フィルタリング装置、フィルタリング方法、フィルタリングプログラム
【課題】仮想環境における異常を示すメッセージをフィルタリングするルールを効率良く生成する。
【解決手段】監視装置から送信されるメッセージを受信し、定められたルールに基づいて、受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄し、出力したメッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された対応結果をメッセージに対応付けて記憶し、対応結果に基づいて、ルールを生成して記憶する。
【解決手段】監視装置から送信されるメッセージを受信し、定められたルールに基づいて、受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄し、出力したメッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された対応結果をメッセージに対応付けて記憶し、対応結果に基づいて、ルールを生成して記憶する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、仮想環境における異常を示すメッセージをフィルタリングする技術に関する。
【背景技術】
【0002】
ネットワークを介して情報通信を行うサーバ装置やルータなどのコンピュータ装置を設置し、設置したコンピュータ装置の管理、保守、運用などを行う施設であるデータセンタが利用されている。図13は、このようなデータセンタが備えるコンピュータ装置の例を示す図である。監視対象である複数の監視対象システム110(監視対象システム110−1、監視対象システム110−2、監視対象システム110−3、・・・)のそれぞれに対して、定期的にPingを送信するなどして状態を監視し、異常が発生した場合にその監視対象システム110から異常の内容を示すメッセージを取得する監視システム120(監視システム120−1、監視システム120−2、監視システム120−3、・・・)が接続される。監視システム120が監視対象システム110から取得したメッセージは、フィルタリング装置160によって、予め定められたルールに基づいてフィルタリングされ、通知の必要があると判定されたメッセージのみがメッセージ通知装置130(メッセージ通知装置130−1、メッセージ通知装置130−2、メッセージ通知装置130−3、・・・)に通知され、通知の必要がないと判定されたメッセージは破棄される。メッセージ通知装置130に通知されたメッセージは、メッセージ通知装置130内に記憶され、運用者端末140(運用者端末140−1、運用者端末140−2、運用者端末140−3、・・・)に送信されて表示される。運用者は、運用者端末140に表示されたメッセージを確認し、必要があればメッセージの内容に応じた対応を行う。特許文献1には、このようなメッセージのフィルタリングを行う技術が記載されている。
ところで、ユーザからの要求を受けて、予め用意した物理マシンのコンピュータリソースを仮想化して仮想マシンを起動させ、起動した仮想マシンを、ネットワークを介してユーザに利用させるコンピュータリソースの利用形態が一般的になりつつある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2009−64098号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上述のような仮想化機能を有する物理マシンによるデータセンタを運用する場合、物理マシンと、その物理マシンのコンピュータリソースに起動される仮想マシンとの双方を監視する必要があり、監視対象が多様化する。また、監視対象の異常を示すメッセージも多様化、複雑化することが考えられる。ここで、監視対象から送信されるメッセージのうちから対応の必要なメッセージを抽出するフィルタリングのルールは、管理者等によって予め定められるものであるが、このような多様化、複雑化するメッセージのうちから、必要なメッセージを抽出するルールを生成することは手間がかかり、困難である。そこで、このようなデータセンタの監視対象からのメッセージをフィルタリングするルールを、効率良く生成することが望ましい。
【0005】
本発明は、このような状況に鑑みてなされたもので、仮想環境における異常を示すメッセージをフィルタリングするルールを効率良く生成するフィルタリング装置、フィルタリング方法、フィルタリングプログラムを提供する。
【課題を解決するための手段】
【0006】
上述した課題を解決するために、本発明は、自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは物理マシンに起動された仮想マシンに異常が発生すると、異常が発生した物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続されたフィルタリング装置であって、メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、メッセージと、メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部と、監視装置から送信されるメッセージを受信する受信部と、ルール記憶部に記憶されているルールを読み出し、読み出したルールに基づいて、受信部が受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄するフィルタリング部と、フィルタリング部が出力したメッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された対応結果をメッセージに対応付けて対応結果記憶部に記憶させる対応結果登録部と、対応結果記憶部から読み出した対応結果に基づいて、ルールを生成してルール記憶部に記憶させるルール生成部と、を備えることを特徴とする。
【0007】
また、本発明は、物理マシンと、物理マシンのコンピュータリソースに起動された仮想マシンとの関係を示す構成情報が記憶されている構成情報記憶部を備え、ルール生成部は、構成情報記憶部に記憶されている構成情報を読み出し、読み出した構成情報に基づいてルールを生成することを特徴とする。
【0008】
また、本発明は、ルール生成部は、物理マシンからの異常を示すメッセージを受信した後に、物理マシンのコンピュータリソースに起動された仮想マシンからの異常を示すメッセージを受信した場合、仮想マシンからのメッセージを破棄するルールを生成することを特徴とする。
【0009】
また、本発明は、物理マシンは、自身のコンピュータリソースに起動された仮想マシンを、他の物理マシンに移動させる機能を有し、ルール生成部は、物理マシンからの異常を示すメッセージを受信した後に、物理マシンに起動されていた仮想マシンが他の物理マシンに移動した場合、仮想マシンからの異常を示すメッセージを破棄するルールを生成することを特徴とする。
【0010】
また、本発明は、物理マシンは、自身のコンピュータリソースに起動された仮想マシンを、他の物理マシンに移動させる機能を有し、ルール生成部は、物理マシンが移動処理を行っている間に物理マシンから処理負荷が上昇したことを示すメッセージを受信した場合、メッセージを破棄するルールを生成することを特徴とする。
【0011】
また、本発明は、対応結果記憶部には、メッセージを受信した受信時刻に対応付けて、対応結果が記憶され、ルール生成部は、一定時刻の間に対応付けられた複数の対応結果が、対応するメッセージに応じた対応を行わなかったことを示す場合、一定時刻の間に受信したメッセージを破棄するルールを生成することを特徴とする。
【0012】
また、本発明は、自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは物理マシンに起動された仮想マシンに異常が発生すると、異常が発生した物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続され、メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、メッセージと、メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部とを備えたフィルタリング装置のフィルタリング方法であって、監視装置から送信されるメッセージを受信するステップと、ルール記憶部に記憶されているルールを読み出し、読み出したルールに基づいて、受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄するステップと、出力したメッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された対応結果をメッセージに対応付けて対応結果記憶部に記憶させるステップと、対応結果記憶部から読み出した対応結果に基づいて、ルールを生成してルール記憶部に記憶させるステップと、を備えることを特徴とする。
【0013】
また、本発明は、自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは物理マシンに起動された仮想マシンに異常が発生すると、異常が発生した物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続され、メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、メッセージと、メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部とを備えたフィルタリング装置のコンピュータに、監視装置から送信されるメッセージを受信するステップと、ルール記憶部に記憶されているルールを読み出し、読み出したルールに基づいて、受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄するステップと、出力したメッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された対応結果をメッセージに対応付けて対応結果記憶部に記憶させるステップと、対応結果記憶部から読み出した対応結果に基づいて、ルールを生成してルール記憶部に記憶させるステップと、を実行させるフィルタリングプログラムである。
【発明の効果】
【0014】
以上説明したように、本発明によれば、監視装置から送信されるメッセージを受信し、定められたルールに基づいて、受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄し、出力したメッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された対応結果をメッセージに対応付けて記憶し、対応結果に基づいて、ルールを生成して記憶するようにしたので、仮想環境における異常を示すメッセージをフィルタリングするルールを効率良く生成することができる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施形態によるデータセンタが備えるコンピュータ装置の構成例を示すブロック図である。
【図2】本発明の一実施形態による対応結果記憶部に記憶されるデータ例を示す図である。
【図3】本発明の一実施形態による構成情報記憶部に記憶されるデータ例を示す図である。
【図4】本発明の一実施形態による対応結果の一例を示す図である。
【図5】本発明の一実施形態による対応結果の一例を示す図である。
【図6】本発明の一実施形態による対応結果の一例を示す図である。
【図7】本発明の一実施形態による対応結果の一例を示す図である。
【図8】本発明の一実施形態による対応結果の一例を示す図である。
【図9】本発明の一実施形態による対応結果の一例を示す図である。
【図10】本発明の一実施形態による処理結果の一例を示す図である。
【図11】本発明の一実施形態によるフィルタリング装置の動作例を示すフローチャートである。
【図12】本発明の一実施形態によるフィルタリング装置の動作例を示すフローチャートである。
【図13】従来技術によるデータセンタが備えるコンピュータ装置の構成例を示す図である。
【発明を実施するための形態】
【0016】
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態によるデータセンタが備えるコンピュータ装置の構成を示すブロック図である。データセンタは、複数の物理マシン10(物理マシン10−1、物理マシン10−2、物理マシン10−3、・・・)と、監視システム20と、メッセージ通知装置30と、運用者端末40と、管理者端末50と、フィルタリング装置60とのコンピュータ装置を備えている。ここで、複数の物理マシン10は同様の構成であるので、特に区別しない場合には「−1」、「−2」等の表記を省略して物理マシン10として説明する。ここでは、3台の物理マシン10を示しているが、データセンタは任意の台数の物理マシン10を備えていて良い。
【0017】
物理マシン10は、自身のコンピュータリソースを仮想化し、複数の仮想マシンを起動させる仮想化機能を備えるコンピュータ装置である。また、物理マシン10は、自身のコンピュータリソースに起動された仮想マシンを、他の物理マシンに移動させるマイグレーションの機能を有する。
【0018】
監視システム20は、複数の物理マシン10または物理マシン10に起動された仮想マシン等のノードに異常が発生すると、異常が発生した物理マシン10または仮想マシンから異常の内容を示すメッセージを取得し、フィルタリング装置60に送信する。ここでは、監視システム20の監視対象をノードという。例えば、監視システム20は、ICMP(Internet Control Message Protocol)に基づくPingコマンドによる応答要求を定期的に物理マシン10および仮想マシンに送信するポーリング処理を行う。そして、送信した応答要求に対する応答を送信先から受信しない場合、送信先に異常が発生したと判定し、pingダウンを示すメッセージをフィルタリング装置60に送信する。また、pingダウンの後に送信した応答要求に対する応答を送信先から受信した場合、pingアップを示すメッセージをフィルタリング装置60に送信する。あるいは、監視システム20は、物理マシン10および仮想マシンとの間でSNMP(Simple Network Management Protocol)に基づく通信を行い、物理マシン10および仮想マシンのCPU(Central Processing Unit)負荷の上昇やプロセスダウン、ログ検知などの状態を示す情報を取得し、取得した状態の内容を示すメッセージをフィルタリング装置60に送信する。
【0019】
メッセージ通知装置30は、フィルタリング装置60によってフィルタリングされたメッセージをフィルタリング装置60から受信し、自身の記憶領域に記憶する。そして、運用者端末40からの要求に応じて運用者端末40にメッセージを送信し、運用者端末40にメッセージを表示させる。
【0020】
運用者端末40は、データセンタにおける物理マシン10または仮想マシンに異常が発生した場合に、異常の内容に応じた対応を行う運用者のコンピュータ装置である。運用者端末40は、メッセージ通知装置30から送信されるメッセージを受信し、自身が備えるディスプレイに表示させる。運用者は、運用者端末40に表示されたメッセージの内容に応じて対応を行う。ここで、運用者は、メッセージの内容に基づいて、対応の必要がないと判断した場合には対応を行わない。例えば、運用者は、メッセージの受信時刻が3:00〜4:00の間であるような場合には、メッセージに対する対応を行わないと判断することがある。運用者端末40は、このように、メッセージに応じて対応が行われたか、対応が行われなかったか(無視されたか)を示す対応結果の入力を受け付け、入力された対応結果をフィルタリング装置60に送信する。
【0021】
管理者端末50は、データセンタにおける物理マシン10のコンピュータリソースにおいて起動された仮想マシンにより構成されるシステムの管理者のコンピュータ装置である。管理者端末50は、フィルタリング装置60によって生成された新規ルール候補を受信して自身が備えるディスプレイに表示させ、その新規ルール候補をルールとして採用するか否かを選択する情報の入力を受け付ける。管理者端末50は、入力された選択結果を、フィルタリング装置60に送信する。
【0022】
フィルタリング装置60は、監視システム20によって取得されたメッセージを、予め定められたルールに基づいてフィルタリングするコンピュータ装置である。フィルタリング装置60は、ルール記憶部61と、対応結果記憶部62と、通信部63と、フィルタリング部64と、対応結果登録部65と、構成情報記憶部66と、ルール生成部67とを備えている。
【0023】
ルール記憶部61には、監視システム20から送信されたメッセージが定められた内容を示すものであるか否かを判定するルールが記憶されている。このようなルールは、フィルタリング部64によって読み出され、メッセージが定められた内容を示すものであると判定された場合にメッセージが出力され、定められた内容を示さないと判定された場合にメッセージが破棄される。ルールは、例えば、以下のようなものが考えられる。
(1)監視無視フィルタ:条件に一致するメッセージを破棄する。
(2)繰り返しフィルタ:繰り返し発生するメッセージを破棄する。あるいは、同じメッセージを、一定時間内に一定回数以上受信したら出力する。
(3)リソース瞬間超過フィルタ:CPUなどのリソースが一定時間閾値を超えたときにだけメッセージを出力し、それ以外のリソース超過メッセージを破棄する。
(4)重点ノードフィルタ:事前に設定したネットワークトポロジに基づき、親ノードがダウンしている場合、子ノードのメッセージを破棄する。
(5)依存関係フィルタ:ノードがダウンした場合、そのノードで稼働するプロセス監視やポート監視などのメッセージを破棄する。
【0024】
対応結果記憶部62には、メッセージ通知装置30に出力したメッセージと、そのメッセージが示す内容に応じて運用者により行われた対応を示す対応結果とが対応付けられて記憶される。ここでは、対応結果には、フィルタリング装置60が監視システム20からメッセージを受信した受信時刻が対応付けられて記憶される。図2は、対応結果記憶部62に記憶される対応結果のデータ例を示す図である。対応結果記憶部62には、ノード名と、メッセージ内容と、受信時刻と、対応時刻と、対応結果と、システムIDと、作業者との情報が対応付けられて記憶される。ノード名は、監視システム20による監視対象であり、異常を示すメッセージの送信元を識別する情報である。メッセージ内容は、ノードにおいて発生した異常の内容を示す情報である。受信時刻は、フィルタリング装置60が監視システム20からメッセージを受信した時刻を示す情報である。対応時刻は、運用者によってメッセージに応じた対応が行われた時刻、または行わないと判断された時刻を示す情報である。対応結果は、対応が行われたか否かを示す情報である。対応された場合には「対応」と記憶され、対応されなかった場合には「無視」と記憶される。システムIDは、ノードが利用されているシステムを識別する情報であり、例えば異なる利用者の要求に応じて起動されたノードには異なるシステムIDが付与される。例えば、同一のシステムを動作させるためのウェブサーバ、アプリケーションサーバ、データベースサーバなどが異なる仮想マシンとして起動している場合、これらの仮想マシンには同一のシステムIDが付与されて管理される。
【0025】
通信部63は、接続された他のコンピュータ装置と通信を行う。例えば、通信部63は、監視システム20から送信されるメッセージを受信する。
フィルタリング部64は、ルール記憶部61に記憶されているルールを読み出し、読み出したルールに基づいて、通信部63が受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄する。ここで、フィルタリング部64は、メッセージが定められた内容を示すものであると判定した場合、そのメッセージを通信部63を介してメッセージ通知装置30に送信することにより出力する。
【0026】
対応結果登録部65は、フィルタリング部64が出力したメッセージに応じて運用者によって行われた対応を示す対応結果の入力を受け付け、入力された対応結果を、そのメッセージに対応付けて対応結果記憶部62に記憶させる。例えば、対応結果登録部65は、通信部63がメッセージ通知装置30に送信したメッセージの履歴を自身の記憶領域に記憶し、それぞれのメッセージについての対応結果を入力する入力画面を運用者端末40に送信する。そして、運用者端末40によって入力された対応結果を受信し、受信した対応結果を対応結果記憶部62に記憶させる。
【0027】
構成情報記憶部66には、複数の物理マシン10と、その物理マシンのコンピュータリソースに起動された仮想マシンとの関係を示す構成情報が記憶されている。図3は、構成情報記憶部66に記憶される構成情報のデータ例を示す図である。構成情報には、ノード名と、マシンの種類と、親ノードと、ハイパーバイザと、OS(Operating System)と、システムIDとの情報が対応付けられる。対応結果記憶部62に記憶された情報と同名の項目については、同様の情報である。マシンの種類には、対応するノードの種類を示す情報であり、例えば「ルータ」、「物理マシン」、「仮想マシン」等の種類が対応付けられる。親ノードは、ノード間のネットワークトポロジにおける親子関係を示す情報である。ここでは、ノード名が「Node01」であるルータを親ノードとして、ノード名が「Node02」である物理マシン10と、ノード名が「Node03」である物理マシン10とが接続されていることが示されている。ハイパーバイザには、マシンの種類が仮想マシンである場合に、その仮想マシンが起動されている物理マシン10を示すノード名が対応付けられる。OSは、対応するノードのOSを示す。
【0028】
ルール生成部67は、対応結果記憶部62から読み出した対応結果に基づいて、ルールを生成してルール記憶部61に記憶させる。また、ルール生成部67は、構成情報記憶部66に記憶されている構成情報を読み出し、読み出した構成情報に基づいてルールを生成してルール記憶部61に記憶させる。ここで、ルール生成部67が行うルール生成処理は、例えば、一定期間毎に周期的に行うようにしても良いし、管理者からの要求に応じて行うようにしても良い。あるいは、例えば対応結果記憶部62に記憶されている対応結果のデータ量が一定件数以上になった場合や、構成情報記憶部66に記憶されている構成情報が更新された場合等に行うようにしても良い。
【0029】
例えば、ルール生成部67は、構成情報と対応履歴とを参照して、物理マシン10からの異常を示すメッセージを受信した後に、その物理マシン10のコンピュータリソースに起動された仮想マシンからの異常を示すメッセージを受信した場合、その仮想マシンからのメッセージを破棄するルールを生成する。この場合、物理マシン10に異常が発生しているので、その物理マシン10の異常に基づいて、そのコンピュータリソースに起動された仮想マシンに異常が発生していることが考えられるためである。
【0030】
また、ルール生成部67は、一定時刻の間に対応付けられた複数の対応結果が、対応するメッセージに応じた対応を行わなかったことを示す場合、その一定時刻の間に受信したメッセージを破棄するルールを生成する。例えば、図4に示すように、ノード名が「Node01」であるノードから受信したメッセージのうち、3:00〜4:00の時間帯に送信されたメッセージについては全て無視されていることを検出すると、その時間帯(3:00と4:00との間)に受信したメッセージを破棄するルールを生成する。このような場合、例えばその時間帯は管理者によるメンテナンスが行われる時間帯であり、異常が発生しても対応する必要がないこと等が考えられるためである。
【0031】
また、ルール生成部67は、対応結果が、一定時間の間に同様の内容を示す一定回数以上のメッセージを受信した場合にのみ、そのメッセージに応じた対応を行ったことを示す場合、その一定時間の間に同様の内容を示すメッセージを一定回数以上受信した場合に、メッセージを出力するルールを生成する。例えば、図5に示すような対応結果から、メッセージ内容が「プロセスダウン」である場合には、10分以内に3回以上通知されたときにのみ対応されていたことが検出できる。
【0032】
また、ルール生成部67は、メッセージの内容が特定のものである場合、その後一定時間内に対応する内容のメッセージを受信した場合には、そのメッセージを破棄するルールを生成する。例えば、図6に示すような対応結果から、pingダウンのメッセージが送信された場合にも、そのメッセージから5分以内にpingアップのメッセージを受信した場合には、そのメッセージが無視されていることが検出できる。
【0033】
また、ルール生成部67は、仮想マシンにオートスケール設定がされている場合、その仮想マシンからのCPU使用率超過のメッセージを破棄するルールを生成する。オートスケールとは、物理マシン10の仮想化機能により、仮想マシンのCPU使用率が一定以上になった状態が一定時間以上続く場合には、自動的にコンピュータリソースの追加を行うことを示す。この場合、対応結果記憶部62の対応結果には、ノード毎にオートスケール設定がされているか否かを示す情報を対応付けて記憶しておく。例えば、図7に示すような対応結果から、ノードからCPU使用率超過のメッセージが送信された場合にも、そのノードにオートスケール設定がされている場合にはメッセージが無視されていることが検出できる。
【0034】
また、ルール生成部67は、物理マシン10が移動(マイグレーション)処理を行っている間にその物理マシン10から処理負荷が上昇したことを示すメッセージを受信した場合、そのメッセージを破棄するルールを生成する。この場合、対応結果記憶部62には、物理マシン10からメッセージを受信した場合に、その物理マシン10が移動処理を行っていたか否かを示す情報を対応付けて記憶しておく。例えば、図8に示すような対応結果から、物理マシン10からメッセージが送信された場合にも、その物理マシン10が移動処理を行っている間である場合にはメッセージが無視されていることが検出できる。
【0035】
また、ルール生成部67は、物理マシン10が移動処理を行っている間にその物理マシン10に起動された仮想マシンからpingダウンのメッセージを受信した場合、そのメッセージを破棄するルールを生成する。例えば、図9に示すような対応結果から、仮想マシンからメッセージが送信された場合にも、その仮想マシンが移動処理を行っている間である場合にはメッセージが無視されていることが検出できる。この場合、移動処理を原因とする瞬断が発生していることが考えられるためである。
【0036】
また、ルール生成部67は、物理マシン10からの異常を示すメッセージを受信した後に、その物理マシン10に起動されていた仮想マシンが他の物理マシン10に移動した場合、その仮想マシンからの異常を示すメッセージを破棄するルールを生成する。この場合、物理マシン10からのこの場合、物理マシン10に異常が発生していることを原因として仮想マシンに異常が発生していることが考えられ、仮想マシンが他の物理マシン10に移動したことにより異常が発生しなくなると考えられるためである。
【0037】
また、ルール生成部67は、このように生成したルールを、即座にルール記憶部61に記憶させるのではなく、例えば生成したルールを新規ルール候補として管理者端末50に送信して管理者端末50に表示させ、生成した新規ルールのうち管理者によって選択されたルールのみをルール記憶部61に記憶させるようにしても良い。
また、ルール生成部67は、フィルタリング装置60が監視システム20から送信されたが、フィルタリングの処理結果により破棄したメッセージの一覧を管理者端末50に送信するようにしても良い。そして、管理者が本来想定している処理結果と異なる場合には、そのことを示す情報の入力を受け付け、ルールを修正することができる。例えば、図10に示すように、本来想定している処理結果は破棄ではなく通知であったことを示す情報の入力を受け付け、そのメッセージについては通知を行うルールを生成する。
【0038】
次に、本実施形態によるフィルタリング装置60の動作例を説明する。図11は、フィルタリング装置60が、対応結果に基づいてルールを生成する動作例を示すフローチャートである。フィルタリング装置60のルール生成部67は、対応結果記憶部62に記憶されている対応結果を読み出す(ステップS1)。そして、対応結果に基づいて新規ルール候補を生成する(ステップS2)。そして、ルール生成部67は、管理者端末50に新規ルール候補を送信する(ステップS3)。管理者端末50は、送信された新規ルール候補をディスプレイに表示させ、表示させた新規ルール候補のうちからルールとして採用するルールの選択を受け付け、選択結果をフィルタリング装置60に送信する。フィルタリング装置60のルール生成部67は、管理者端末50から送信された選択結果を受信し、受信した選択結果が、採用することが選択されたことを示す場合(ステップS4:YES)、その新規ルール候補をルール記憶部61に記憶させる(ステップS5)。一方、受信した選択結果が、採用することが選択されていないことを示す場合(ステップS4:NO)、その新規ルール候補をルール記憶部61に記憶させず、処理を終了する。
【0039】
図12は、フィルタリング装置60が、構成情報に基づいてルールを生成する動作例を示すフローチャートである。フィルタリング装置60のルール生成部67は、構成情報記憶部66に記憶されている構成情報を読み出す(ステップS11)。そして、構成情報に基づいて新規ルール候補を生成する(ステップS12)。そして、ルール生成部67は、生成した新規ルール候補をルール記憶部61に記憶させる(ステップS13)。
【0040】
以上説明したように、本実施形態によれば、メッセージに対する運用者の対応結果や、物理マシンと仮想マシンとの関係を示す構成情報等に基づいてルールを学習し、自動的に生成するようにしたので、管理者等が自身でルールを作成する必要がなく、仮想環境における異常を示すメッセージをフィルタリングするルールを効率良く生成することが可能となる。これにより、管理者がルールを作成する手間が省けるとともに、人為的なミスにより適切でないルールが生成されることを防ぐことができる。
また、従来は、監視対象システム毎に物理的なハードウェアが分かれており、監視対象システム毎に対応する運用管理システムが設けられ、それぞれに運用者が割り当てられている場合が多かったが、仮想環境においては、ひとつの物理マシン10に複数の仮想マシンが起動するため、1人の運用者が複数のシステムを監視することが有り得る。このような場合でも、最適なルールが作成されてフィルタリングされたメッセージが運用者端末40に表示されるため、運用者は効率良くメッセージの対応を行うことができる。これにより、運用者の負担が軽くなるとともに、運用のための費用を削減することができる。
【0041】
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりルールの生成を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0042】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0043】
10 物理マシン
20 監視システム
30 メッセージ通知装置
40 運用者端末
50 管理者端末
60 フィルタリング装置
61 ルール記憶部
62 対応結果記憶部
63 通信部
64 フィルタリング部
65 対応結果登録部
66 構成情報記憶部
67 ルール生成部
【技術分野】
【0001】
本発明は、仮想環境における異常を示すメッセージをフィルタリングする技術に関する。
【背景技術】
【0002】
ネットワークを介して情報通信を行うサーバ装置やルータなどのコンピュータ装置を設置し、設置したコンピュータ装置の管理、保守、運用などを行う施設であるデータセンタが利用されている。図13は、このようなデータセンタが備えるコンピュータ装置の例を示す図である。監視対象である複数の監視対象システム110(監視対象システム110−1、監視対象システム110−2、監視対象システム110−3、・・・)のそれぞれに対して、定期的にPingを送信するなどして状態を監視し、異常が発生した場合にその監視対象システム110から異常の内容を示すメッセージを取得する監視システム120(監視システム120−1、監視システム120−2、監視システム120−3、・・・)が接続される。監視システム120が監視対象システム110から取得したメッセージは、フィルタリング装置160によって、予め定められたルールに基づいてフィルタリングされ、通知の必要があると判定されたメッセージのみがメッセージ通知装置130(メッセージ通知装置130−1、メッセージ通知装置130−2、メッセージ通知装置130−3、・・・)に通知され、通知の必要がないと判定されたメッセージは破棄される。メッセージ通知装置130に通知されたメッセージは、メッセージ通知装置130内に記憶され、運用者端末140(運用者端末140−1、運用者端末140−2、運用者端末140−3、・・・)に送信されて表示される。運用者は、運用者端末140に表示されたメッセージを確認し、必要があればメッセージの内容に応じた対応を行う。特許文献1には、このようなメッセージのフィルタリングを行う技術が記載されている。
ところで、ユーザからの要求を受けて、予め用意した物理マシンのコンピュータリソースを仮想化して仮想マシンを起動させ、起動した仮想マシンを、ネットワークを介してユーザに利用させるコンピュータリソースの利用形態が一般的になりつつある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2009−64098号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上述のような仮想化機能を有する物理マシンによるデータセンタを運用する場合、物理マシンと、その物理マシンのコンピュータリソースに起動される仮想マシンとの双方を監視する必要があり、監視対象が多様化する。また、監視対象の異常を示すメッセージも多様化、複雑化することが考えられる。ここで、監視対象から送信されるメッセージのうちから対応の必要なメッセージを抽出するフィルタリングのルールは、管理者等によって予め定められるものであるが、このような多様化、複雑化するメッセージのうちから、必要なメッセージを抽出するルールを生成することは手間がかかり、困難である。そこで、このようなデータセンタの監視対象からのメッセージをフィルタリングするルールを、効率良く生成することが望ましい。
【0005】
本発明は、このような状況に鑑みてなされたもので、仮想環境における異常を示すメッセージをフィルタリングするルールを効率良く生成するフィルタリング装置、フィルタリング方法、フィルタリングプログラムを提供する。
【課題を解決するための手段】
【0006】
上述した課題を解決するために、本発明は、自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは物理マシンに起動された仮想マシンに異常が発生すると、異常が発生した物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続されたフィルタリング装置であって、メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、メッセージと、メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部と、監視装置から送信されるメッセージを受信する受信部と、ルール記憶部に記憶されているルールを読み出し、読み出したルールに基づいて、受信部が受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄するフィルタリング部と、フィルタリング部が出力したメッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された対応結果をメッセージに対応付けて対応結果記憶部に記憶させる対応結果登録部と、対応結果記憶部から読み出した対応結果に基づいて、ルールを生成してルール記憶部に記憶させるルール生成部と、を備えることを特徴とする。
【0007】
また、本発明は、物理マシンと、物理マシンのコンピュータリソースに起動された仮想マシンとの関係を示す構成情報が記憶されている構成情報記憶部を備え、ルール生成部は、構成情報記憶部に記憶されている構成情報を読み出し、読み出した構成情報に基づいてルールを生成することを特徴とする。
【0008】
また、本発明は、ルール生成部は、物理マシンからの異常を示すメッセージを受信した後に、物理マシンのコンピュータリソースに起動された仮想マシンからの異常を示すメッセージを受信した場合、仮想マシンからのメッセージを破棄するルールを生成することを特徴とする。
【0009】
また、本発明は、物理マシンは、自身のコンピュータリソースに起動された仮想マシンを、他の物理マシンに移動させる機能を有し、ルール生成部は、物理マシンからの異常を示すメッセージを受信した後に、物理マシンに起動されていた仮想マシンが他の物理マシンに移動した場合、仮想マシンからの異常を示すメッセージを破棄するルールを生成することを特徴とする。
【0010】
また、本発明は、物理マシンは、自身のコンピュータリソースに起動された仮想マシンを、他の物理マシンに移動させる機能を有し、ルール生成部は、物理マシンが移動処理を行っている間に物理マシンから処理負荷が上昇したことを示すメッセージを受信した場合、メッセージを破棄するルールを生成することを特徴とする。
【0011】
また、本発明は、対応結果記憶部には、メッセージを受信した受信時刻に対応付けて、対応結果が記憶され、ルール生成部は、一定時刻の間に対応付けられた複数の対応結果が、対応するメッセージに応じた対応を行わなかったことを示す場合、一定時刻の間に受信したメッセージを破棄するルールを生成することを特徴とする。
【0012】
また、本発明は、自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは物理マシンに起動された仮想マシンに異常が発生すると、異常が発生した物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続され、メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、メッセージと、メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部とを備えたフィルタリング装置のフィルタリング方法であって、監視装置から送信されるメッセージを受信するステップと、ルール記憶部に記憶されているルールを読み出し、読み出したルールに基づいて、受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄するステップと、出力したメッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された対応結果をメッセージに対応付けて対応結果記憶部に記憶させるステップと、対応結果記憶部から読み出した対応結果に基づいて、ルールを生成してルール記憶部に記憶させるステップと、を備えることを特徴とする。
【0013】
また、本発明は、自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは物理マシンに起動された仮想マシンに異常が発生すると、異常が発生した物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続され、メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、メッセージと、メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部とを備えたフィルタリング装置のコンピュータに、監視装置から送信されるメッセージを受信するステップと、ルール記憶部に記憶されているルールを読み出し、読み出したルールに基づいて、受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄するステップと、出力したメッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された対応結果をメッセージに対応付けて対応結果記憶部に記憶させるステップと、対応結果記憶部から読み出した対応結果に基づいて、ルールを生成してルール記憶部に記憶させるステップと、を実行させるフィルタリングプログラムである。
【発明の効果】
【0014】
以上説明したように、本発明によれば、監視装置から送信されるメッセージを受信し、定められたルールに基づいて、受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄し、出力したメッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された対応結果をメッセージに対応付けて記憶し、対応結果に基づいて、ルールを生成して記憶するようにしたので、仮想環境における異常を示すメッセージをフィルタリングするルールを効率良く生成することができる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施形態によるデータセンタが備えるコンピュータ装置の構成例を示すブロック図である。
【図2】本発明の一実施形態による対応結果記憶部に記憶されるデータ例を示す図である。
【図3】本発明の一実施形態による構成情報記憶部に記憶されるデータ例を示す図である。
【図4】本発明の一実施形態による対応結果の一例を示す図である。
【図5】本発明の一実施形態による対応結果の一例を示す図である。
【図6】本発明の一実施形態による対応結果の一例を示す図である。
【図7】本発明の一実施形態による対応結果の一例を示す図である。
【図8】本発明の一実施形態による対応結果の一例を示す図である。
【図9】本発明の一実施形態による対応結果の一例を示す図である。
【図10】本発明の一実施形態による処理結果の一例を示す図である。
【図11】本発明の一実施形態によるフィルタリング装置の動作例を示すフローチャートである。
【図12】本発明の一実施形態によるフィルタリング装置の動作例を示すフローチャートである。
【図13】従来技術によるデータセンタが備えるコンピュータ装置の構成例を示す図である。
【発明を実施するための形態】
【0016】
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態によるデータセンタが備えるコンピュータ装置の構成を示すブロック図である。データセンタは、複数の物理マシン10(物理マシン10−1、物理マシン10−2、物理マシン10−3、・・・)と、監視システム20と、メッセージ通知装置30と、運用者端末40と、管理者端末50と、フィルタリング装置60とのコンピュータ装置を備えている。ここで、複数の物理マシン10は同様の構成であるので、特に区別しない場合には「−1」、「−2」等の表記を省略して物理マシン10として説明する。ここでは、3台の物理マシン10を示しているが、データセンタは任意の台数の物理マシン10を備えていて良い。
【0017】
物理マシン10は、自身のコンピュータリソースを仮想化し、複数の仮想マシンを起動させる仮想化機能を備えるコンピュータ装置である。また、物理マシン10は、自身のコンピュータリソースに起動された仮想マシンを、他の物理マシンに移動させるマイグレーションの機能を有する。
【0018】
監視システム20は、複数の物理マシン10または物理マシン10に起動された仮想マシン等のノードに異常が発生すると、異常が発生した物理マシン10または仮想マシンから異常の内容を示すメッセージを取得し、フィルタリング装置60に送信する。ここでは、監視システム20の監視対象をノードという。例えば、監視システム20は、ICMP(Internet Control Message Protocol)に基づくPingコマンドによる応答要求を定期的に物理マシン10および仮想マシンに送信するポーリング処理を行う。そして、送信した応答要求に対する応答を送信先から受信しない場合、送信先に異常が発生したと判定し、pingダウンを示すメッセージをフィルタリング装置60に送信する。また、pingダウンの後に送信した応答要求に対する応答を送信先から受信した場合、pingアップを示すメッセージをフィルタリング装置60に送信する。あるいは、監視システム20は、物理マシン10および仮想マシンとの間でSNMP(Simple Network Management Protocol)に基づく通信を行い、物理マシン10および仮想マシンのCPU(Central Processing Unit)負荷の上昇やプロセスダウン、ログ検知などの状態を示す情報を取得し、取得した状態の内容を示すメッセージをフィルタリング装置60に送信する。
【0019】
メッセージ通知装置30は、フィルタリング装置60によってフィルタリングされたメッセージをフィルタリング装置60から受信し、自身の記憶領域に記憶する。そして、運用者端末40からの要求に応じて運用者端末40にメッセージを送信し、運用者端末40にメッセージを表示させる。
【0020】
運用者端末40は、データセンタにおける物理マシン10または仮想マシンに異常が発生した場合に、異常の内容に応じた対応を行う運用者のコンピュータ装置である。運用者端末40は、メッセージ通知装置30から送信されるメッセージを受信し、自身が備えるディスプレイに表示させる。運用者は、運用者端末40に表示されたメッセージの内容に応じて対応を行う。ここで、運用者は、メッセージの内容に基づいて、対応の必要がないと判断した場合には対応を行わない。例えば、運用者は、メッセージの受信時刻が3:00〜4:00の間であるような場合には、メッセージに対する対応を行わないと判断することがある。運用者端末40は、このように、メッセージに応じて対応が行われたか、対応が行われなかったか(無視されたか)を示す対応結果の入力を受け付け、入力された対応結果をフィルタリング装置60に送信する。
【0021】
管理者端末50は、データセンタにおける物理マシン10のコンピュータリソースにおいて起動された仮想マシンにより構成されるシステムの管理者のコンピュータ装置である。管理者端末50は、フィルタリング装置60によって生成された新規ルール候補を受信して自身が備えるディスプレイに表示させ、その新規ルール候補をルールとして採用するか否かを選択する情報の入力を受け付ける。管理者端末50は、入力された選択結果を、フィルタリング装置60に送信する。
【0022】
フィルタリング装置60は、監視システム20によって取得されたメッセージを、予め定められたルールに基づいてフィルタリングするコンピュータ装置である。フィルタリング装置60は、ルール記憶部61と、対応結果記憶部62と、通信部63と、フィルタリング部64と、対応結果登録部65と、構成情報記憶部66と、ルール生成部67とを備えている。
【0023】
ルール記憶部61には、監視システム20から送信されたメッセージが定められた内容を示すものであるか否かを判定するルールが記憶されている。このようなルールは、フィルタリング部64によって読み出され、メッセージが定められた内容を示すものであると判定された場合にメッセージが出力され、定められた内容を示さないと判定された場合にメッセージが破棄される。ルールは、例えば、以下のようなものが考えられる。
(1)監視無視フィルタ:条件に一致するメッセージを破棄する。
(2)繰り返しフィルタ:繰り返し発生するメッセージを破棄する。あるいは、同じメッセージを、一定時間内に一定回数以上受信したら出力する。
(3)リソース瞬間超過フィルタ:CPUなどのリソースが一定時間閾値を超えたときにだけメッセージを出力し、それ以外のリソース超過メッセージを破棄する。
(4)重点ノードフィルタ:事前に設定したネットワークトポロジに基づき、親ノードがダウンしている場合、子ノードのメッセージを破棄する。
(5)依存関係フィルタ:ノードがダウンした場合、そのノードで稼働するプロセス監視やポート監視などのメッセージを破棄する。
【0024】
対応結果記憶部62には、メッセージ通知装置30に出力したメッセージと、そのメッセージが示す内容に応じて運用者により行われた対応を示す対応結果とが対応付けられて記憶される。ここでは、対応結果には、フィルタリング装置60が監視システム20からメッセージを受信した受信時刻が対応付けられて記憶される。図2は、対応結果記憶部62に記憶される対応結果のデータ例を示す図である。対応結果記憶部62には、ノード名と、メッセージ内容と、受信時刻と、対応時刻と、対応結果と、システムIDと、作業者との情報が対応付けられて記憶される。ノード名は、監視システム20による監視対象であり、異常を示すメッセージの送信元を識別する情報である。メッセージ内容は、ノードにおいて発生した異常の内容を示す情報である。受信時刻は、フィルタリング装置60が監視システム20からメッセージを受信した時刻を示す情報である。対応時刻は、運用者によってメッセージに応じた対応が行われた時刻、または行わないと判断された時刻を示す情報である。対応結果は、対応が行われたか否かを示す情報である。対応された場合には「対応」と記憶され、対応されなかった場合には「無視」と記憶される。システムIDは、ノードが利用されているシステムを識別する情報であり、例えば異なる利用者の要求に応じて起動されたノードには異なるシステムIDが付与される。例えば、同一のシステムを動作させるためのウェブサーバ、アプリケーションサーバ、データベースサーバなどが異なる仮想マシンとして起動している場合、これらの仮想マシンには同一のシステムIDが付与されて管理される。
【0025】
通信部63は、接続された他のコンピュータ装置と通信を行う。例えば、通信部63は、監視システム20から送信されるメッセージを受信する。
フィルタリング部64は、ルール記憶部61に記憶されているルールを読み出し、読み出したルールに基づいて、通信部63が受信したメッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合にメッセージを出力し、定められた内容を示さないと判定した場合にメッセージを破棄する。ここで、フィルタリング部64は、メッセージが定められた内容を示すものであると判定した場合、そのメッセージを通信部63を介してメッセージ通知装置30に送信することにより出力する。
【0026】
対応結果登録部65は、フィルタリング部64が出力したメッセージに応じて運用者によって行われた対応を示す対応結果の入力を受け付け、入力された対応結果を、そのメッセージに対応付けて対応結果記憶部62に記憶させる。例えば、対応結果登録部65は、通信部63がメッセージ通知装置30に送信したメッセージの履歴を自身の記憶領域に記憶し、それぞれのメッセージについての対応結果を入力する入力画面を運用者端末40に送信する。そして、運用者端末40によって入力された対応結果を受信し、受信した対応結果を対応結果記憶部62に記憶させる。
【0027】
構成情報記憶部66には、複数の物理マシン10と、その物理マシンのコンピュータリソースに起動された仮想マシンとの関係を示す構成情報が記憶されている。図3は、構成情報記憶部66に記憶される構成情報のデータ例を示す図である。構成情報には、ノード名と、マシンの種類と、親ノードと、ハイパーバイザと、OS(Operating System)と、システムIDとの情報が対応付けられる。対応結果記憶部62に記憶された情報と同名の項目については、同様の情報である。マシンの種類には、対応するノードの種類を示す情報であり、例えば「ルータ」、「物理マシン」、「仮想マシン」等の種類が対応付けられる。親ノードは、ノード間のネットワークトポロジにおける親子関係を示す情報である。ここでは、ノード名が「Node01」であるルータを親ノードとして、ノード名が「Node02」である物理マシン10と、ノード名が「Node03」である物理マシン10とが接続されていることが示されている。ハイパーバイザには、マシンの種類が仮想マシンである場合に、その仮想マシンが起動されている物理マシン10を示すノード名が対応付けられる。OSは、対応するノードのOSを示す。
【0028】
ルール生成部67は、対応結果記憶部62から読み出した対応結果に基づいて、ルールを生成してルール記憶部61に記憶させる。また、ルール生成部67は、構成情報記憶部66に記憶されている構成情報を読み出し、読み出した構成情報に基づいてルールを生成してルール記憶部61に記憶させる。ここで、ルール生成部67が行うルール生成処理は、例えば、一定期間毎に周期的に行うようにしても良いし、管理者からの要求に応じて行うようにしても良い。あるいは、例えば対応結果記憶部62に記憶されている対応結果のデータ量が一定件数以上になった場合や、構成情報記憶部66に記憶されている構成情報が更新された場合等に行うようにしても良い。
【0029】
例えば、ルール生成部67は、構成情報と対応履歴とを参照して、物理マシン10からの異常を示すメッセージを受信した後に、その物理マシン10のコンピュータリソースに起動された仮想マシンからの異常を示すメッセージを受信した場合、その仮想マシンからのメッセージを破棄するルールを生成する。この場合、物理マシン10に異常が発生しているので、その物理マシン10の異常に基づいて、そのコンピュータリソースに起動された仮想マシンに異常が発生していることが考えられるためである。
【0030】
また、ルール生成部67は、一定時刻の間に対応付けられた複数の対応結果が、対応するメッセージに応じた対応を行わなかったことを示す場合、その一定時刻の間に受信したメッセージを破棄するルールを生成する。例えば、図4に示すように、ノード名が「Node01」であるノードから受信したメッセージのうち、3:00〜4:00の時間帯に送信されたメッセージについては全て無視されていることを検出すると、その時間帯(3:00と4:00との間)に受信したメッセージを破棄するルールを生成する。このような場合、例えばその時間帯は管理者によるメンテナンスが行われる時間帯であり、異常が発生しても対応する必要がないこと等が考えられるためである。
【0031】
また、ルール生成部67は、対応結果が、一定時間の間に同様の内容を示す一定回数以上のメッセージを受信した場合にのみ、そのメッセージに応じた対応を行ったことを示す場合、その一定時間の間に同様の内容を示すメッセージを一定回数以上受信した場合に、メッセージを出力するルールを生成する。例えば、図5に示すような対応結果から、メッセージ内容が「プロセスダウン」である場合には、10分以内に3回以上通知されたときにのみ対応されていたことが検出できる。
【0032】
また、ルール生成部67は、メッセージの内容が特定のものである場合、その後一定時間内に対応する内容のメッセージを受信した場合には、そのメッセージを破棄するルールを生成する。例えば、図6に示すような対応結果から、pingダウンのメッセージが送信された場合にも、そのメッセージから5分以内にpingアップのメッセージを受信した場合には、そのメッセージが無視されていることが検出できる。
【0033】
また、ルール生成部67は、仮想マシンにオートスケール設定がされている場合、その仮想マシンからのCPU使用率超過のメッセージを破棄するルールを生成する。オートスケールとは、物理マシン10の仮想化機能により、仮想マシンのCPU使用率が一定以上になった状態が一定時間以上続く場合には、自動的にコンピュータリソースの追加を行うことを示す。この場合、対応結果記憶部62の対応結果には、ノード毎にオートスケール設定がされているか否かを示す情報を対応付けて記憶しておく。例えば、図7に示すような対応結果から、ノードからCPU使用率超過のメッセージが送信された場合にも、そのノードにオートスケール設定がされている場合にはメッセージが無視されていることが検出できる。
【0034】
また、ルール生成部67は、物理マシン10が移動(マイグレーション)処理を行っている間にその物理マシン10から処理負荷が上昇したことを示すメッセージを受信した場合、そのメッセージを破棄するルールを生成する。この場合、対応結果記憶部62には、物理マシン10からメッセージを受信した場合に、その物理マシン10が移動処理を行っていたか否かを示す情報を対応付けて記憶しておく。例えば、図8に示すような対応結果から、物理マシン10からメッセージが送信された場合にも、その物理マシン10が移動処理を行っている間である場合にはメッセージが無視されていることが検出できる。
【0035】
また、ルール生成部67は、物理マシン10が移動処理を行っている間にその物理マシン10に起動された仮想マシンからpingダウンのメッセージを受信した場合、そのメッセージを破棄するルールを生成する。例えば、図9に示すような対応結果から、仮想マシンからメッセージが送信された場合にも、その仮想マシンが移動処理を行っている間である場合にはメッセージが無視されていることが検出できる。この場合、移動処理を原因とする瞬断が発生していることが考えられるためである。
【0036】
また、ルール生成部67は、物理マシン10からの異常を示すメッセージを受信した後に、その物理マシン10に起動されていた仮想マシンが他の物理マシン10に移動した場合、その仮想マシンからの異常を示すメッセージを破棄するルールを生成する。この場合、物理マシン10からのこの場合、物理マシン10に異常が発生していることを原因として仮想マシンに異常が発生していることが考えられ、仮想マシンが他の物理マシン10に移動したことにより異常が発生しなくなると考えられるためである。
【0037】
また、ルール生成部67は、このように生成したルールを、即座にルール記憶部61に記憶させるのではなく、例えば生成したルールを新規ルール候補として管理者端末50に送信して管理者端末50に表示させ、生成した新規ルールのうち管理者によって選択されたルールのみをルール記憶部61に記憶させるようにしても良い。
また、ルール生成部67は、フィルタリング装置60が監視システム20から送信されたが、フィルタリングの処理結果により破棄したメッセージの一覧を管理者端末50に送信するようにしても良い。そして、管理者が本来想定している処理結果と異なる場合には、そのことを示す情報の入力を受け付け、ルールを修正することができる。例えば、図10に示すように、本来想定している処理結果は破棄ではなく通知であったことを示す情報の入力を受け付け、そのメッセージについては通知を行うルールを生成する。
【0038】
次に、本実施形態によるフィルタリング装置60の動作例を説明する。図11は、フィルタリング装置60が、対応結果に基づいてルールを生成する動作例を示すフローチャートである。フィルタリング装置60のルール生成部67は、対応結果記憶部62に記憶されている対応結果を読み出す(ステップS1)。そして、対応結果に基づいて新規ルール候補を生成する(ステップS2)。そして、ルール生成部67は、管理者端末50に新規ルール候補を送信する(ステップS3)。管理者端末50は、送信された新規ルール候補をディスプレイに表示させ、表示させた新規ルール候補のうちからルールとして採用するルールの選択を受け付け、選択結果をフィルタリング装置60に送信する。フィルタリング装置60のルール生成部67は、管理者端末50から送信された選択結果を受信し、受信した選択結果が、採用することが選択されたことを示す場合(ステップS4:YES)、その新規ルール候補をルール記憶部61に記憶させる(ステップS5)。一方、受信した選択結果が、採用することが選択されていないことを示す場合(ステップS4:NO)、その新規ルール候補をルール記憶部61に記憶させず、処理を終了する。
【0039】
図12は、フィルタリング装置60が、構成情報に基づいてルールを生成する動作例を示すフローチャートである。フィルタリング装置60のルール生成部67は、構成情報記憶部66に記憶されている構成情報を読み出す(ステップS11)。そして、構成情報に基づいて新規ルール候補を生成する(ステップS12)。そして、ルール生成部67は、生成した新規ルール候補をルール記憶部61に記憶させる(ステップS13)。
【0040】
以上説明したように、本実施形態によれば、メッセージに対する運用者の対応結果や、物理マシンと仮想マシンとの関係を示す構成情報等に基づいてルールを学習し、自動的に生成するようにしたので、管理者等が自身でルールを作成する必要がなく、仮想環境における異常を示すメッセージをフィルタリングするルールを効率良く生成することが可能となる。これにより、管理者がルールを作成する手間が省けるとともに、人為的なミスにより適切でないルールが生成されることを防ぐことができる。
また、従来は、監視対象システム毎に物理的なハードウェアが分かれており、監視対象システム毎に対応する運用管理システムが設けられ、それぞれに運用者が割り当てられている場合が多かったが、仮想環境においては、ひとつの物理マシン10に複数の仮想マシンが起動するため、1人の運用者が複数のシステムを監視することが有り得る。このような場合でも、最適なルールが作成されてフィルタリングされたメッセージが運用者端末40に表示されるため、運用者は効率良くメッセージの対応を行うことができる。これにより、運用者の負担が軽くなるとともに、運用のための費用を削減することができる。
【0041】
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりルールの生成を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0042】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0043】
10 物理マシン
20 監視システム
30 メッセージ通知装置
40 運用者端末
50 管理者端末
60 フィルタリング装置
61 ルール記憶部
62 対応結果記憶部
63 通信部
64 フィルタリング部
65 対応結果登録部
66 構成情報記憶部
67 ルール生成部
【特許請求の範囲】
【請求項1】
自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは当該物理マシンに起動された前記仮想マシンに異常が発生すると、異常が発生した当該物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続されたフィルタリング装置であって、
前記メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、
前記メッセージと、当該メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部と、
前記監視装置から送信される前記メッセージを受信する受信部と、
前記ルール記憶部に記憶されている前記ルールを読み出し、読み出した当該ルールに基づいて、前記受信部が受信した前記メッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合に当該メッセージを出力し、定められた内容を示さないと判定した場合に当該メッセージを破棄するフィルタリング部と、
前記フィルタリング部が出力した前記メッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された当該対応結果を当該メッセージに対応付けて前記対応結果記憶部に記憶させる対応結果登録部と、
前記対応結果記憶部から読み出した前記対応結果に基づいて、前記ルールを生成して前記ルール記憶部に記憶させるルール生成部と、
を備えることを特徴とするフィルタリング装置。
【請求項2】
前記物理マシンと、当該物理マシンのコンピュータリソースに起動された前記仮想マシンとの関係を示す構成情報が記憶されている構成情報記憶部を備え、
前記ルール生成部は、前記構成情報記憶部に記憶されている前記構成情報を読み出し、読み出した当該構成情報に基づいて前記ルールを生成する
ことを特徴とする請求項1に記載のフィルタリング装置。
【請求項3】
前記ルール生成部は、前記物理マシンからの異常を示すメッセージを受信した後に、当該物理マシンのコンピュータリソースに起動された前記仮想マシンからの異常を示すメッセージを受信した場合、当該仮想マシンからのメッセージを破棄するルールを生成する
ことを特徴とする請求項2に記載のフィルタリング装置。
【請求項4】
前記物理マシンは、自身のコンピュータリソースに起動された仮想マシンを、他の物理マシンに移動させる機能を有し、
前記ルール生成部は、前記物理マシンからの異常を示すメッセージを受信した後に、当該物理マシンに起動されていた前記仮想マシンが他の物理マシンに移動した場合、当該仮想マシンからの異常を示すメッセージを破棄するルールを生成する
ことを特徴とする請求項2または請求項3に記載のフィルタリング装置。
【請求項5】
前記物理マシンは、自身のコンピュータリソースに起動された仮想マシンを、他の物理マシンに移動させる機能を有し、
前記ルール生成部は、前記物理マシンが前記移動処理を行っている間に当該物理マシンから処理負荷が上昇したことを示すメッセージを受信した場合、当該メッセージを破棄するルールを生成する
ことを特徴とする請求項1から請求項4までのいずれか1項に記載のフィルタリング装置。
【請求項6】
前記対応結果記憶部には、前記メッセージを受信した受信時刻に対応付けて、前記対応結果が記憶され、
前記ルール生成部は、一定時刻の間に対応付けられた複数の前記対応結果が、対応する前記メッセージに応じた対応を行わなかったことを示す場合、当該一定時刻の間に受信した前記メッセージを破棄するルールを生成する
ことを特徴とする請求項1から請求項5までのいずれか1項に記載のフィルタリング装置。
【請求項7】
自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは当該物理マシンに起動された前記仮想マシンに異常が発生すると、異常が発生した当該物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続され、前記メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、前記メッセージと、当該メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部とを備えたフィルタリング装置のフィルタリング方法であって、
前記監視装置から送信される前記メッセージを受信するステップと、
前記ルール記憶部に記憶されている前記ルールを読み出し、読み出した当該ルールに基づいて、受信した前記メッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合に当該メッセージを出力し、定められた内容を示さないと判定した場合に当該メッセージを破棄するステップと、
出力した前記メッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された当該対応結果を当該メッセージに対応付けて前記対応結果記憶部に記憶させるステップと、
前記対応結果記憶部から読み出した前記対応結果に基づいて、前記ルールを生成して前記ルール記憶部に記憶させるステップと、
を備えることを特徴とするフィルタリング方法。
【請求項8】
自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは当該物理マシンに起動された前記仮想マシンに異常が発生すると、異常が発生した当該物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続され、前記メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、前記メッセージと、当該メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部とを備えたフィルタリング装置のコンピュータに、
前記監視装置から送信される前記メッセージを受信するステップと、
前記ルール記憶部に記憶されている前記ルールを読み出し、読み出した当該ルールに基づいて、受信した前記メッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合に当該メッセージを出力し、定められた内容を示さないと判定した場合に当該メッセージを破棄するステップと、
出力した前記メッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された当該対応結果を当該メッセージに対応付けて前記対応結果記憶部に記憶させるステップと、
前記対応結果記憶部から読み出した前記対応結果に基づいて、前記ルールを生成して前記ルール記憶部に記憶させるステップと、
を実行させるフィルタリングプログラム。
【請求項1】
自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは当該物理マシンに起動された前記仮想マシンに異常が発生すると、異常が発生した当該物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続されたフィルタリング装置であって、
前記メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、
前記メッセージと、当該メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部と、
前記監視装置から送信される前記メッセージを受信する受信部と、
前記ルール記憶部に記憶されている前記ルールを読み出し、読み出した当該ルールに基づいて、前記受信部が受信した前記メッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合に当該メッセージを出力し、定められた内容を示さないと判定した場合に当該メッセージを破棄するフィルタリング部と、
前記フィルタリング部が出力した前記メッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された当該対応結果を当該メッセージに対応付けて前記対応結果記憶部に記憶させる対応結果登録部と、
前記対応結果記憶部から読み出した前記対応結果に基づいて、前記ルールを生成して前記ルール記憶部に記憶させるルール生成部と、
を備えることを特徴とするフィルタリング装置。
【請求項2】
前記物理マシンと、当該物理マシンのコンピュータリソースに起動された前記仮想マシンとの関係を示す構成情報が記憶されている構成情報記憶部を備え、
前記ルール生成部は、前記構成情報記憶部に記憶されている前記構成情報を読み出し、読み出した当該構成情報に基づいて前記ルールを生成する
ことを特徴とする請求項1に記載のフィルタリング装置。
【請求項3】
前記ルール生成部は、前記物理マシンからの異常を示すメッセージを受信した後に、当該物理マシンのコンピュータリソースに起動された前記仮想マシンからの異常を示すメッセージを受信した場合、当該仮想マシンからのメッセージを破棄するルールを生成する
ことを特徴とする請求項2に記載のフィルタリング装置。
【請求項4】
前記物理マシンは、自身のコンピュータリソースに起動された仮想マシンを、他の物理マシンに移動させる機能を有し、
前記ルール生成部は、前記物理マシンからの異常を示すメッセージを受信した後に、当該物理マシンに起動されていた前記仮想マシンが他の物理マシンに移動した場合、当該仮想マシンからの異常を示すメッセージを破棄するルールを生成する
ことを特徴とする請求項2または請求項3に記載のフィルタリング装置。
【請求項5】
前記物理マシンは、自身のコンピュータリソースに起動された仮想マシンを、他の物理マシンに移動させる機能を有し、
前記ルール生成部は、前記物理マシンが前記移動処理を行っている間に当該物理マシンから処理負荷が上昇したことを示すメッセージを受信した場合、当該メッセージを破棄するルールを生成する
ことを特徴とする請求項1から請求項4までのいずれか1項に記載のフィルタリング装置。
【請求項6】
前記対応結果記憶部には、前記メッセージを受信した受信時刻に対応付けて、前記対応結果が記憶され、
前記ルール生成部は、一定時刻の間に対応付けられた複数の前記対応結果が、対応する前記メッセージに応じた対応を行わなかったことを示す場合、当該一定時刻の間に受信した前記メッセージを破棄するルールを生成する
ことを特徴とする請求項1から請求項5までのいずれか1項に記載のフィルタリング装置。
【請求項7】
自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは当該物理マシンに起動された前記仮想マシンに異常が発生すると、異常が発生した当該物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続され、前記メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、前記メッセージと、当該メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部とを備えたフィルタリング装置のフィルタリング方法であって、
前記監視装置から送信される前記メッセージを受信するステップと、
前記ルール記憶部に記憶されている前記ルールを読み出し、読み出した当該ルールに基づいて、受信した前記メッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合に当該メッセージを出力し、定められた内容を示さないと判定した場合に当該メッセージを破棄するステップと、
出力した前記メッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された当該対応結果を当該メッセージに対応付けて前記対応結果記憶部に記憶させるステップと、
前記対応結果記憶部から読み出した前記対応結果に基づいて、前記ルールを生成して前記ルール記憶部に記憶させるステップと、
を備えることを特徴とするフィルタリング方法。
【請求項8】
自身のコンピュータリソースに仮想マシンを起動させる複数の物理マシンまたは当該物理マシンに起動された前記仮想マシンに異常が発生すると、異常が発生した当該物理マシンまたは仮想マシンから異常の内容を示すメッセージを取得する監視装置に接続され、前記メッセージが定められた内容を示すものであるか否かを判定するルールが記憶されているルール記憶部と、前記メッセージと、当該メッセージが示す内容に応じて行われた対応を示す対応結果とが対応付けられて記憶される対応結果記憶部とを備えたフィルタリング装置のコンピュータに、
前記監視装置から送信される前記メッセージを受信するステップと、
前記ルール記憶部に記憶されている前記ルールを読み出し、読み出した当該ルールに基づいて、受信した前記メッセージが、定められた内容を示すものであるか否かを判定し、定められた内容を示すと判定した場合に当該メッセージを出力し、定められた内容を示さないと判定した場合に当該メッセージを破棄するステップと、
出力した前記メッセージに応じて行われた対応を示す対応結果の入力を受け付け、入力された当該対応結果を当該メッセージに対応付けて前記対応結果記憶部に記憶させるステップと、
前記対応結果記憶部から読み出した前記対応結果に基づいて、前記ルールを生成して前記ルール記憶部に記憶させるステップと、
を実行させるフィルタリングプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2012−208736(P2012−208736A)
【公開日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願番号】特願2011−73957(P2011−73957)
【出願日】平成23年3月30日(2011.3.30)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願日】平成23年3月30日(2011.3.30)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]