管理装置は、時間帯と索引情報とを含んだ要求を外部装置から受け付けた場合に、時間帯と索引情報とを条件として記憶部を検索し、検索結果として得られた識別情報を外部装置に送信する。
【0082】
ここで、収集する情報について、上記のログ情報を含む収集情報を例に挙げて説明する。例えば、上記実施例における収集装置やネットワークに接続されたサーバ装置等は、ログ情報を含む収集情報を管理装置に対して送信する。かかる収集情報には、一つの様態として、アラートを識別するアラートIDを含むログ情報と、ログ情報を収集又は生成した時刻である収集時刻情報と、収集装置やサーバ装置を識別するための識別情報とを含む。
【0083】
また、管理装置は、これらの情報を含んだ収集情報を受信し、受信した収集情報のうち、所定時間の範囲に含まれる収集時刻情報に対応する、アラートIDと識別情報とを、所定時間の範囲ごとに、ブルームフィルタによるデータ構造で記憶部に登録する。ここで、アラートIDは、索引情報として利用される情報の一例である。また、ブルームフィルタの利用については、上記実施例と同様であるためその説明を省略する。その後、管理装置は、時間帯と、索引情報に該当するアラートIDとを含んだ要求を外部装置から受け付けた場合に、時間帯及びアラートIDをキーとして記憶部を検索する。すなわち、管理者は、顧客からの通信に係る問い合わせに応じて、アラートの種別に応じたアラートIDとともに、時間帯を外部装置に入力する。そして、管理装置は、検索の結果、得られた識別情報を外部装置に送信する。
【0084】
このように、本発明に係る管理装置は、ネットワークにおける各種情報を収集し、ブルームフィルタによるデータ構造で収集情報を登録するので、トラフィックに関する情報に限らない種々の情報に対する問い合わせ要求に応じた、通信に問題のある箇所の特定を迅速に行なうことができる。
【0085】
(2)異常系
上記実施例において、管理装置は、ネットワーク内の各収集装置との通信状況の状態を管理することもできる。例えば、上記実施例で説明したように、収集装置は、要約情報の送信を開始する場合に、送信開始の旨を管理装置に対して通知する。同様に、収集装置は、要約情報の送信を終了する場合に、送信終了の旨を管理装置に対して通知する。ここで、要約情報の送信を終了する場合とは、VMやハードウェア全体がシャットダウンされる場合等である。
【0086】
このとき、管理装置は、例えば、要約情報が送信開始されている状態において、収集装置から要約情報が受信できなくなった場合に、異常であると判定する。収集装置から要約情報が受信できなくなった場合については、例えば、定期的に送信されていた要約情報が過去の2倍以上の間隔で受信出来なくなった場合や、所定時間送信されて来なかった場合等でも良い。また、管理装置は、例えば、要約情報が送信終了されている状態において、収集装置から要約情報を受信した場合に、異常ではあるものの、該要約情報の受信を要約情報の送信開始の合図として判定して受信を開始するようにしても良い。
【0087】
(3)計測可能なトラフィック
上記実施例において、図1を例に挙げると、情報処理装置Aで計測可能なトラフィックは、VM1、VM2及び収集装置間の相互通信と、VM1及び外部の他装置間の通信と、VM2及び外部の他装置間の通信と、収集装置及び外部の他装置間の通信におけるトラフィックとなる。
【0088】
(4)構成
また、上記文書中や図面中等で示した処理手順、制御手順、具体的名称、各種のデータやパラメタ等を含む情報(例えば、収集装置100によって生成される要約情報や、管理装置150によって記憶部に登録される際のデータ構造等)については、特記する場合を除いて任意に変更することができる。
【0089】
また、図示した収集装置100や管理装置150の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は、図示のものに限られず、その全部又は一部を各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合することができる。
【0090】
また、収集装置100や管理装置150にて行われる各処理機能は、その全部又は任意の一部が、CPU及び該CPUにて解析実行されるプログラムにて実現され、或いは、ワイヤードロジックによるハードウェアとして実現され得る。
【0091】
(5)プログラム
図13は、本発明に係る管理プログラムがコンピュータを用いて具体的に実現されることを示す図である。図13に例示するように、コンピュータ1000は、例えば、メモリ1001と、CPU1002と、ハードディスクドライブインタフェース1003と、ディスクドライブインタフェース1004と、シリアルポートインタフェース1005と、ビデオアダプタ1006と、ネットワークインタフェース1007とを有し、これらの各部はバス1008によって接続される。
【0092】
メモリ1001は、図13に例示するように、ROM1001a及びRAM1001bを含む。ROM1001aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1003は、図13に例示するように、ハードディスクドライブ1009に接続される。ディスクドライブインタフェース1004は、図13に例示するように、ディスクドライブ1010に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1010に挿入される。シリアルポートインタフェース1005は、図13に例示するように、例えばマウス1011、キーボード1012に接続される。ビデオアダプタ1006は、図13に例示するように、例えばディスプレイ1013に接続される。
【0093】
ここで、図13に例示するように、ハードディスクドライブ1009は、例えば、OS(Operating System)1009a、アプリケーションプログラム1009b、プログラムモジュール1009c、プログラムデータ1009dを記憶する。すなわち、本発明に係る管理プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1009cとして、例えばハードディスクドライブ1009に記憶される。具体的には、上記実施例で説明した要約情報受信部171と同様の処理を実行する要約情報受信手順と、登録部172と同様の処理を実行する登録手順と、識別情報送信部173と同様の処理を実行する識別情報送信手順とが記述されたプログラムモジュール1009cが、ハードディスクドライブ1009に記憶される。また、上記実施例で説明した記憶部160に記憶されるデータのように、管理プログラムによる処理に用いられるデータは、プログラムデータ1009dとして、例えばハードディスクドライブ1009に記憶される。そして、CPU1002が、ハードディスクドライブ1009に記憶されたプログラムモジュール1009cやプログラムデータ1009dを必要に応じてRAM1001bに読み出し、要約情報受信手順、登録手順、識別情報送信手順を実行する。
【0094】
なお、管理プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ハードディスクドライブ1009に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1010等を介してCPU1002によって読み出されてもよい。あるいは、管理プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1007を介してCPU1002によって読み出されてもよい。
【符号の説明】
【0095】
100 収集装置
110 記憶部
120 制御部
121 収集部
122 要約情報生成部
123 要約情報送信部
150 管理装置
160 記憶部
170 制御部
171 要約情報受信部
172 登録部
173 識別情報送信部
【特許請求の範囲】
【請求項1】
収集装置と、該収集装置にネットワークで接続され前記収集装置を管理する管理装置とを有するネットワークシステムであって、
前記収集装置は、
前記ネットワークに接続された機器から、トラフィックに関する情報を収集する収集部と、
前記収集部によって収集された情報から前記管理装置による検索条件として利用される通信情報を抽出し、抽出した通信情報と、前記トラフィックに関する情報を収集した時刻である収集時刻情報と、自己の収集装置を識別するための識別情報とを含む要約情報を生成する要約情報生成部と、
前記要約情報生成部によって生成された要約情報を所定の契機で前記管理装置に送信する要約情報送信部と
を有し、
前記管理装置は、
前記収集装置によって送信された要約情報を受信する要約情報受信部と、
前記要約情報受信部によって受信された要約情報のうち、所定時間の範囲に含まれる前記収集時刻情報に対応する前記通信情報と前記識別情報とを、前記所定時間の範囲ごとに、要約情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する登録部と、
時間帯と前記通信情報に該当する索引情報とを含んだ要求を外部装置から受け付けた場合に、前記時間帯と前記索引情報とを条件として前記記憶部を検索し、検索結果として得られた識別情報を前記外部装置に送信する識別情報送信部と
を有することを特徴とするネットワークシステム。
【請求項2】
前記収集装置において、
前記要約情報生成部は、予め保持しているグローバルIPアドレスを含むトラフィックに関する情報が前記収集部によって収集された場合に、アドレス変換を実行するアドレス変換装置による変換前後の送信元IPアドレス又は送信先IPアドレスと、アドレス変換前後のIPアドレスを対応付けるためのセッションIDとが一致するトラフィックに関する情報をマージした前記要約情報を生成することを特徴とする請求項1に記載のネットワークシステム。
【請求項3】
前記収集装置は、前記ネットワークに接続された所定の物理マシン上に含まれるものであって、
前記収集部は、ネットワークシステムの構成の変化をトリガとして、前記所定の物理マシンの電源が投入され、前記収集装置がアクティブ状態に遷移した場合に、前記ネットワークに接続された機器から、トラフィックに関する情報を収集することを特徴とする請求項1又は2に記載のネットワークシステム。
【請求項4】
ネットワークから収集された収集情報を管理する管理装置であって、
前記ネットワークから収集された収集情報のうち、所定時間の範囲に含まれる前記収集情報を送信した送信元装置における収集情報の収集時刻である収集時刻情報に対応する、前記管理装置による検索条件として利用される索引情報と、前記送信元装置を識別するための識別情報とを、前記所定時間の範囲ごとに、収集情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する登録部と、
時間帯と前記索引情報とを含んだ要求を外部装置から受け付けた場合に、前記時間帯と前記索引情報とを条件として前記記憶部を検索し、検索結果として得られた識別情報を前記外部装置に送信する識別情報送信部と
を有することを特徴とする管理装置。
【請求項5】
ネットワークから収集された収集情報を管理する管理装置で実行される管理方法あって、
前記ネットワークから収集された収集情報のうち、所定時間の範囲に含まれる前記収集情報を送信した送信元装置における収集情報の収集時刻である収集時刻情報に対応する、前記管理装置による検索条件として利用される索引情報と、前記送信元装置を識別するための識別情報とを、前記所定時間の範囲ごとに、収集情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する登録工程と、
時間帯と前記索引情報とを含んだ要求を外部装置から受け付けた場合に、前記時間帯と前記索引情報とを条件として前記記憶部を検索し、検索結果として得られた識別情報を前記外部装置に送信する識別情報送信工程と
を含んだことを特徴とする管理方法。
【請求項6】
コンピュータを請求項4に記載の管理装置として機能させるための管理プログラム。
【請求項1】
収集装置と、該収集装置にネットワークで接続され前記収集装置を管理する管理装置とを有するネットワークシステムであって、
前記収集装置は、
前記ネットワークに接続された機器から、トラフィックに関する情報を収集する収集部と、
前記収集部によって収集された情報から前記管理装置による検索条件として利用される通信情報を抽出し、抽出した通信情報と、前記トラフィックに関する情報を収集した時刻である収集時刻情報と、自己の収集装置を識別するための識別情報とを含む要約情報を生成する要約情報生成部と、
前記要約情報生成部によって生成された要約情報を所定の契機で前記管理装置に送信する要約情報送信部と
を有し、
前記管理装置は、
前記収集装置によって送信された要約情報を受信する要約情報受信部と、
前記要約情報受信部によって受信された要約情報のうち、所定時間の範囲に含まれる前記収集時刻情報に対応する前記通信情報と前記識別情報とを、前記所定時間の範囲ごとに、要約情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する登録部と、
時間帯と前記通信情報に該当する索引情報とを含んだ要求を外部装置から受け付けた場合に、前記時間帯と前記索引情報とを条件として前記記憶部を検索し、検索結果として得られた識別情報を前記外部装置に送信する識別情報送信部と
を有することを特徴とするネットワークシステム。
【請求項2】
前記収集装置において、
前記要約情報生成部は、予め保持しているグローバルIPアドレスを含むトラフィックに関する情報が前記収集部によって収集された場合に、アドレス変換を実行するアドレス変換装置による変換前後の送信元IPアドレス又は送信先IPアドレスと、アドレス変換前後のIPアドレスを対応付けるためのセッションIDとが一致するトラフィックに関する情報をマージした前記要約情報を生成することを特徴とする請求項1に記載のネットワークシステム。
【請求項3】
前記収集装置は、前記ネットワークに接続された所定の物理マシン上に含まれるものであって、
前記収集部は、ネットワークシステムの構成の変化をトリガとして、前記所定の物理マシンの電源が投入され、前記収集装置がアクティブ状態に遷移した場合に、前記ネットワークに接続された機器から、トラフィックに関する情報を収集することを特徴とする請求項1又は2に記載のネットワークシステム。
【請求項4】
ネットワークから収集された収集情報を管理する管理装置であって、
前記ネットワークから収集された収集情報のうち、所定時間の範囲に含まれる前記収集情報を送信した送信元装置における収集情報の収集時刻である収集時刻情報に対応する、前記管理装置による検索条件として利用される索引情報と、前記送信元装置を識別するための識別情報とを、前記所定時間の範囲ごとに、収集情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する登録部と、
時間帯と前記索引情報とを含んだ要求を外部装置から受け付けた場合に、前記時間帯と前記索引情報とを条件として前記記憶部を検索し、検索結果として得られた識別情報を前記外部装置に送信する識別情報送信部と
を有することを特徴とする管理装置。
【請求項5】
ネットワークから収集された収集情報を管理する管理装置で実行される管理方法あって、
前記ネットワークから収集された収集情報のうち、所定時間の範囲に含まれる前記収集情報を送信した送信元装置における収集情報の収集時刻である収集時刻情報に対応する、前記管理装置による検索条件として利用される索引情報と、前記送信元装置を識別するための識別情報とを、前記所定時間の範囲ごとに、収集情報の何れかの情報がどの配列に含まれているかをビット列で表現したデータ構造で記憶部に登録する登録工程と、
時間帯と前記索引情報とを含んだ要求を外部装置から受け付けた場合に、前記時間帯と前記索引情報とを条件として前記記憶部を検索し、検索結果として得られた識別情報を前記外部装置に送信する識別情報送信工程と
を含んだことを特徴とする管理方法。
【請求項6】
コンピュータを請求項4に記載の管理装置として機能させるための管理プログラム。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図5A】
【図5B】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14A】
【図14B】
【図2】
【図3】
【図4A】
【図4B】
【図5A】
【図5B】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14A】
【図14B】
【公開番号】特開2013−9046(P2013−9046A)
【公開日】平成25年1月10日(2013.1.10)
【国際特許分類】
【出願番号】特願2011−138782(P2011−138782)
【出願日】平成23年6月22日(2011.6.22)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成25年1月10日(2013.1.10)
【国際特許分類】
【出願日】平成23年6月22日(2011.6.22)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]