ログ管理システム、ログ管理装置及びログ管理方法
【課題】危険度や緊急度の判断基準となる重要度をログメッセージに設定すること。
【解決手段】実施形態に係るログ管理システムは、構成情報記憶部と、ログ収集部と、影響度算出部と、重要度設定部とを有する。構成情報記憶部は、ネットワークに含まれる複数のネットワーク機器の接続関係又はネットワーク機器を流通するトラフィックに関する情報を含む構成情報を記憶する。ログ収集部は、ネットワーク機器に関するログメッセージを収集する。影響度算出部は、構成情報記憶部に記憶されている構成情報に基づいて、ネットワーク機器の故障又は性能劣化がネットワークに与える影響の度合いを示す影響度をネットワーク機器毎に算出する。重要度設定部は、ネットワーク機器の影響度が高いほど、かかるネットワーク機器に関するログメッセージに対して高い重要度を設定する。
【解決手段】実施形態に係るログ管理システムは、構成情報記憶部と、ログ収集部と、影響度算出部と、重要度設定部とを有する。構成情報記憶部は、ネットワークに含まれる複数のネットワーク機器の接続関係又はネットワーク機器を流通するトラフィックに関する情報を含む構成情報を記憶する。ログ収集部は、ネットワーク機器に関するログメッセージを収集する。影響度算出部は、構成情報記憶部に記憶されている構成情報に基づいて、ネットワーク機器の故障又は性能劣化がネットワークに与える影響の度合いを示す影響度をネットワーク機器毎に算出する。重要度設定部は、ネットワーク機器の影響度が高いほど、かかるネットワーク機器に関するログメッセージに対して高い重要度を設定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、ログ管理システム、ログ管理装置及びログ管理方法に関する。
【背景技術】
【0002】
従来、通信網(以下、「ネットワーク」と表記する場合がある)を構成するルータ等の各種ネットワーク機器における故障や性能劣化は、ネットワークを介して提供される各種サービスに影響を与える。例えば、ネットワーク内のルータが故障した場合には、利用者間で送受されるデータを中継できなくなることがあり、ルータの性能が劣化した場合には、データの中継処理に遅延が発生することがある。
【0003】
このため、ネットワーク機器における故障や性能劣化を検知するために、各ネットワーク機器から出力されるログメッセージを収集することが行われている。例えば、所定のログ管理装置が、Syslogプロトコルに則って各ネットワーク機器からSyslogメッセージを収集し、収集したSyslogメッセージをネットワーク管理者に通知する技術等が知られている。このようなSyslogメッセージには、ログ出力時刻等を示すタイムスタンプ、メッセージ内容の他に、ネットワーク機器において発生した事象の危険度や緊急度等を示す重要度が設定される。これにより、ネットワーク管理者は、重要度毎にSyslogメッセージを分別することができる。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】R.Gerhards et al, "The Syslog Protocol", Network Working Group, RFC5424, March 2009, [online],[平成23年7月15日検索]、インターネット<http://tools.ietf.org/html/rfc5424>
【非特許文献2】Tongqing Qiu et al, "What Happened in my Network? Mining Network Events from Router Syslogs", In Proc. ACM IMC 2010, [online],[平成23年7月15日検索]、インターネット<http://conferences.sigcomm.org/imc/2010/papers/p472.pdf>
【非特許文献3】Daniel Turner et al, "California Fault Lines: Understanding the Causes and Impact of Network Failures", In Proc. ACM SIGCOMM 2010, [online],[平成23年7月15日検索]、インターネット<http://portal.acm.org/citation.cfm?id=1851220>
【非特許文献4】Hiroshi Yamada, Takeshi Yada, Hiroto Nomura, "Developing network configuration management database system and its application - Data federation for network management", In Proc. IEEE Networks 2010, pages168-173
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記従来のSyslogメッセージに設定されている重要度は、ネットワーク管理者が危険度や緊急度等を判断する基準にならない場合があった。具体的には、Syslogメッセージに設定される重要度は、ネットワーク機器を販売するベンダによって定義されることが多く、一貫性があると限らなかった。例えば、各種ネットワーク機器によって出力されるSyslogメッセージには、危険度や緊急度が同様である事象に対しても異なる重要度が設定されている場合や、危険度や緊急度が異なる事象に対しても同様の重要度が設定されている場合があった。また、基本的にSyslogメッセージは送信元である機器や部品自身にとっての危険度や緊急度から重要度を定義しているため、単独の機器にとっては重要ではなくとも複数機器に影響を与えるような事象についても重要度が低く設定されるような場合があった。このため、Syslogメッセージに設定されている重要度は、ネットワーク管理者にとって危険度や緊急度を判断する基準とならない場合があった。
【0006】
本願の開示する技術は、上記に鑑みてなされたものであって、ネットワーク管理者にとって危険度や緊急度の判断基準となる重要度をログメッセージに設定することができるログ管理システム、ログ管理装置及びログ管理方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
実施形態に係るログ管理システムは、ネットワークに含まれる複数のネットワーク機器の接続関係又は該ネットワーク機器を流通するトラフィックに関する情報を含む構成情報を記憶する構成情報記憶部と、前記ネットワークから前記ネットワーク機器に関するログメッセージを収集するログ収集部と、前記構成情報記憶部に記憶されている構成情報に基づいて、ネットワーク機器の故障又は性能劣化が前記ネットワークに与える影響の度合いを示す影響度をネットワーク機器毎に算出する影響度算出部と、前記影響度算出部によって算出されたネットワーク機器の影響度が高いほど、前記ログ収集部によって収集された該ネットワーク機器に関するログメッセージに対して高い重要度を設定する重要度設定部とを備えたことを特徴とする。
【発明の効果】
【0008】
実施形態に係るログ管理システム、ログ管理装置及びログ管理方法は、危険度や緊急度の判断基準となる重要度をログメッセージに設定することができるという効果を奏する。
【図面の簡単な説明】
【0009】
【図1】図1は、実施例1に係るログ管理システムの構成例を示す図である。
【図2】図2は、実施例1に係る構成管理装置の構成例を示す図である。
【図3】図3は、実施例1におけるネットワークの構成例を示す図である。
【図4】図4は、実施例1における影響度リスト記憶部の一例を示す図である。
【図5】図5は、実施例1に係るログ管理装置の構成例を示す図である。
【図6】図6は、実施例1に係る構成管理装置による処理手順を示すフローチャートである。
【図7】図7は、実施例1における影響度算出部による影響度算出処理手順を示すフローチャートである。
【図8】図8は、実施例1における重要度設定部による重要度設定処理手順を示すフローチャートである。
【図9】図9は、変形例に係るログ管理システムの構成例を示す図である。
【図10】図10は、変形例に係る影響度算出部によるルータ毎の影響度算出処理手順を示すフローチャートである。
【図11】図11は、変形例に係る影響度算出部による影響度算出処理手順を示すフローチャートである。
【図12】図12は、変形例に係る影響度算出部によるルータ毎の影響度算出処理手順を示すフローチャートである。
【図13】図13は、ログ管理プログラムを実行するコンピュータを示す図である。
【発明を実施するための形態】
【0010】
以下に、本願の開示する技術に係るログ管理システム、ログ管理装置及びログ管理方法の実施例を図面に基づいて詳細に説明する。なお、この実施例により本願の開示する技術が限定されるものではない。
【実施例1】
【0011】
[ログ管理システムの構成]
まず、図1を用いて、実施例1に係るログ管理システムについて説明する。図1は、実施例1に係るログ管理システム1の構成例を示す図である。図1に例示するように、実施例1に係るログ管理システム1には、ネットワーク機器群10と、構成管理装置20と、ログ管理装置100とが含まれる。
【0012】
ネットワーク機器群10は、ネットワークNを構成する各種ネットワーク機器の集合である。図1に例示したネットワーク機器群10には、ネットワークNを構成するルータ11〜14が含まれる。実施例1においては、かかるルータ11〜14等によって出力されるSyslogメッセージに重要度を設定する例について説明する。
【0013】
ルータ11〜14は、各種データ(パケット)を中継する中継装置であり、他のルータや利用者端末等と接続するためのポートを有する。これらのルータ11〜14は、利用者端末や利用者ネットワーク網と接続される「エッジルータ」である場合や、利用者端末や利用者ネットワーク網と直接接続されない「中継ルータ」である場合がある。例えば、エッジルータは、利用者端末から受信したデータを他のエッジルータや中継ルータに中継する処理や、他のエッジルータや中継ルータから受信したデータを利用者端末に中継する処理等を行う。また、例えば、中継ルータは、他のエッジルータや中継ルータから受信したデータを他のエッジルータや中継ルータに中継する処理等を行う。
【0014】
このようなルータ11〜14は、Syslogプロトコルが適用されており、所定の事象が発生した場合に、Syslogメッセージを出力し、出力したSyslogメッセージを後述するログ管理装置100に送信する。例えば、ルータ11〜14は、データの中継処理を行った場合や、ポート間のリンクがダウンする事象であるリンクダウンが発生した場合や、ポート間のリンクが形成される事象であるリンクアップが発生した場合等に、Syslogメッセージを出力する。
【0015】
このとき、ルータ11〜14は、「タイムスタンプ」と、「事象が発生した箇所」と、「発生した事象の内容」と、「重要度」とを含むSyslogメッセージを出力する。ここでいう「タイムスタンプ」とは、例えば、Syslogメッセージを出力した時刻、又は、事象が発生した時刻等を示す。また、「事象が発生した箇所」とは、例えば、ルータや、ルータを構成する構成部品等を示す。ルータの構成部品の例としては、ポートや、複数のポートを有するラインカード等が挙げられる。
【0016】
例えば、ルータ11がポート11aを有し、ルータ12がポート12aを有し、ポート11aとポート12aとが接続されていたが、かかるポート11aとポート12aとの間においてリンクダウンが発生したものとする。かかる場合に、ルータ11は、例えば、「2011年7月15日10時30分10秒 ルータ11 ポート11a リンクダウン 重要度A」といったSyslogメッセージを出力する。また、ルータ12も同様のSyslogメッセージを出力する。
【0017】
ここで、上記例における「重要度A」は、ルータ11のベンダによって事象毎に定義された情報である。したがって、ルータ11とルータ12とのベンダが異なる場合には、ルータ11が上記例のように重要度Aを含むSyslogメッセージを出力した場合であっても、ルータ12は、重要度A以外の重要度を含むSyslogメッセージを出力することがある。つまり、ルータ11及びルータ12において、同一の事象「リンクダウン」が発生した場合であっても、双方のルータによって出力されるSyslogメッセージには、異なる重要度が設定されることがある。
【0018】
そこで、実施例1に係る構成管理装置20及びログ管理装置100は、このようなルータ11等から出力されるSyslogメッセージに対して、新たな重要度を設定することにより、ネットワーク管理者が危険度や緊急度を判断することを可能にする。なお、ルータ11〜14は、「事象が発生した箇所」としてルータやラインカードやポートに関する情報を含むSyslogメッセージを出力する場合があるが、実施例1においては、説明を簡単にするために「事象が発生した箇所」がポートであるSyslogメッセージを例に挙げて、かかるSyslogメッセージに新たな重要度を設定する処理について説明する。
【0019】
構成管理装置20は、ネットワークNの構成情報を管理し、かかる構成情報に基づいて、ルータ11等が有するポートに故障又は性能劣化等が発生した際にネットワークNに与える影響を示す影響度をポート毎に算出する。なお、「故障又は性能劣化等」とは、ルータやポート等が正常な状態でないことを示す。以下では、「故障又は性能劣化等」を単に故障と表記する場合がある。例えば、「ポートに故障が発生」と表記した場合には、「ポートに故障又は性能劣化等が発生」や「ポートに異常が発生し、正常な状態でなくなったこと」を意味する。
【0020】
具体的には、図1に示した構成管理装置20は、各ルータに設定されている設定情報を各ルータから取得、管理する。この機能はCMDB(Configuration Management Data Base)に相当する。これにより、構成管理装置20は、各ルータが有するポート間の接続関係に関する情報をネットワークNの構成情報として取得することができる。例えば、構成管理装置20は、ネットワークNの構成情報として、ルータ11のポート11aとルータ12のポート12aとが接続されていることを示す情報等を取得することができる。
【0021】
そして、実施例1に係る構成管理装置20は、このような構成情報に基づいて、ルータ11等が有する所定のポートに故障が発生したものと仮定し、かかる所定のポートが故障した際に通信が行えなくなるエッジルータ間の数を算出する。構成管理装置20は、かかる算出処理を各ポートについて行うことにより、通信不可能となるエッジルータ間の数をポート毎に算出する。このようにして算出された通信不可能となるエッジルータ間の数は、ポートが故障した際にネットワークNに与える影響度を示す。例えば、ルータ11のポート11aが故障した場合に、通信不可能となるエッジルータ間の数が多いほど、ポート11aの故障がネットワークNに与える影響度は高いことを示し、一方で、通信不可能となるエッジルータ間の数が少ないほど、ポート11aの故障がネットワークNに与える影響度は低いことを示す。このため、実施例1に係る構成管理装置20は、通信不可能となるエッジルータ間の数を影響度として算出する。そして、構成管理装置20は、ポートを識別するためのポート識別子と、かかるポートの影響度とが対応付けられたリスト(以下、「影響度リスト」と表記する場合がある)をログ管理装置100に送信する。
【0022】
ログ管理装置100は、ルータ11等からSyslogメッセージを収集し、構成管理装置20から影響度リストを受信する。そして、ログ管理装置100は、影響度リストに基づいて、各Syslogメッセージに新たな重要度を設定する。
【0023】
具体的には、ログ管理装置100は、ルータ11等から収集したSyslogメッセージに含まれる「事象が発生した箇所」を特定し、特定した「事象が発生した箇所」に対応する「影響度」を影響度リストから取得する。そして、ログ管理装置100は、影響度リストから取得した影響度が高いSyslogメッセージほど高い重要度を設定し、影響度リストから取得した影響度が低いSyslogメッセージほど低い重要度を設定する。
【0024】
例えば、ログ管理装置100は、「ポート、影響度」の組合せである影響度リストとして、「ポート11a、1」、「ポート12a、1」、・・・、「ポート14d、3」等を受信したものとする。かかる場合に、ログ管理装置100は、「事象が発生した箇所」としてポート14dを含むSyslogメッセージには、「事象が発生した箇所」としてポート11aやポート12aを含むSyslogメッセージよりも高い重要度を設定する。
【0025】
このように、ログ管理装置100は、各ポートが故障した際にネットワークNに与える影響度に基づいて、各ポートに関するSyslogメッセージの重要度を新たに設定する。これにより、ログ管理装置100は、ルータ11〜14のベンダが異なる場合であっても、影響度という一貫性のある情報に基づいて、Syslogメッセージに重要度を設定することができる。この結果、ログ管理装置100は、ネットワーク管理者にとって危険度や緊急度の判断基準となる重要度をSyslogメッセージに設定することができる。
【0026】
なお、図1では、ネットワーク機器群10に4台のルータ11〜14が含まれる例を示したが、ネットワーク機器群10に含まれるルータの数は4台に限られない。例えば、ネットワーク機器群10には、2台、3台、又は5台以上のルータが含まれてもよい。
【0027】
また、上記では、ログ管理装置100が、ポートが故障した際に通信不可能となるエッジルータ間の数である影響度に基づいて、Syslogメッセージに重要度を設定する例を示した。しかし、実施例1に係るログ管理装置100は、かかる影響度に加えて他の情報も用いて、Syslogメッセージに重要度を設定する。以下に、このような重要度の設定処理も含めて、構成管理装置20及びログ管理装置100について詳細に説明する。
【0028】
[構成管理装置の構成]
次に、図2を用いて、図1に示した構成管理装置20について説明する。図2は、実施例1に係る構成管理装置20の構成例を示す図である。図2に例示するように、実施例1に係る構成管理装置20は、IF(interface)部21と、設定情報記憶部22と、構成情報記憶部23と、影響度リスト記憶部24と、設定情報取得部25と、構成情報算出部26と、影響度算出部27と、送信部28とを有する。
【0029】
IF部21は、外部装置との間で各種データを送受する。例えば、IF部21は、ルータ11等からルータ11等に設定されている設定情報を受信する。また、例えば、IF部21は、ログ管理装置100に対して影響度リストを送信する。
【0030】
設定情報記憶部22は、ネットワークNに含まれるネットワーク機器群10に設定されている設定情報を記憶する。具体的には、設定情報記憶部22は、後述する設定情報取得部25によってルータ11等から取得された設定情報を記憶する。
【0031】
構成情報記憶部23は、ネットワークNに含まれるネットワーク機器群10の接続関係に関する情報を含む構成情報を記憶する。具体的には、構成情報記憶部23は、後述する構成情報算出部26によって算出される構成情報を記憶する。
【0032】
影響度リスト記憶部24は、ネットワークNに含まれるルータ11等のポートと、かかるポートが故障した際にネットワークNに与える影響度とのリストである影響度リストを記憶する。具体的には、影響度リスト記憶部24は、後述する影響度算出部27によって算出される影響度リストを記憶する。
【0033】
なお、上記の設定情報記憶部22、構成情報記憶部23及び影響度リスト記憶部24は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、又は、ハードディスク、光ディスクなどの記憶装置である。
【0034】
設定情報取得部25は、ネットワークNに含まれるルータ11等から、かかるルータ11等に設定されている設定情報を取得する。そして、設定情報取得部25は、ルータ11等から取得した設定情報を設定情報記憶部22に格納する。
【0035】
構成情報算出部26は、設定情報記憶部22に記憶されているルータ11等の各種設定情報に基づいて、ネットワークNの構成情報を算出する。具体的には、構成情報算出部26は、各種設定情報を用いて、互いに接続されているポートの組合せ等を構成情報として算出する。そして、構成情報算出部26は、このようにして算出した構成情報を構成情報記憶部23に格納する。
【0036】
影響度算出部27は、構成情報記憶部23に記憶されているネットワークNの構成情報に基づいて、ポートが故障した際にネットワークNに与える影響を示す影響度をポート毎に算出する。具体的には、影響度算出部27は、ネットワークNに含まれる各ルータが有するポートのうち所定のポートが故障したと仮定し、かかる所定のポートが故障した際に通信不可能となるエッジルータの組合せの数である影響度を算出する。影響度算出部27は、ネットワークNに含まれる全てのルータ、かつ、全てのポートについて同様の影響度算出処理を行い、算出したポート毎の影響度を影響度リスト記憶部24に格納する。
【0037】
送信部28は、影響度リスト記憶部24に記憶されている影響度リストをログ管理装置100に送信する。例えば、送信部28は、影響度リスト記憶部24に記憶されている影響度リストが更新された場合に、かかる更新後の影響度リストをログ管理装置100に送信する。また、例えば、送信部28は、定期的に影響度リストをログ管理装置100に送信してもよい。
【0038】
なお、上記の設定情報取得部25、構成情報算出部26、影響度算出部27及び送信部28は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路である。
【0039】
また、上記例では、構成管理装置20が設定情報記憶部22を有する例を示したが、構成管理装置20は、設定情報記憶部22を有しなくてもよい。具体的には、構成情報算出部26は、設定情報取得部25によって取得された各種設定情報を蓄積し、設定情報取得部25によってネットワークN内の全てのルータから設定情報が取得された場合に、蓄積した各種設定情報を用いて、ネットワークNの構成情報を算出してもよい。
【0040】
ここで、図3及び図4を用いて、構成管理装置20の影響度算出部27による影響度算出処理について説明する。図3は、実施例1におけるネットワークNの構成例を示す図である。また、図4は、実施例1における影響度リスト記憶部24の一例を示す図である。
【0041】
まず、影響度算出部27による影響度算出処理を説明する前に、ネットワークNの構成例について説明する。ここでは、実施例1におけるネットワークNは、図3に例示したように、ルータ11〜19が含まれるものとする。また、ネットワークNは、ルーティングプロトコルとしてOSPF(Open Shortest Path First)が用いられているものとする。
【0042】
図3に例示するように、ルータ11は、ポート11a及び11bを有し、ルータ12は、ポート12a及び12bを有し、ルータ13は、ポート13a及び13bを有し、ルータ14は、ポート14a、14b、14c及び14dを有する。同様に、ルータ15〜19は、図3に例示した各ポートを有する。
【0043】
ネットワークNの構成例が図3に示した状態である場合に、設定情報取得部25は、ルータ11〜19から、各ルータに設定されている設定情報を取得する。ここの例では、設定情報取得部25は、例えば、各ルータのルーティングプロトコルとしてOSPFが用いられていることを示す情報や、各ルータに利用者端末が接続されているか否かを示す情報や、各ルータが保持するLSDB(Link State Data Base)や、各ルータに設定されている各リンクのコスト等を取得する。なお、リンクのコストとは、OSPFにおいてルーティングメトリックとして利用される情報であり、ポート毎に設定される。
【0044】
そして、構成情報算出部26は、設定情報取得部25によって取得された各種設定情報に基づいて、ネットワークNの構成情報を算出する。具体的には、設定情報取得部25は、ルータ11のポート11aとルータ12のポート12aとが接続されてリンクL12を形成し、ルータ11のポート11bとルータ13のポート13aとが接続されてリンクL13を形成していることを示す構成情報を算出する。同様に、構成情報算出部26は、ルータ12のポート12bとルータ14のポート14aとが接続されてリンクL24を形成していることを示す構成情報や、ルータ13のポート13bとルータ14のポート14bとが接続されてリンクL34を形成していることを示す構成情報等を算出する。このとき、構成情報算出部26は、各リンクのコストについても構成情報として算出する。
【0045】
また、構成情報算出部26は、ルータ11に利用者端末31が接続されており、ルータ15に利用者端末32が接続されており、ルータ17に利用者端末33が接続されていることを示す構成情報を算出する。構成情報算出部26は、このようにして算出した構成情報を構成情報記憶部23に格納する。これにより、影響度算出部27は、構成情報算出部26によって算出された構成情報を参照することにより、各ポート間の接続関係を把握することができるとともに、ルータ11〜19がエッジルータ又は中継ルータのいずれであるかを把握することができる。図3に示した例では、影響度算出部27は、ルータ11、15及び17がエッジルータであり、ルータ12、13、14、16、18及び19が中継ルータであることを把握することができる。
【0046】
ネットワークNが図3に例示した構成である場合について、影響度算出部27による影響度算出処理の一例について説明する。影響度算出部27は、上述したように、ポートが故障した際に通信不可能となるエッジルータの組合せの数を影響度として算出する。以下に説明する影響度算出部27は、各ポートの影響度に初期値「1」を割り当て、ポートが故障した際に通信不可能となるエッジルータの組合せを検出するたびに、ポートに割り当てた影響度をカウントアップすることで、各ポートの影響度を算出する。
【0047】
具体的には、影響度算出部27は、まず、ネットワークNにおける全リンクのコストの総和を算出する。具体的には、影響度算出部27は、ルータ11とルータ12とのリンクL12のコストと、ルータ11とルータ13とのリンクL13のコストと、ルータ12とルータ14とのリンクL24のコストと、ルータ13とルータ14とのリンクL34のコストと、ルータ14とルータ15とのリンクL45のコストと、ルータ15とルータ16とのリンクL56のコストと、ルータ16とルータ17とのリンクL67のコストと、ルータ14とルータ18とのリンクL48のコストと、ルータ18とルータ19とのリンクL89のコストとを全て加算することで、全リンクの総コストを算出する。ここの例では、影響度算出部27は、全リンクの総コストとして「α1」を算出したものとする。
【0048】
続いて、影響度算出部27は、構成情報算出部26によって算出された構成情報に基づいて、互いに接続されてリンクを形成している全てのポートの組合せ(ポートペア)を取得する。具体的には、影響度算出部27は、「ポート11aとポート12aとの組合せ」、「ポート11bとポート13aとの組合せ」、「ポート12bとポート14aとの組合せ」、「ポート13bとポート14bとの組合せ」、「ポート14dとポート15aとの組合せ」、「ポート15bとポート16aとの組合せ」、「ポート16bとポート17aとの組合せ」、「ポート14cとポート18aとの組合せ」、「ポート18bとポート19aとの組合せ」とを取得する。続いて、影響度算出部27は、全てのポートの組合せの中から検証対象とするポートの組合せを1個抽出する。ここでは、影響度算出部27は、「ポート11aとポート12aとの組合せ」を抽出するものとする。
【0049】
続いて、影響度算出部27は、検証対象としたポート11aとポート12aとによって形成されるリンクL12に対して、全リンクの総コスト「α1」よりも大きい値である「α2」を仮想的に設定する。「仮想的に設定する」処理について説明すると、影響度算出部27は、実際にリンクL12に設定されているコストを「α2」に変更するのではなく、構成情報記憶部23に記憶されているリンクL12に対応するコストを「α2」に変更する。
【0050】
続いて、影響度算出部27は、構成情報算出部26によって算出された構成情報に基づいて、エッジルータの組合せを全て取得する。具体的には、影響度算出部27は、エッジルータの組合せとして、「ルータ11とルータ15との組合せ」と、「ルータ11とルータ17との組合せ」と、「ルータ15とルータ17との組合せ」とを取得する。
【0051】
続いて、影響度算出部27は、各エッジルータ間における最短経路(Shortest Path)を算出する。具体的には、影響度算出部27は、ルータ11とルータ15との間における最短経路と、ルータ11とルータ17との間における最短経路と、ルータ15とルータ17との間における最短経路とを算出する。続いて、影響度算出部27は、全てのエッジルータの組合せの中から検証対象とするエッジルータの組合せを抽出する。ここでは、影響度算出部27は、ルータ11とルータ15との組合せを抽出するものとする。また、影響度算出部27は、ルータ11とルータ15との最短経路として、ルータ13及びルータ14を経由してルータ11からルータ15に到達する経路を算出するものとする。すなわち、影響度算出部27は、リンクL13、L34及びL45を経由する経路を最短経路として算出する。
【0052】
そして、影響度算出部27は、抽出したエッジルータの組合せに対応する最短経路のパスコストが「α2」よりも小さいか否かを判定する。ここで、「α2」は、全リンクの総コスト「α1」よりも大きい値であるので、最短経路のパスコストが「α2」以上である場合には、影響度算出部27によって算出された最短経路には、コストに「α2」が設定されているリンクL12が含まれることを示す。このことは、ルータ11とルータ15との間における通信は、リンクL12の経由を要することを示す。言い換えれば、ポート11a又はポート12aが故障した場合には、ルータ11とルータ15との間で通信が行えなくなる。一方、最短経路のパスコストが「α2」よりも小さい場合には、影響度算出部27によって算出された最短経路には、コストに「α2」が設定されているリンクL12が含まれていないことを示す。このことは、ルータ11とルータ15との間における通信は、リンクL12の経由を要しないことを示す。言い換えれば、ポート11a又はポート12aが故障した場合であっても、ルータ11とルータ15との間で通信は行える。
【0053】
ここでは、影響度算出部27は、ルータ11とルータ15との間における最短経路として、ルータ13及びルータ14を経由してルータ11からルータ15に到達する経路を算出することになる。かかる最短経路のパスコストは、リンクL13、L34及びL45におけるコストの総和であるので、「α2」よりも小さい。したがって、ポート11a又はポート12aが故障した場合であっても、ルータ11とルータ15との間における通信は維持されるので、ポート11a又はポート12aの故障がルータ11とルータ15との間における通信に与える影響度は低い。このため、影響度算出部27は、この時点ではポート11a及びポート12aの影響度をカウントアップしない。
【0054】
続いて、影響度算出部27は、全てのエッジルータの組合せの中から未検証のエッジルータの組合せである「ルータ11とルータ17との組合せ」又は「ルータ15とルータ17との組合せ」を抽出する。そして、影響度算出部27は、抽出したエッジルータの組合せに対応する最短経路のパスコストが「α2」よりも小さいか否かを判定する。このようにして、影響度算出部27は、検証対象であるエッジルータの全ての組合せについて上記処理を行う。そして、影響度算出部27は、検証対象のポートの全ての組合せに対して上記処理を行う。
【0055】
ここで、影響度がカウントアップされる例を挙げると、例えば、エッジルータの組合せ「ルータ11及びルータ15」が検証対象であり、さらに、ポート14dとポート15aとの組合せが検証対象であるものとする。つまり、影響度算出部27は、ポート14dとポート15aとによって形成されるリンクL45のコストを「α2」に変更する。このとき、影響度算出部27は、ルータ11とルータ15との間における最短経路として、ルータ13及びルータ14を経由してルータ11からルータ15に到達する経路を算出することになる。かかる最短経路のパスコストは、リンクL13、L34及びL45におけるコストの総和であるので、「α2」よりも大きい。これは、コスト「α2」が設定されているリンクL45が最短経路に含まれるからである。このことは、ポート14d又はポート15aが故障した場合には、ルータ11とルータ15との間における通信が途絶するので、ポート14d又はポート15aの故障がルータ11とルータ15との間における通信に与える影響度は高いといえる。このため、影響度算出部27は、ポート14d及びポート15aの影響度を「1」から「2」にカウントアップする。
【0056】
同様にして、エッジルータの組合せ「ルータ11及びルータ17」が検証対象であり、ポート14dとポート15aとの組合せが検証対象である場合にも、ルータ11とルータ17との間における最短経路には、リンクL45が含まれる。このため、影響度算出部27は、かかる検証処理においても、ポート14d及びポート15aの影響度をカウントアップする。このようにして、影響度算出部27は、ポート毎の影響度を算出し、算出した影響度を影響度リスト記憶部24に格納する。図3に示した例では、影響度算出部27は、図4に示した各種情報を影響度リスト記憶部24に格納する。
【0057】
図4に示した例では、影響度リスト記憶部24は、「ネットワーク機器」、「構成部品」、「影響度」といった項目を有する。「ネットワーク機器」は、ネットワークNに含まれるルータを識別するためのルータ識別子を示す。また、「構成部品」は、図4に示した例では、各ルータに含まれるポートを識別するためのポート識別子を示す。また、「影響度」は、影響度算出部27によって算出された各ルータの影響度を示す。なお、図4では、「ネットワーク機器」には、「ルータ」に図3の参照符号を付した情報がルータ識別子として記憶され、「構成部品」には、「ポート」に図3の参照符号を付した情報がポート識別子として記憶される例を示している。
【0058】
すなわち、図4では、ルータ14のポート14dが故障した場合には、通信が行えなくなるエッジルータの組合せが2つ存在することを示している。具体的には、ポート14dが故障した場合には、ルータ11とルータ15との間における通信が行えなくなり、ルータ11とルータ17との間における通信が行えなくなる。また、図4では、ルータ15のポート15aが故障した場合には、通信が行えなくなるエッジルータの組合せが1つ存在することを示している。具体的には、ポート15aが故障した場合には、ルータ15とルータ17との間における通信は維持されるが、ルータ11とルータ15との間における通信が行えなくなる。また、図4では、ルータ15のポート15bが故障した場合には、通信が行えなくなるエッジルータの組合せが1つ存在することを示している。具体的には、ポート15bが故障した場合には、ルータ11とルータ15との間における通信は維持されるが、ルータ15とルータ17との間における通信が行えなくなる。
【0059】
なお、図3及び図4を用いて説明した影響度算出部27による影響度算出処理は一例であって、影響度算出部27は、上述した処理によってポート毎の影響度を算出しなくてもよい。例えば、影響度算出部27は、最初に検証対象のポートを決定し、かかるポートが故障した際に通信経路がなくなるエッジルータの組合せの数を影響度としてカウントしてもよい。
【0060】
[ログ管理装置の構成]
次に、図5を用いて、図1に示したログ管理装置100について説明する。図5は、実施例1に係るログ管理装置100の構成例を示す図である。図5に例示するように、実施例1に係るログ管理装置100は、IF部110と、ログ記憶部121と、影響度リスト記憶部122と、重要度リスト記憶部123と、ログ収集部131と、影響度リスト受信部132と、重要度設定部133と、通知部134とを有する。
【0061】
IF部110は、外部装置との間で各種データを送受する。例えば、IF部110は、ルータ11等からSyslogメッセージを受信する。また、例えば、IF部110は、構成管理装置20から影響度リストを受信する。
【0062】
ログ記憶部121は、ネットワークNに含まれるネットワーク機器群10によって出力されるSyslogメッセージを記憶する。具体的には、ログ記憶部121は、後述するログ収集部131によって収集されたSyslogメッセージを記憶する。
【0063】
影響度リスト記憶部122は、構成管理装置20の影響度算出部27によって算出されたポート毎の影響度を記憶する。具体的には、影響度リスト記憶部122は、後述する影響度リスト受信部132によって受信される影響度リストを記憶する。なお、影響度リスト記憶部122は、図4に例示した影響度リスト記憶部24の構成と同様である。
【0064】
重要度リスト記憶部123は、Syslogメッセージ毎に、かかるSyslogメッセージに新たに設定された重要度を記憶する。具体的には、重要度リスト記憶部123は、後述する重要度設定部133によってSyslogメッセージに新たに設定される重要度を記憶する。
【0065】
なお、上記のログ記憶部121、影響度リスト記憶部122及び重要度リスト記憶部123は、例えば、RAM、フラッシュメモリなどの半導体メモリ素子、又は、ハードディスク、光ディスクなどの記憶装置である。
【0066】
ログ収集部131は、ネットワークNからネットワーク機器群10に関するSyslogメッセージを収集する。具体的には、ログ収集部131は、ネットワークNに含まれるネットワーク機器群10によって送信されるSyslogメッセージを収集し、収集したSyslogメッセージをログ記憶部121に格納する。なお、ネットワーク機器群10によってSyslogメッセージが送信されないシステムである場合には、ログ収集部131は、ネットワーク機器群10にアクセスし、ネットワーク機器群10からSyslogメッセージを取得してもよい。
【0067】
影響度リスト受信部132は、構成管理装置20の送信部28によって送信される影響度リストを受信する。そして、影響度リスト受信部132は、構成管理装置20から受信した影響度リストを影響度リスト記憶部122に格納する。
【0068】
重要度設定部133は、影響度リスト記憶部122に記憶されている影響度リストに基づいて、ログ記憶部121に記憶されている各Syslogメッセージに新たな重要度を設定する。そして、重要度設定部133は、Syslogメッセージを特定するための情報と、かかるSyslogメッセージに設定した重要度とを対応付けたリスト(以下、「重要度リスト」と表記する場合がある)を重要度リスト記憶部123に格納する。
【0069】
ここで、実施例1における重要度設定部133は、影響度リスト記憶部122に記憶されている影響度に加えて、Syslogメッセージの統計情報等も用いて、各Syslogメッセージに新たな重要度を設定する。一例を挙げて説明すると、重要度設定部133は、以下に示す式(1)により、各Syslogメッセージの重要度を算出する。
【0070】
【数1】
【0071】
上記式(1)のうち、「Score(m)」は、Syslogメッセージ「m」の重要度を示す。Syslogメッセージ「m」には、「ネットワーク機器(送信ホスト名)」、「構成部品(dm)」、「メッセージ内容(tm)」が含まれる。なお、上述してきた例においては、「ネットワーク機器(送信ホスト名)」は、ルータ11等に対応し、「ネットワーク機器」及び「構成部品(dm)」は、上述した「事象が発生した箇所」に対応し、「メッセージ内容(tm)」は、上述した「発生した事象の内容」に対応する。
【0072】
また、上記式(1)のうち、「Cr」は、影響度リスト記憶部122に記憶されている影響度を示す。具体的には、「Cr」は、影響度リスト記憶部122に記憶されている影響度のうち、重要度の算出対象であるSyslogメッセージ「m」に含まれる「ネットワーク機器」及び「構成部品(dm)」に対応する影響度を示す。例えば、影響度リスト記憶部122に記憶されている影響度が図4に示した各種情報であるものとする。また、Syslogメッセージ「m」には、ネットワーク機器「ルータ11」及び構成部品(dm)「ポート11a」に関するメッセージ内容(tm)が含まれているものとする。かかる場合、図4に示したネットワーク機器「ルータ11」及び構成部品「ポート11a」に対応する影響度が「1」であるので、上記「Cr」は「1」となる。
【0073】
また、上記式(1)のうち、「Nt(dm,tm)」は、所定の時刻から現在時刻までの間に観測された「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数を示す。具体的には、「Nt(dm,tm)」は、所定の時刻から現在時刻までの時刻がタイムスタンプに設定されているSyslogメッセージ群のうち、重要度の算出対象であるSyslogメッセージ「m」に含まれる「構成部品(dm)」及び「メッセージ内容(tm)」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数を示す。
【0074】
また、上記式(1)のうち、「fdm,tm」は、観測された全てのSyslogメッセージの数に対する「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数の比率を示す。具体的には、「fdm,tm」は、全てのSyslogメッセージの数を「1」とした場合に、重要度の算出対象であるSyslogメッセージ「m」に含まれる「構成部品(dm)」及び「メッセージ内容(tm)」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数を示す。例えば、全てのSyslogメッセージの数が「100」であり、「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数が「10」である場合には、上記「fdm,tm」は「0.1」となる。
【0075】
上記式(1)に示すように、重要度設定部133は、Syslogメッセージ「m」に含まれる「ネットワーク機器」及び「構成部品(dm)」に対応する影響度「Cr」が高いほど、高い値となる重要度Score(m)を算出する。すなわち、重要度設定部133は、Syslogメッセージ「m」に含まれる「構成部品(dm)」が故障した際に通信が行えなくなるエッジルータの組合せの数が多いほど、かかるSyslogメッセージ「m」の重要度Score(m)を高く算出する。
【0076】
また、上記式(1)に示すように、重要度設定部133は、メッセージ数「Nt(dm,tm)」が大きいほど、高い値の重要度Score(m)を算出する。すなわち、重要度設定部133は、直近にSyslogメッセージ「m」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージが多く出力されている場合には、高い値の重要度Score(m)を算出する。これは、一般に、ポート等でエラーが発生した場合には、同一の「構成部品(dm)」及び「メッセージ内容(tm)」であるSyslogメッセージが多く出力されるからである。このため、重要度設定部133は、直近に同様のSyslogメッセージが多く出力されている場合には、かかるSyslogメッセージがエラーに関するログであると推定し、高い値の重要度Score(m)を算出する。
【0077】
また、上記式(1)に示すように、重要度設定部133は、メッセージ比率「fdm,tm」が小さいほど、高い値の重要度Score(m)を算出する。すなわち、重要度設定部133は、Syslogメッセージ「m」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数の全Syslogメッセージ数に対する比率が小さいほど、高い値の重要度Score(m)を算出する。これは、一般に、エラーに関するSyslogメッセージが出力されることは稀であり、処理の経過等に関するSyslogメッセージ(「データ転送処理を行った」等のログ)が出力されることが多いからである。このため、重要度設定部133は、「fdm,tm」が小さい場合には、出力頻度の低いSyslogメッセージが出力されたので、かかるSyslogメッセージがエラーに関するものであると推定し、高い値の重要度Score(m)を算出する。
【0078】
このように、上記例における重要度設定部133は、影響度「Cr」、メッセージ数「Nt(dm,tm)」及びメッセージ比率「fdm,tm」を用いて、Syslogメッセージ「m」の重要度「Score(m)」を算出する。これにより、重要度設定部133は、影響度、メッセージ数及びメッセージ比率といった一貫性のある情報に基づいて、Syslogメッセージに重要度を設定することができる。
【0079】
通知部134は、ネットワーク管理者によって利用される管理者端末に対して、重要度リスト記憶部123に記憶されている各種情報を通知する。例えば、通知部134は、重要度リスト記憶部123に記憶されている重要度を定期的に監視して、所定の閾値よりも高い重要度が重要度リスト記憶部123に新たに登録された場合には、管理者端末に警告を通知する。このとき、通知部134は、重要度が所定の閾値よりも高いSyslogメッセージをログ記憶部121から取得し、取得したSyslogメッセージを管理者端末に送信してもよい。
【0080】
なお、上記のログ収集部131、影響度リスト受信部132、重要度設定部133及び通知部134は、例えば、CPU、MPU等の電子回路、ASICやFPGA等の集積回路である。
【0081】
[処理手順]
次に、図6〜図8を用いて、実施例1に係るログ管理システム1によるログ管理手順について説明する。まず、図6を用いて、実施例1に係る構成管理装置20による処理手順について説明する。図6は、実施例1に係る構成管理装置20による処理手順を示すフローチャートである。
【0082】
図6に示すように、構成管理装置20の設定情報取得部25は、ネットワーク機器群10から、かかるネットワーク機器群10に設定されている設定情報を取得する(ステップS101)。具体的には、設定情報取得部25は、ネットワークNに含まれるルータ11等から、かかるルータ11等に設定されている設定情報を取得する。
【0083】
続いて、構成情報算出部26は、設定情報取得部25によって取得された設定情報に基づいて、ネットワークNの構成情報を算出する(ステップS102)。具体的には、構成情報算出部26は、各種設定情報を用いて、互いに接続されているポートの組合せを示す構成情報等を算出する。
【0084】
続いて、影響度算出部27は、構成情報算出部26によって算出された構成情報に基づいて、ポート毎の影響度を算出する影響度算出処理を行う(ステップS103)。なお、影響度算出部27による影響度算出処理については後述する。そして、送信部28は、影響度算出部27によって算出された影響度リストをログ管理装置100に送信する(ステップS104)。
【0085】
次に、図7を用いて、図6のステップS103に示した影響度算出処理の手順について説明する。図7は、実施例1における影響度算出部27による影響度算出処理手順を示すフローチャートである。
【0086】
図7に示すように、影響度算出部27は、ネットワークNにおける全リンクのコストの総和「α1」を算出する(ステップS201)。続いて、影響度算出部27は、互いに接続されてリンクを形成している全てのポートの組合せ(ポートペア)の中から未検証のポートの組合せを抽出する(ステップS202)。
【0087】
続いて、影響度算出部27は、ステップS202において抽出したポートの組合せによって形成されるリンクのコストを「α2」に変更する(ステップS203)。そして、影響度算出部27は、構成情報算出部26によって算出された構成情報に基づいて、エッジルータの組合せを全て取得し、各エッジルータ間における最短経路を算出する(ステップS204)。そして、影響度算出部27は、全てのエッジルータの組合せの中から未検証のエッジルータの組合せを抽出する(ステップS205)。
【0088】
そして、影響度算出部27は、ステップS205において抽出したエッジルータの組合せにおける最短経路のパスコストが「α2」よりも小さいか否かを判定する(ステップS206)。このとき、影響度算出部27は、最短経路のパスコストが「α2」以上である場合には(ステップS206否定)、ステップS202において抽出した検証対象ポートの影響度をカウントアップする(ステップS207)。なお、影響度算出部27は、検証対象ポートとしてポートの組合せを抽出しているので、かかるポートの組合せに含まれる双方のポートの影響度をカウントアップする。一方、影響度算出部27は、最短経路のパスコストが「α2」よりも小さい場合には(ステップS206肯定)、ステップS202において抽出した検証対象ポートの影響度をカウントアップしない。
【0089】
そして、影響度算出部27は、全てのエッジルータの組合せについて検証したか否かを判定する(ステップS208)。このとき、影響度算出部27は、全てのエッジルータの組合せについて検証していない場合には(ステップS208否定)、ステップS205における処理に戻る。一方、影響度算出部27は、全てのエッジルータの組合せについて検証済みである場合には(ステップS208肯定)、ステップS203において「α2」に変更したリンクのコストを元に戻す(ステップS209)。
【0090】
そして、影響度算出部27は、ポートの全組合せについて検証したか否かを判定する(ステップS210)。このとき、影響度算出部27は、全てのポートの組合せについて検証していない場合には(ステップS210否定)、ステップS202における処理に戻る。一方、影響度算出部27は、全てのポートの組合せについて検証済みである場合には(ステップS210肯定)、処理を終了する。
【0091】
次に、図8を用いて、実施例1に係るログ管理装置100の重要度設定部133による重要度設定処理の手順について説明する。図8は、実施例1における重要度設定部133による重要度設定処理手順を示すフローチャートである。
【0092】
図8に示すように、重要度設定部133は、ログ記憶部121に記憶されているSyslogメッセージ「m」を読み出し、読み出したSyslogメッセージ「m」に含まれる「ネットワーク機器」及び「構成部品(dm)」に対応する影響度「Cr」を影響度リスト記憶部122から取得する(ステップS301)。
【0093】
続いて、重要度設定部133は、ログ記憶部121を参照することにより、所定の時刻の範囲内におけるタイムスタンプが付与されているSyslogメッセージ群のうち、Syslogメッセージ「m」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数である「Nt(dm,tm)」を算出する(ステップS302)。
【0094】
続いて、重要度設定部133は、ログ記憶部121に記憶されている全てのSyslogメッセージの数に対するSyslogメッセージ「m」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数の比率である「fdm,tm」を算出する(ステップS303)。
【0095】
そして、重要度設定部133は、ステップS301〜S303において得られた影響度「Cr」、メッセージ数「Nt(dm,tm)」及びメッセージ比率「fdm,tm」を上記式(1)に代入することにより、Syslogメッセージ「m」に対応する重要度を算出する(ステップS304)。そして、重要度設定部133は、算出した重要度をSyslogメッセージ「m」を特定する情報に対応付けて重要度リスト記憶部123に格納する。なお、Syslogメッセージ「m」を特定する情報とは、Syslogメッセージ「m」自体であってもよいし、Syslogメッセージを識別するための識別子であってもよいし、Syslogメッセージ「m」に含まれるタイムスタンプ、「ネットワーク機器」及び「構成部品(dm)」の組合せであってもよい。
【0096】
[実施例1の効果]
上述してきたように、実施例1に係るログ管理システム1において、構成管理装置20は、ネットワークNに含まれるネットワーク機器群10の接続関係に関する情報を含む構成情報を記憶し、かかる構成情報に基づいて、ネットワーク機器の故障又は性能劣化がネットワークNに与える影響の度合いを示す影響度をネットワーク機器毎に算出する。また、ログ管理装置100は、ネットワーク機器に関するSyslogメッセージを収集し、構成管理装置20によって算出されたネットワーク機器の影響度が高いほど、かかるネットワーク機器に関するSyslogメッセージに対して高い重要度を設定する。これにより、実施例1に係るログ管理システム1は、影響度という一貫性のある情報に基づいて、Syslogメッセージに重要度を設定することができる。この結果、ログ管理システム1は、ネットワーク管理者にとって危険度や緊急度の判断基準となる重要度をSyslogメッセージに設定することができる。
【0097】
また、実施例1に係るログ管理システム1において、構成管理装置20は、ネットワーク機器(例えば、ルータ)を構成する構成部品(例えば、ポート)に関するSyslogメッセージを収集し、構成部品の故障又は性能劣化がネットワークNに与える影響度を構成部品毎に算出する。また、ログ管理装置100は、構成管理装置20によって算出された構成部品の影響度が高いほど、かかる構成部品に関するSyslogメッセージに対して高い重要度を設定する。これにより、実施例1に係るログ管理システム1は、ネットワーク機器の構成部品の単位で、かかる構成部品に関するSyslogメッセージに重要度を設定することができる。
【0098】
また、実施例1に係るログ管理システム1は、ルータの構成部品であるポートに故障又は性能劣化が発生した際に、利用者端末と接続されるエッジルータの組合せのうち、双方間で通信が行えなくなるエッジルータの組合せの数を影響度として算出する。これにより、実施例1に係るログ管理システム1は、「通信不可となるエッジルータの組合せの数」という一貫性のある情報に基づいて、Syslogメッセージに重要度を設定することができる。
【0099】
また、実施例1に係るログ管理システム1は、所定範囲の時刻に出力されたSyslogメッセージから同一の構成部品に関する同一のメッセージ内容を含むSyslogメッセージの数を計数し、計数したSyslogメッセージの数が多いほど、かかる構成部品に関するログメッセージに対して高い重要度を設定する。これにより、実施例1に係るログ管理システム1は、故障等が発生した構成部品に関するSyslogメッセージが多く出力されている場合に、かかるSyslogメッセージに高い値の重要度を設定することができる。すなわち、ログ管理システム1は、故障等が発生したことを示す可能性の高いSyslogメッセージに対して、高い値の重要度を設定することができる。
【0100】
また、実施例1に係るログ管理システム1は、全てのログメッセージの数に対する同一の構成部品に関する同一のメッセージ内容を含むログメッセージの数の比率を算出し、算出した比率が低いほど、かかる構成部品に関するログメッセージに対して高い重要度を設定する。これにより、実施例1に係るログ管理システム1は、出力頻度の低いSyslogメッセージに対して高い値の重要度を設定することができる。すなわち、ログ管理システム1は、故障等が発生したことを示す可能性の高いSyslogメッセージに対して、高い値の重要度を設定することができる。
【実施例2】
【0101】
上述したログ管理システムは、上述した実施例1以外にも、種々の異なる形態にて実施されてよい。そこで、実施例2では、上記のログ管理システムの他の実施例について説明する。
【0102】
[Relayサーバ]
上記実施例1では、ログ管理装置100によってSyslogメッセージの重要度を設定する処理が行われる例について説明した。しかし、ログ管理装置100によって行われる重要度設定処理は、複数の装置によって分散して行われてもよい。この点について、図9に一例を挙げて説明する。図9は、変形例に係るログ管理システム2の構成例を示す図である。
【0103】
図2に示した例において、ログ管理システム2には、ルータ41〜44と、Relayサーバ51及び52と、ログ管理装置200とが含まれる。ルータ41及び42は、Relayサーバ51と接続され、ルータ43及び44は、Relayサーバ52と接続される。そして、Relayサーバ51は、ルータ41及び42からSyslogメッセージを収集し、Relayサーバ52は、ルータ43及び44からSyslogメッセージを収集する。
【0104】
ログ管理装置200は、上記実施例1に係るログ管理装置100が有する一部の機能と、構成管理装置20が有する一部の機能とを有する装置である。具体的には、ログ管理装置200は、構成管理装置20と同様に、ルータ41〜44から設定情報を取得し、取得した設定情報を用いて影響度リストを算出する。そして、図9に示したログ管理装置200は、かかる影響度リストのうち、ルータ41及び42によって構成されるネットワークに含まれるネットワーク機器群の影響度リストをRelayサーバ51に送信する。また、ログ管理装置200は、影響度リストのうち、ルータ43及び44によって構成されるネットワークに含まれるネットワーク機器群の影響度リストをRelayサーバ52に送信する。
【0105】
そして、Relayサーバ51は、ログ管理装置200から受信した影響度リストを用いて、ルータ41及び42から収集したSyslogメッセージに対して重要度を新たに設定する。また、Relayサーバ52は、ログ管理装置200から受信した影響度リストを用いて、ルータ43及び44から収集したSyslogメッセージに対して重要度を新たに設定する。そして、Relayサーバ51及び52は、ルータ41〜44から収集したSyslogメッセージと、Syslogメッセージに設定した重要度とをログ管理装置200に送信する。ログ管理装置200は、Relayサーバ51及び52から受信した重要度に基づいて、管理者端末に警告を通知したりする。
【0106】
このように、図9に示した例では、Syslogメッセージを収集する処理や、重要度を新たに設定する処理は、Relayサーバ51及び52によって行われる。これにより、各種処理を分散することができ、ログ管理装置200の負荷を低減することができる。なお、図9では、ログ管理装置200に構成管理装置20が有する一部の機能が備えられている例を示したが、構成管理装置20が有する一部の機能は、ログ管理装置200以外の他の装置(構成管理装置20に相当)に備えられてもよいし、Relayサーバ51及び52に備えられてもよい。
【0107】
[影響度の算出単位]
また、上記実施例1では、構成管理装置20の影響度算出部27が、ルータの構成部品であるポート毎に影響度を算出する例を示した。しかし、影響度算出部27は、ポート毎の影響度以外にも、ルータ毎の影響度や、ポート以外の構成部品毎の影響度を算出してもよい。例えば、ルータは、複数のポートを有するラインカードが装着される場合がある。影響度算出部27は、ラインカードが装着されるルータの場合には、ポート毎の影響度の他に、ラインカード毎の影響度を算出してもよい。すなわち、影響度算出部27は、ルータ毎の影響度、ラインカード毎の影響度、及び、ポート毎の影響度のうち少なくとも一つ以上の影響度を算出してもよい。
【0108】
ここで、図10を用いて、影響度算出部27によるルータ毎の影響度算出処理について説明する。図10は、変形例に係る影響度算出部27によるルータ毎の影響度算出処理手順を示すフローチャートである。
【0109】
図10に示した例において、影響度算出部27は、ネットワークNにおける全リンクのコストの総和「α1」を算出する(ステップS401)。続いて、影響度算出部27は、ネットワークNに含まれる全てのルータの中から未検証のルータを抽出する(ステップS402)。
【0110】
続いて、影響度算出部27は、ステップS402において抽出したルータと接続される全リンクのコストを「α2」に変更する(ステップS403)。そして、影響度算出部27は、全てのエッジルータ間における最短経路を算出し(ステップS404)、全てのエッジルータの組合せの中から未検証のエッジルータの組合せを抽出する(ステップS405)。
【0111】
そして、影響度算出部27は、ステップS405において抽出したエッジルータの組合せにおける最短経路のパスコストが「α2」よりも小さいか否かを判定する(ステップS406)。このとき、影響度算出部27は、最短経路のパスコストが「α2」以上である場合には(ステップS406否定)、ステップS402において抽出した検証対象ルータの影響度をカウントアップする(ステップS407)。一方、影響度算出部27は、最短経路のパスコストが「α2」よりも小さい場合には(ステップS406肯定)、ステップS402において抽出した検証対象ルータの影響度をカウントアップしない。
【0112】
そして、影響度算出部27は、全てのエッジルータの組合せについて検証したか否かを判定する(ステップS408)。このとき、影響度算出部27は、全てのエッジルータの組合せについて検証していない場合には(ステップS408否定)、ステップS405における処理に戻る。一方、影響度算出部27は、全てのエッジルータの組合せについて検証済みである場合には(ステップS408肯定)、ステップS403において「α2」に変更したリンクのコストを元に戻す(ステップS409)。
【0113】
そして、影響度算出部27は、全ルータについて検証したか否かを判定する(ステップS410)。このとき、影響度算出部27は、全ルータについて検証していない場合には(ステップS410否定)、ステップS402における処理に戻る。一方、影響度算出部27は、全ルータについて検証済みである場合には(ステップS410肯定)、処理を終了する。
【0114】
また、ここでは図示することを省略するが、影響度算出部27は、図7に表記した「ポート」を「ラインカード」に置き換えた処理を行うことにより、ラインカード毎の影響度を算出することができる。例えば、影響度算出部27は、図7に示したステップS205において、検証対象のルータが有するラインカードの中から未検証のラインカードを抽出する処理を行い、図7に示したステップS206において、検証対象のラインカードと接続される全リンクのコストを「α2」に変更する処理を行う。
【0115】
ここで、影響度算出部27によって、ルータ毎の影響度、ラインカード毎の影響度、及び、ポート毎の影響度が算出される場合には、ログ管理装置100の重要度設定部133は、これらの各種影響度を用いて、Syslogメッセージに重要度を設定することができる。
【0116】
例えば、ルータ11等は、「事象が発生した箇所」として構成部品を特定せずに、ルータのみが特定されたSyslogメッセージを出力する場合がある。例えば、ルータ11は、「2011年7月15日10時30分10秒 ルータ11 起動完了 重要度A」といったSyslogメッセージを出力する場合がある。かかるSyslogメッセージには、ポートやラインカードに関する情報が含まれない。重要度設定部133は、このようなSyslogメッセージに対して重要度を設定する場合には、影響度算出部27によって算出されたルータ毎の影響度を上記式(1)に適用すればよい。
【0117】
また、例えば、ルータ11等は、「事象が発生した箇所」として構成部品「ラインカード」を特定したSyslogメッセージを出力する場合がある。例えば、ルータ11は、「2011年7月15日10時30分10秒 ルータ11 ラインカードLC11 異常発生 重要度A」といったSyslogメッセージを出力する場合がある。重要度設定部133は、このようなSyslogメッセージに対して重要度を設定する場合には、影響度算出部27によって算出されたラインカード毎の影響度を上記式(1)に適用すればよい。
【0118】
[影響度の算出処理]
また、上記実施例では、影響度算出部27が、図7又は図10に示した処理手順によって影響度を算出する例を示した。しかし、影響度算出部27は、図7又は図10に示した処理手順以外の処理手順によって影響度を算出してもよい。以下に、図11を用いて、図7に例示した処理手順の変形例を説明し、図12を用いて、図10に例示した処理手順の変形例を説明する。
【0119】
図11は、変形例に係る影響度算出部による影響度算出処理手順を示すフローチャートである。図11に示した例において、影響度算出部27は、ネットワークNにおける全リンクのコストの総和「α1」を算出する(ステップS501)。続いて、影響度算出部27は、構成情報算出部26によって算出された構成情報に基づいて、エッジルータの組合せを全て取得し、かかる全てのエッジルータの組合せの中から未検証のエッジルータの組合せを抽出する(ステップS502)。
【0120】
続いて、影響度算出部27は、ステップS502において抽出したエッジルータ間における最短経路を算出し(ステップS503)、算出した最短経路に含まれるルータの中から未検証のルータを抽出する(ステップS504)。さらに、影響度算出部27は、ステップS504において抽出したルータが有するポートの中から未検証のポートを抽出する(ステップS505)。
【0121】
続いて、影響度算出部27は、ステップS505において抽出したポートによって形成されるリンクのコストを「α2」に変更する(ステップS506)。そして、影響度算出部27は、ステップS502において抽出したエッジルータ間における最短経路を算出し(ステップS507)、算出した最短経路のパスコストが「α2」よりも小さいか否かを判定する(ステップS508)。
【0122】
このとき、影響度算出部27は、最短経路のパスコストが「α2」以上である場合には(ステップS508否定)、ステップS505において抽出した検証対象ポートの影響度をカウントアップし(ステップS509)、ステップS506において「α2」に変更したリンクのコストを元に戻す(ステップS510)。一方、影響度算出部27は、最短経路のパスコストが「α2」よりも小さい場合には(ステップS508肯定)、ステップS505において抽出した検証対象ポートの影響度をカウントアップせずに、ステップS510における処理を行う。
【0123】
そして、影響度算出部27は、ステップS504において抽出したルータが有する全てのポートについて検証したか否かを判定する(ステップS511)。このとき、影響度算出部27は、全てのポートについて検証していない場合には(ステップS511否定)、ステップS505における処理に戻る。一方、影響度算出部27は、全てのポートについて検証済みである場合には(ステップS511肯定)、ステップS503において算出した最短経路に含まれる全てのルータについて検証したか否かを判定する(ステップS512)。
【0124】
このとき、影響度算出部27は、全てのルータについて検証していない場合には(ステップS512否定)、ステップS504における処理に戻る。一方、影響度算出部27は、全てのルータについて検証済みである場合には(ステップS512肯定)、ステップS502において取得した全てのエッジルータの組合せについて検証したか否かを判定する(ステップS513)。
【0125】
このとき、影響度算出部27は、全てのエッジルータの組合せについて検証していない場合には(ステップS513否定)、ステップS502における処理に戻る。一方、影響度算出部27は、全てのエッジルータの組合せについて検証済みである場合には(ステップS513肯定)、処理を終了する。
【0126】
図12は、変形例に係る影響度算出部によるルータ毎の影響度算出処理手順を示すフローチャートである。図12に示した例において、ステップS601〜S604における処理手順は、図11に示したステップS501〜S504における処理手順と同様であるので説明を省略する。影響度算出部27は、図10に示すように、最短経路に含まれるルータの中から未検証のルータを抽出した後に(ステップS604)、かかるルータと接続される全リンクのコストを「α2」に変更する(ステップS605)。そして、影響度算出部27は、ステップS602において抽出したエッジルータ間における最短経路を算出し(ステップS606)、算出した最短経路のパスコストが「α2」よりも小さいか否かを判定する(ステップS607)。
【0127】
このとき、影響度算出部27は、最短経路のパスコストが「α2」以上である場合には(ステップS607否定)、ステップS604において抽出した検証対象ルータの影響度をカウントアップし(ステップS608)、ステップS605において「α2」に変更したリンクのコストを元に戻す(ステップS609)。一方、影響度算出部27は、最短経路のパスコストが「α2」よりも小さい場合には(ステップS607肯定)、ステップS604において抽出した検証対象ルータの影響度をカウントアップせずに、ステップS609における処理を行う。
【0128】
そして、影響度算出部27は、ステップS603において算出した最短経路に含まれる全てのルータについて検証したか否かを判定する(ステップS610)。このとき、影響度算出部27は、全てのルータについて検証していない場合には(ステップS610否定)、ステップS604における処理に戻る。一方、影響度算出部27は、全てのルータについて検証済みである場合には(ステップS610肯定)、ステップS602において取得した全てのエッジルータの組合せについて検証したか否かを判定する(ステップS611)。
【0129】
このとき、影響度算出部27は、全てのエッジルータの組合せについて検証していない場合には(ステップS611否定)、ステップS602における処理に戻る。一方、影響度算出部27は、全てのエッジルータの組合せについて検証済みである場合には(ステップS611肯定)、処理を終了する。
【0130】
[重要度の算出式]
また、上記実施例1では、ログ管理装置100の重要度設定部133が、上記式(1)を用いて、Syslogメッセージに設定する重要度を算出する例について説明した。しかし、重要度設定部133は、上記式(1)以外の式により重要度を算出してもよい。例えば、重要度設定部133は、上記の変形例のように、影響度算出部27によってルータ毎、ラインカード毎及びポート毎の影響度が算出される場合には、以下に示す式(2)により、各Syslogメッセージの重要度を算出する。
【0131】
【数2】
【0132】
上記式(2)のうち、「ldm」は、構成部品毎の重みを示す。例えば、「ルータ」と「ラインカード」と「ポート」とを比較した場合に、「ポート」は、「ルータ」や「ラインカード」が故障している場合には動作せず、「ラインカード」は、「ルータ」が故障している場合には動作しない。このため、「ルータ」、「ラインカード」及び「ポート」の故障うち、ネットワークNに与える影響度が最も高いのは「ルータ」の故障であり、次に、「ラインカード」の故障であり、最後に「ポート」の故障となる。上記式(2)の「ldm」は、このような影響度を考慮して設定されるパラメータである。例えば、「ldm」は、「構成部品(dm)」がルータである場合には「3」が設定され、「構成部品(dm)」がラインカードである場合には「2」が設定され、「構成部品(dm)」がポートである場合には「1」が設定される。これにより、ポートやラインカードよりもルータが故障したことを示すSyslogメッセージに高い重要度「Score(m)」が設定される。これにより、重要度設定部133は、ネットワークNに与える影響度が高い機器に関するSyslogメッセージほど、高い値の重要度を設定することができる。
【0133】
[重要度の算出式の変形例]
また、上記実施例では、重要度設定部133が、上記式(1)又は(2)に示した例のように、「fdm,tm」の対数の正負を逆にした値を「Cr」、「Nt(dm,tm)」等に乗算することで重要度を算出する例を示した。しかし、重要度設定部133は、「Cr」、「Nt(dm,tm)」等に対して、「fdm,tm」を除算してもよい。重要度設定部133は、このようにして重要度「Score(m)」を算出した場合であっても、稀なSyslogメッセージほど高い値の重要度Score(m)を算出することができる。
【0134】
[Nt(dm,tm)の変形例]
また、上記実施例では、重要度設定部133が、所定の時刻から現在時刻までの時刻がタイムスタンプに設定されているSyslogメッセージのうち、「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数を「Nt(dm,tm)」として算出する例を示した。しかし、重要度設定部133は、「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数の増加率等を「Nt(dm,tm)」として算出してもよい。
【0135】
例えば、重要度設定部133は、ログ記憶部121を参照することで、「構成部品(dm)」及び「メッセージ内容(tm)」を含む全てのSyslogメッセージのうち、所定範囲の時刻がタイムスタンプに設定されているSyslogメッセージの数を所定範囲の時刻毎に計数する。そして、重要度設定部133は、各時刻範囲におけるSyslogメッセージ数の変動率を算出し、かかる変動率が増加傾向にある場合には、大きい値の「Nt(dm,tm)」を算出し、変動率が減少傾向にある場合には、小さい値の「Nt(dm,tm)」を算出する。
【0136】
一例を挙げて説明すると、重要度設定部133は、「構成部品(dm)」及び「メッセージ内容(tm)」を含む全てのSyslogメッセージのうち、タイムスタンプに「2011年7月15日10時00分〜10時59分」が設定されているSyslogメッセージの数として「100」を計数し、タイムスタンプに「2011年7月15日11時00分〜11時59分」が設定されているSyslogメッセージの数として「100」を計数し、タイムスタンプに「2011年7月15日12時00分〜12時59分」が設定されているSyslogメッセージの数として「200」を計数したものとする。かかる場合に、重要度設定部133は、Syslogメッセージ数が「100」、「100」、「200」と変動しているので、「構成部品(dm)」及び「メッセージ内容(tm)」に関するSyslogメッセージが急激に増加したので、かかるSyslogメッセージがエラーに関するログであると推定し、「Nt(dm,tm)」を大きい値にする。
【0137】
また、上記例において、重要度設定部133は、Syslogメッセージ数やSyslogメッセージ数の増加率として「Nt」を算出する場合に、「メッセージ内容(tm)」を考慮しなくてもよい。具体的には、重要度設定部133は、所定の時刻から現在時刻までの時刻がタイムスタンプに設定されているSyslogメッセージ群のうち、重要度の算出対象であるSyslogメッセージ「m」に含まれる「構成部品(dm)」と同様の「構成部品(dm)」を含むSyslogメッセージの数を「Nt」として算出してもよい。または、重要度設定部133は、「構成部品(dm)」を含むSyslogメッセージの数の増加率等を「Nt」として算出してもよい。
【0138】
[fdm,tmの変形例]
また、上記実施例では、重要度設定部133が、全てのSyslogメッセージの数に対する「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数の比率を「fdm,tm」として算出する例を示した。しかし、重要度設定部133は、所定範囲の時刻がタイムスタンプに設定されているSyslogメッセージを全体のSyslogメッセージとしてもよい。例えば、重要度設定部133は、過去3ヶ月分のSyslogメッセージ群と、かかるSyslogメッセージ群に含まれる「構成部品(dm)」及び「メッセージ内容(tm)」のSyslogメッセージとの数の比率を「fdm,tm」として算出してもよい。
【0139】
[トラフィック情報]
また、上記実施例では、影響度算出部27が、通信不可能となるエッジルータの組合せの数を影響度として算出する例を示した。しかし、影響度算出部27は、通信不可能となるエッジルータの組合せの数以外に、各ポートのトラフィック情報を用いて影響度を算出してもよい。例えば、影響度算出部27は、各ポートに設定されている最大通信速度や最低保証帯域に基づいて、最大通信速度や最低保証帯域が大きい値であるポートほど、かかるポートの影響度を高く算出してもよい。これは、ポートに設定されている最大通信速度や最低保証帯域が大きい値である場合には、多くのデータが流通する可能性が高いので、かかるポートの故障がネットワークに与える影響度は高いといえるからである。なお、ポート毎に設定されている最大通信速度や最低保証帯域は、構成管理装置20の設定情報取得部25によってネットワーク機器群10から取得される。
【0140】
また、影響度算出部27は、最大通信速度や最低保証帯域等のパラメータに限らず、その他のパラメータを影響度の算出処理に用いてもよい。例えば、構成管理装置20の設定情報取得部25は、ルータ11等にsFlow(登録商標)、NetFlow、IPFIX等の技術が適用されている場合には、かかるルータ11等からフロー情報を収集し、収集したフロー情報を構成情報記憶部23等に格納してもよい。このフロー情報は、ポート毎に用意されるものであって、各ポートを流通するトラフィックの送信元である装置のIPアドレス、トラフィックの宛先である装置のIPアドレス、トラフィックの流通に用いられるプロトコル、トラフィック量等が含まれる。
【0141】
ここで、影響度算出部27は、フロー情報から得られるトラフィック量を用いて影響度を算出してもよい。例えば、影響度算出部27は、フロー情報から得られるトラフィック量が多いポートほど、故障時にネットワークに与える影響度が高いと判定して、かかるポートの影響度を高く算出してもよい。
【0142】
また、影響度算出部27は、上記フロー情報を参照して、ポート毎に、かかるポートを利用してデータを送受しているユーザの数を計数し、計数したユーザ数を用いて影響度を算出してもよい。例えば、影響度算出部27は、フロー情報を参照して、所定のポートを経由したトラフィックの宛先IPアドレス及び送信元IPアドレスを取得し、取得した宛先IPアドレスと送信元IPアドレスのうち異なるIPアドレスの数を計数する。そして、影響度算出部27は、計数したIPアドレスの数であるユーザ数が多いほど、ポートの故障時にネットワークに与える影響度が高いと判定して、かかるポートの影響度を高く算出する。
【0143】
また、影響度算出部27は、上記フロー情報を参照して、ポート毎に、かかるポートを流通するトラフィックの種類を用いて影響度を算出してもよい。言い換えれば、影響度算出部27は、ポートを流通するトラフィックによって提供されるサービスの種類を用いて影響度を算出してもよい。具体的には、ポートを流通するトラフィックの種類が音声トラフィックやテレビ会議に用いられるトラフィック等のリアルタイム転送が要求されるトラフィックである場合には、かかるポートの故障がネットワークに与える影響度が高いといえる。一方、ポートを流通するトラフィックの種類が電子メールトラフィック等のリアルタイム転送が要求さないトラフィックである場合には、かかるポートの故障がネットワークに与える影響度はやや低いといえる。このようなことから、影響度算出部27は、リアルタイム転送が要求されるトラフィックが流通するポートの影響度を高く算出する。
【0144】
上記例では、構成管理装置20の影響度算出部27が、トラフィック情報(トラフィック量、ユーザ数、トラフィックの種類など)を用いて影響度を算出する例を示した。しかし、影響度算出部27がトラフィック情報を用いて影響度を算出するのではなく、重要度設定部133が、重要度をSyslogメッセージに設定する際に、上記のトラフィック情報を用いてもよい。具体的には、重要度設定部133は、上記式(1)又は(2)を用いて重要度を算出する場合に、トラフィック情報をパラメータに加えてもよい。例えば、重要度設定部133は、各ポートに設定されている最大通信速度や最低保証帯域に基づいて、最大通信速度や最低保証帯域が大きい値であるポートほど、かかるポートに関するSyslogメッセージに対して高い重要度Score(m)を算出してもよい。
【0145】
また、例えば、重要度設定部133は、フロー情報から得られるトラフィック量が多いポートほど、故障時にネットワークに与える影響度が高いと判定して、かかるポートに関するSyslogメッセージに対して高い重要度Score(m)を算出してもよい。
【0146】
また、例えば、重要度設定部133は、上記フロー情報を参照して、ポート毎に、かかるポートを利用してデータを送受しているユーザの数を計数し、計数したユーザ数を上記式(1)又は(2)のパラメータに加えてもよい。
【0147】
また、例えば、重要度設定部133は、上記フロー情報を参照して、ポート毎に、かかるポートを流通するトラフィックの種類を上記式(1)又は(2)のパラメータに加えてもよい。具体的には、重要度設定部133は、リアルタイム転送が要求されるトラフィックが流通するポートに関するSyslogメッセージに対して高い重要度Score(m)を算出する。
【0148】
[重要度の算出]
また、上記実施例では、重要度設定部133が、上記式(1)及び(2)に示した例のように、「Cr」、「Nt(dm,tm)」及び「fdm,tm」等を用いて重要度を算出する例を示した。ここで、重要度設定部133は、ルータ11等によって出力されるSyslogメッセージに予め付与されている重要度に対して、「Cr」、「Nt(dm,tm)」及び「fdm,tm」等の乗算又は除算等を行うことにより重要度を算出してもよい。
【0149】
[重要度の算出に用いるパラメータ]
また、重要度設定部133は、「Cr」、「Nt(dm,tm)」及び「fdm,tm」等の全てのパラメータを用いて重要度を算出しなくてもよい。例えば、重要度設定部133は、「Cr」のみを用いて重要度を算出してもよいし、「Cr」及び「Nt(dm,tm)」のみを用いて重要度を算出しなくてもよいし、上記変形例に示したトラフィック情報のみを用いて重要度を算出しなくてもよい。
【0150】
[Syslogメッセージ]
また、上記実施例では、ログ管理装置100が、ネットワーク機器群10であるルータ11等によって出力されるSyslogメッセージを収集する例を示した。しかし、ログ管理装置100は、ルータ11等にSyslogプロトコルが適用されていない場合であっても、ルータ11等にアクセスすることによってルータ11等によって出力されるログメッセージを取得し、取得したログメッセージに対して重要度を設定してもよい。また、ログ管理装置100は、Syslog以外のログメッセージを収集してもよい。
【0151】
[Syslogメッセージの収集元]
また、上記実施例では、ログ管理装置100が、ネットワーク機器群10であるルータ11等からSyslogメッセージを収集する例を示した。しかし、ログ管理装置100は、ルータ11等によって出力されるSyslogプロトコルを集約するログ記憶装置からSyslogメッセージを収集してもよい。すなわち、ログ管理装置100は、ルータ11等からSyslogメッセージを直接収集するのではなく、ルータ11等とは別装置として設けられたログ記憶装置等を含むネットワークNからSyslogメッセージを収集すればよい。
【0152】
[ネットワーク機器群]
また、上記実施例では、ネットワーク機器群10としてルータを例に挙げて説明した。しかし、ネットワーク機器群10の例は、ルータに限られず、例えば、スイッチやブリッジやゲートウェイやサーバ装置等の各種装置であってもよい。
【0153】
[システム構成]
また、上記実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、図4に示した各種情報は一例であって任意に変更することができる。
【0154】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、上記実施例1に示したログ管理装置100と構成管理装置20とは統合されてもよい。すなわち、ログ管理装置100が、構成管理装置20が有する機能を備えてもよい。
【0155】
[プログラム]
また、上記実施例において説明したログ管理装置100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施例1に係るログ管理装置100が実行する処理をコンピュータが実行可能な言語で記述したログ管理プログラムを作成することもできる。この場合、コンピュータがログ管理プログラムを実行することにより、上記実施例1と同様の効果を得ることができる。さらに、かかるログ管理プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたログ管理プログラムをコンピュータに読み込ませて実行することにより上記実施例1と同様の処理を実現してもよい。以下に、図5に示したログ管理装置100と同様の機能を実現するログ管理プログラムを実行するコンピュータの一例を説明する。
【0156】
図13は、ログ管理プログラムを実行するコンピュータ1000を示す図である。図13に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
【0157】
メモリ1010は、図13に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図13に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図13に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェース1050は、図13に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図13に例示するように、例えばディスプレイ1061に接続される。
【0158】
ここで、図13に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のログ管理プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。例えば、図5に例示したログ収集部131と同様の情報処理を実行するログ収集手順と、影響度リスト受信部132と同様の情報処理を実行する影響度リスト受信手順と、重要度設定部133と同様の情報処理を実行する重要度設定手順と、通知部134と同様の情報処理を実行する通知手順とが記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
【0159】
また、上記実施例で説明したログ記憶部121、影響度リスト記憶部122及び重要度リスト記憶部123が保持する各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、ログ収集手順、影響度リスト受信手順、重要度設定手順、通知手順を実行する。
【0160】
なお、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
【符号の説明】
【0161】
1 ログ管理システム
10 ネットワーク機器群
20 構成管理装置
22 設定情報記憶部
23 構成情報記憶部
24 影響度リスト記憶部
25 設定情報取得部
26 構成情報算出部
27 影響度算出部
28 送信部
100 ログ管理装置
121 ログ記憶部
122 影響度リスト記憶部
123 重要度リスト記憶部
131 ログ収集部
132 影響度リスト受信部
133 重要度設定部
134 通知部
【技術分野】
【0001】
本発明の実施形態は、ログ管理システム、ログ管理装置及びログ管理方法に関する。
【背景技術】
【0002】
従来、通信網(以下、「ネットワーク」と表記する場合がある)を構成するルータ等の各種ネットワーク機器における故障や性能劣化は、ネットワークを介して提供される各種サービスに影響を与える。例えば、ネットワーク内のルータが故障した場合には、利用者間で送受されるデータを中継できなくなることがあり、ルータの性能が劣化した場合には、データの中継処理に遅延が発生することがある。
【0003】
このため、ネットワーク機器における故障や性能劣化を検知するために、各ネットワーク機器から出力されるログメッセージを収集することが行われている。例えば、所定のログ管理装置が、Syslogプロトコルに則って各ネットワーク機器からSyslogメッセージを収集し、収集したSyslogメッセージをネットワーク管理者に通知する技術等が知られている。このようなSyslogメッセージには、ログ出力時刻等を示すタイムスタンプ、メッセージ内容の他に、ネットワーク機器において発生した事象の危険度や緊急度等を示す重要度が設定される。これにより、ネットワーク管理者は、重要度毎にSyslogメッセージを分別することができる。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】R.Gerhards et al, "The Syslog Protocol", Network Working Group, RFC5424, March 2009, [online],[平成23年7月15日検索]、インターネット<http://tools.ietf.org/html/rfc5424>
【非特許文献2】Tongqing Qiu et al, "What Happened in my Network? Mining Network Events from Router Syslogs", In Proc. ACM IMC 2010, [online],[平成23年7月15日検索]、インターネット<http://conferences.sigcomm.org/imc/2010/papers/p472.pdf>
【非特許文献3】Daniel Turner et al, "California Fault Lines: Understanding the Causes and Impact of Network Failures", In Proc. ACM SIGCOMM 2010, [online],[平成23年7月15日検索]、インターネット<http://portal.acm.org/citation.cfm?id=1851220>
【非特許文献4】Hiroshi Yamada, Takeshi Yada, Hiroto Nomura, "Developing network configuration management database system and its application - Data federation for network management", In Proc. IEEE Networks 2010, pages168-173
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記従来のSyslogメッセージに設定されている重要度は、ネットワーク管理者が危険度や緊急度等を判断する基準にならない場合があった。具体的には、Syslogメッセージに設定される重要度は、ネットワーク機器を販売するベンダによって定義されることが多く、一貫性があると限らなかった。例えば、各種ネットワーク機器によって出力されるSyslogメッセージには、危険度や緊急度が同様である事象に対しても異なる重要度が設定されている場合や、危険度や緊急度が異なる事象に対しても同様の重要度が設定されている場合があった。また、基本的にSyslogメッセージは送信元である機器や部品自身にとっての危険度や緊急度から重要度を定義しているため、単独の機器にとっては重要ではなくとも複数機器に影響を与えるような事象についても重要度が低く設定されるような場合があった。このため、Syslogメッセージに設定されている重要度は、ネットワーク管理者にとって危険度や緊急度を判断する基準とならない場合があった。
【0006】
本願の開示する技術は、上記に鑑みてなされたものであって、ネットワーク管理者にとって危険度や緊急度の判断基準となる重要度をログメッセージに設定することができるログ管理システム、ログ管理装置及びログ管理方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
実施形態に係るログ管理システムは、ネットワークに含まれる複数のネットワーク機器の接続関係又は該ネットワーク機器を流通するトラフィックに関する情報を含む構成情報を記憶する構成情報記憶部と、前記ネットワークから前記ネットワーク機器に関するログメッセージを収集するログ収集部と、前記構成情報記憶部に記憶されている構成情報に基づいて、ネットワーク機器の故障又は性能劣化が前記ネットワークに与える影響の度合いを示す影響度をネットワーク機器毎に算出する影響度算出部と、前記影響度算出部によって算出されたネットワーク機器の影響度が高いほど、前記ログ収集部によって収集された該ネットワーク機器に関するログメッセージに対して高い重要度を設定する重要度設定部とを備えたことを特徴とする。
【発明の効果】
【0008】
実施形態に係るログ管理システム、ログ管理装置及びログ管理方法は、危険度や緊急度の判断基準となる重要度をログメッセージに設定することができるという効果を奏する。
【図面の簡単な説明】
【0009】
【図1】図1は、実施例1に係るログ管理システムの構成例を示す図である。
【図2】図2は、実施例1に係る構成管理装置の構成例を示す図である。
【図3】図3は、実施例1におけるネットワークの構成例を示す図である。
【図4】図4は、実施例1における影響度リスト記憶部の一例を示す図である。
【図5】図5は、実施例1に係るログ管理装置の構成例を示す図である。
【図6】図6は、実施例1に係る構成管理装置による処理手順を示すフローチャートである。
【図7】図7は、実施例1における影響度算出部による影響度算出処理手順を示すフローチャートである。
【図8】図8は、実施例1における重要度設定部による重要度設定処理手順を示すフローチャートである。
【図9】図9は、変形例に係るログ管理システムの構成例を示す図である。
【図10】図10は、変形例に係る影響度算出部によるルータ毎の影響度算出処理手順を示すフローチャートである。
【図11】図11は、変形例に係る影響度算出部による影響度算出処理手順を示すフローチャートである。
【図12】図12は、変形例に係る影響度算出部によるルータ毎の影響度算出処理手順を示すフローチャートである。
【図13】図13は、ログ管理プログラムを実行するコンピュータを示す図である。
【発明を実施するための形態】
【0010】
以下に、本願の開示する技術に係るログ管理システム、ログ管理装置及びログ管理方法の実施例を図面に基づいて詳細に説明する。なお、この実施例により本願の開示する技術が限定されるものではない。
【実施例1】
【0011】
[ログ管理システムの構成]
まず、図1を用いて、実施例1に係るログ管理システムについて説明する。図1は、実施例1に係るログ管理システム1の構成例を示す図である。図1に例示するように、実施例1に係るログ管理システム1には、ネットワーク機器群10と、構成管理装置20と、ログ管理装置100とが含まれる。
【0012】
ネットワーク機器群10は、ネットワークNを構成する各種ネットワーク機器の集合である。図1に例示したネットワーク機器群10には、ネットワークNを構成するルータ11〜14が含まれる。実施例1においては、かかるルータ11〜14等によって出力されるSyslogメッセージに重要度を設定する例について説明する。
【0013】
ルータ11〜14は、各種データ(パケット)を中継する中継装置であり、他のルータや利用者端末等と接続するためのポートを有する。これらのルータ11〜14は、利用者端末や利用者ネットワーク網と接続される「エッジルータ」である場合や、利用者端末や利用者ネットワーク網と直接接続されない「中継ルータ」である場合がある。例えば、エッジルータは、利用者端末から受信したデータを他のエッジルータや中継ルータに中継する処理や、他のエッジルータや中継ルータから受信したデータを利用者端末に中継する処理等を行う。また、例えば、中継ルータは、他のエッジルータや中継ルータから受信したデータを他のエッジルータや中継ルータに中継する処理等を行う。
【0014】
このようなルータ11〜14は、Syslogプロトコルが適用されており、所定の事象が発生した場合に、Syslogメッセージを出力し、出力したSyslogメッセージを後述するログ管理装置100に送信する。例えば、ルータ11〜14は、データの中継処理を行った場合や、ポート間のリンクがダウンする事象であるリンクダウンが発生した場合や、ポート間のリンクが形成される事象であるリンクアップが発生した場合等に、Syslogメッセージを出力する。
【0015】
このとき、ルータ11〜14は、「タイムスタンプ」と、「事象が発生した箇所」と、「発生した事象の内容」と、「重要度」とを含むSyslogメッセージを出力する。ここでいう「タイムスタンプ」とは、例えば、Syslogメッセージを出力した時刻、又は、事象が発生した時刻等を示す。また、「事象が発生した箇所」とは、例えば、ルータや、ルータを構成する構成部品等を示す。ルータの構成部品の例としては、ポートや、複数のポートを有するラインカード等が挙げられる。
【0016】
例えば、ルータ11がポート11aを有し、ルータ12がポート12aを有し、ポート11aとポート12aとが接続されていたが、かかるポート11aとポート12aとの間においてリンクダウンが発生したものとする。かかる場合に、ルータ11は、例えば、「2011年7月15日10時30分10秒 ルータ11 ポート11a リンクダウン 重要度A」といったSyslogメッセージを出力する。また、ルータ12も同様のSyslogメッセージを出力する。
【0017】
ここで、上記例における「重要度A」は、ルータ11のベンダによって事象毎に定義された情報である。したがって、ルータ11とルータ12とのベンダが異なる場合には、ルータ11が上記例のように重要度Aを含むSyslogメッセージを出力した場合であっても、ルータ12は、重要度A以外の重要度を含むSyslogメッセージを出力することがある。つまり、ルータ11及びルータ12において、同一の事象「リンクダウン」が発生した場合であっても、双方のルータによって出力されるSyslogメッセージには、異なる重要度が設定されることがある。
【0018】
そこで、実施例1に係る構成管理装置20及びログ管理装置100は、このようなルータ11等から出力されるSyslogメッセージに対して、新たな重要度を設定することにより、ネットワーク管理者が危険度や緊急度を判断することを可能にする。なお、ルータ11〜14は、「事象が発生した箇所」としてルータやラインカードやポートに関する情報を含むSyslogメッセージを出力する場合があるが、実施例1においては、説明を簡単にするために「事象が発生した箇所」がポートであるSyslogメッセージを例に挙げて、かかるSyslogメッセージに新たな重要度を設定する処理について説明する。
【0019】
構成管理装置20は、ネットワークNの構成情報を管理し、かかる構成情報に基づいて、ルータ11等が有するポートに故障又は性能劣化等が発生した際にネットワークNに与える影響を示す影響度をポート毎に算出する。なお、「故障又は性能劣化等」とは、ルータやポート等が正常な状態でないことを示す。以下では、「故障又は性能劣化等」を単に故障と表記する場合がある。例えば、「ポートに故障が発生」と表記した場合には、「ポートに故障又は性能劣化等が発生」や「ポートに異常が発生し、正常な状態でなくなったこと」を意味する。
【0020】
具体的には、図1に示した構成管理装置20は、各ルータに設定されている設定情報を各ルータから取得、管理する。この機能はCMDB(Configuration Management Data Base)に相当する。これにより、構成管理装置20は、各ルータが有するポート間の接続関係に関する情報をネットワークNの構成情報として取得することができる。例えば、構成管理装置20は、ネットワークNの構成情報として、ルータ11のポート11aとルータ12のポート12aとが接続されていることを示す情報等を取得することができる。
【0021】
そして、実施例1に係る構成管理装置20は、このような構成情報に基づいて、ルータ11等が有する所定のポートに故障が発生したものと仮定し、かかる所定のポートが故障した際に通信が行えなくなるエッジルータ間の数を算出する。構成管理装置20は、かかる算出処理を各ポートについて行うことにより、通信不可能となるエッジルータ間の数をポート毎に算出する。このようにして算出された通信不可能となるエッジルータ間の数は、ポートが故障した際にネットワークNに与える影響度を示す。例えば、ルータ11のポート11aが故障した場合に、通信不可能となるエッジルータ間の数が多いほど、ポート11aの故障がネットワークNに与える影響度は高いことを示し、一方で、通信不可能となるエッジルータ間の数が少ないほど、ポート11aの故障がネットワークNに与える影響度は低いことを示す。このため、実施例1に係る構成管理装置20は、通信不可能となるエッジルータ間の数を影響度として算出する。そして、構成管理装置20は、ポートを識別するためのポート識別子と、かかるポートの影響度とが対応付けられたリスト(以下、「影響度リスト」と表記する場合がある)をログ管理装置100に送信する。
【0022】
ログ管理装置100は、ルータ11等からSyslogメッセージを収集し、構成管理装置20から影響度リストを受信する。そして、ログ管理装置100は、影響度リストに基づいて、各Syslogメッセージに新たな重要度を設定する。
【0023】
具体的には、ログ管理装置100は、ルータ11等から収集したSyslogメッセージに含まれる「事象が発生した箇所」を特定し、特定した「事象が発生した箇所」に対応する「影響度」を影響度リストから取得する。そして、ログ管理装置100は、影響度リストから取得した影響度が高いSyslogメッセージほど高い重要度を設定し、影響度リストから取得した影響度が低いSyslogメッセージほど低い重要度を設定する。
【0024】
例えば、ログ管理装置100は、「ポート、影響度」の組合せである影響度リストとして、「ポート11a、1」、「ポート12a、1」、・・・、「ポート14d、3」等を受信したものとする。かかる場合に、ログ管理装置100は、「事象が発生した箇所」としてポート14dを含むSyslogメッセージには、「事象が発生した箇所」としてポート11aやポート12aを含むSyslogメッセージよりも高い重要度を設定する。
【0025】
このように、ログ管理装置100は、各ポートが故障した際にネットワークNに与える影響度に基づいて、各ポートに関するSyslogメッセージの重要度を新たに設定する。これにより、ログ管理装置100は、ルータ11〜14のベンダが異なる場合であっても、影響度という一貫性のある情報に基づいて、Syslogメッセージに重要度を設定することができる。この結果、ログ管理装置100は、ネットワーク管理者にとって危険度や緊急度の判断基準となる重要度をSyslogメッセージに設定することができる。
【0026】
なお、図1では、ネットワーク機器群10に4台のルータ11〜14が含まれる例を示したが、ネットワーク機器群10に含まれるルータの数は4台に限られない。例えば、ネットワーク機器群10には、2台、3台、又は5台以上のルータが含まれてもよい。
【0027】
また、上記では、ログ管理装置100が、ポートが故障した際に通信不可能となるエッジルータ間の数である影響度に基づいて、Syslogメッセージに重要度を設定する例を示した。しかし、実施例1に係るログ管理装置100は、かかる影響度に加えて他の情報も用いて、Syslogメッセージに重要度を設定する。以下に、このような重要度の設定処理も含めて、構成管理装置20及びログ管理装置100について詳細に説明する。
【0028】
[構成管理装置の構成]
次に、図2を用いて、図1に示した構成管理装置20について説明する。図2は、実施例1に係る構成管理装置20の構成例を示す図である。図2に例示するように、実施例1に係る構成管理装置20は、IF(interface)部21と、設定情報記憶部22と、構成情報記憶部23と、影響度リスト記憶部24と、設定情報取得部25と、構成情報算出部26と、影響度算出部27と、送信部28とを有する。
【0029】
IF部21は、外部装置との間で各種データを送受する。例えば、IF部21は、ルータ11等からルータ11等に設定されている設定情報を受信する。また、例えば、IF部21は、ログ管理装置100に対して影響度リストを送信する。
【0030】
設定情報記憶部22は、ネットワークNに含まれるネットワーク機器群10に設定されている設定情報を記憶する。具体的には、設定情報記憶部22は、後述する設定情報取得部25によってルータ11等から取得された設定情報を記憶する。
【0031】
構成情報記憶部23は、ネットワークNに含まれるネットワーク機器群10の接続関係に関する情報を含む構成情報を記憶する。具体的には、構成情報記憶部23は、後述する構成情報算出部26によって算出される構成情報を記憶する。
【0032】
影響度リスト記憶部24は、ネットワークNに含まれるルータ11等のポートと、かかるポートが故障した際にネットワークNに与える影響度とのリストである影響度リストを記憶する。具体的には、影響度リスト記憶部24は、後述する影響度算出部27によって算出される影響度リストを記憶する。
【0033】
なお、上記の設定情報記憶部22、構成情報記憶部23及び影響度リスト記憶部24は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、又は、ハードディスク、光ディスクなどの記憶装置である。
【0034】
設定情報取得部25は、ネットワークNに含まれるルータ11等から、かかるルータ11等に設定されている設定情報を取得する。そして、設定情報取得部25は、ルータ11等から取得した設定情報を設定情報記憶部22に格納する。
【0035】
構成情報算出部26は、設定情報記憶部22に記憶されているルータ11等の各種設定情報に基づいて、ネットワークNの構成情報を算出する。具体的には、構成情報算出部26は、各種設定情報を用いて、互いに接続されているポートの組合せ等を構成情報として算出する。そして、構成情報算出部26は、このようにして算出した構成情報を構成情報記憶部23に格納する。
【0036】
影響度算出部27は、構成情報記憶部23に記憶されているネットワークNの構成情報に基づいて、ポートが故障した際にネットワークNに与える影響を示す影響度をポート毎に算出する。具体的には、影響度算出部27は、ネットワークNに含まれる各ルータが有するポートのうち所定のポートが故障したと仮定し、かかる所定のポートが故障した際に通信不可能となるエッジルータの組合せの数である影響度を算出する。影響度算出部27は、ネットワークNに含まれる全てのルータ、かつ、全てのポートについて同様の影響度算出処理を行い、算出したポート毎の影響度を影響度リスト記憶部24に格納する。
【0037】
送信部28は、影響度リスト記憶部24に記憶されている影響度リストをログ管理装置100に送信する。例えば、送信部28は、影響度リスト記憶部24に記憶されている影響度リストが更新された場合に、かかる更新後の影響度リストをログ管理装置100に送信する。また、例えば、送信部28は、定期的に影響度リストをログ管理装置100に送信してもよい。
【0038】
なお、上記の設定情報取得部25、構成情報算出部26、影響度算出部27及び送信部28は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路である。
【0039】
また、上記例では、構成管理装置20が設定情報記憶部22を有する例を示したが、構成管理装置20は、設定情報記憶部22を有しなくてもよい。具体的には、構成情報算出部26は、設定情報取得部25によって取得された各種設定情報を蓄積し、設定情報取得部25によってネットワークN内の全てのルータから設定情報が取得された場合に、蓄積した各種設定情報を用いて、ネットワークNの構成情報を算出してもよい。
【0040】
ここで、図3及び図4を用いて、構成管理装置20の影響度算出部27による影響度算出処理について説明する。図3は、実施例1におけるネットワークNの構成例を示す図である。また、図4は、実施例1における影響度リスト記憶部24の一例を示す図である。
【0041】
まず、影響度算出部27による影響度算出処理を説明する前に、ネットワークNの構成例について説明する。ここでは、実施例1におけるネットワークNは、図3に例示したように、ルータ11〜19が含まれるものとする。また、ネットワークNは、ルーティングプロトコルとしてOSPF(Open Shortest Path First)が用いられているものとする。
【0042】
図3に例示するように、ルータ11は、ポート11a及び11bを有し、ルータ12は、ポート12a及び12bを有し、ルータ13は、ポート13a及び13bを有し、ルータ14は、ポート14a、14b、14c及び14dを有する。同様に、ルータ15〜19は、図3に例示した各ポートを有する。
【0043】
ネットワークNの構成例が図3に示した状態である場合に、設定情報取得部25は、ルータ11〜19から、各ルータに設定されている設定情報を取得する。ここの例では、設定情報取得部25は、例えば、各ルータのルーティングプロトコルとしてOSPFが用いられていることを示す情報や、各ルータに利用者端末が接続されているか否かを示す情報や、各ルータが保持するLSDB(Link State Data Base)や、各ルータに設定されている各リンクのコスト等を取得する。なお、リンクのコストとは、OSPFにおいてルーティングメトリックとして利用される情報であり、ポート毎に設定される。
【0044】
そして、構成情報算出部26は、設定情報取得部25によって取得された各種設定情報に基づいて、ネットワークNの構成情報を算出する。具体的には、設定情報取得部25は、ルータ11のポート11aとルータ12のポート12aとが接続されてリンクL12を形成し、ルータ11のポート11bとルータ13のポート13aとが接続されてリンクL13を形成していることを示す構成情報を算出する。同様に、構成情報算出部26は、ルータ12のポート12bとルータ14のポート14aとが接続されてリンクL24を形成していることを示す構成情報や、ルータ13のポート13bとルータ14のポート14bとが接続されてリンクL34を形成していることを示す構成情報等を算出する。このとき、構成情報算出部26は、各リンクのコストについても構成情報として算出する。
【0045】
また、構成情報算出部26は、ルータ11に利用者端末31が接続されており、ルータ15に利用者端末32が接続されており、ルータ17に利用者端末33が接続されていることを示す構成情報を算出する。構成情報算出部26は、このようにして算出した構成情報を構成情報記憶部23に格納する。これにより、影響度算出部27は、構成情報算出部26によって算出された構成情報を参照することにより、各ポート間の接続関係を把握することができるとともに、ルータ11〜19がエッジルータ又は中継ルータのいずれであるかを把握することができる。図3に示した例では、影響度算出部27は、ルータ11、15及び17がエッジルータであり、ルータ12、13、14、16、18及び19が中継ルータであることを把握することができる。
【0046】
ネットワークNが図3に例示した構成である場合について、影響度算出部27による影響度算出処理の一例について説明する。影響度算出部27は、上述したように、ポートが故障した際に通信不可能となるエッジルータの組合せの数を影響度として算出する。以下に説明する影響度算出部27は、各ポートの影響度に初期値「1」を割り当て、ポートが故障した際に通信不可能となるエッジルータの組合せを検出するたびに、ポートに割り当てた影響度をカウントアップすることで、各ポートの影響度を算出する。
【0047】
具体的には、影響度算出部27は、まず、ネットワークNにおける全リンクのコストの総和を算出する。具体的には、影響度算出部27は、ルータ11とルータ12とのリンクL12のコストと、ルータ11とルータ13とのリンクL13のコストと、ルータ12とルータ14とのリンクL24のコストと、ルータ13とルータ14とのリンクL34のコストと、ルータ14とルータ15とのリンクL45のコストと、ルータ15とルータ16とのリンクL56のコストと、ルータ16とルータ17とのリンクL67のコストと、ルータ14とルータ18とのリンクL48のコストと、ルータ18とルータ19とのリンクL89のコストとを全て加算することで、全リンクの総コストを算出する。ここの例では、影響度算出部27は、全リンクの総コストとして「α1」を算出したものとする。
【0048】
続いて、影響度算出部27は、構成情報算出部26によって算出された構成情報に基づいて、互いに接続されてリンクを形成している全てのポートの組合せ(ポートペア)を取得する。具体的には、影響度算出部27は、「ポート11aとポート12aとの組合せ」、「ポート11bとポート13aとの組合せ」、「ポート12bとポート14aとの組合せ」、「ポート13bとポート14bとの組合せ」、「ポート14dとポート15aとの組合せ」、「ポート15bとポート16aとの組合せ」、「ポート16bとポート17aとの組合せ」、「ポート14cとポート18aとの組合せ」、「ポート18bとポート19aとの組合せ」とを取得する。続いて、影響度算出部27は、全てのポートの組合せの中から検証対象とするポートの組合せを1個抽出する。ここでは、影響度算出部27は、「ポート11aとポート12aとの組合せ」を抽出するものとする。
【0049】
続いて、影響度算出部27は、検証対象としたポート11aとポート12aとによって形成されるリンクL12に対して、全リンクの総コスト「α1」よりも大きい値である「α2」を仮想的に設定する。「仮想的に設定する」処理について説明すると、影響度算出部27は、実際にリンクL12に設定されているコストを「α2」に変更するのではなく、構成情報記憶部23に記憶されているリンクL12に対応するコストを「α2」に変更する。
【0050】
続いて、影響度算出部27は、構成情報算出部26によって算出された構成情報に基づいて、エッジルータの組合せを全て取得する。具体的には、影響度算出部27は、エッジルータの組合せとして、「ルータ11とルータ15との組合せ」と、「ルータ11とルータ17との組合せ」と、「ルータ15とルータ17との組合せ」とを取得する。
【0051】
続いて、影響度算出部27は、各エッジルータ間における最短経路(Shortest Path)を算出する。具体的には、影響度算出部27は、ルータ11とルータ15との間における最短経路と、ルータ11とルータ17との間における最短経路と、ルータ15とルータ17との間における最短経路とを算出する。続いて、影響度算出部27は、全てのエッジルータの組合せの中から検証対象とするエッジルータの組合せを抽出する。ここでは、影響度算出部27は、ルータ11とルータ15との組合せを抽出するものとする。また、影響度算出部27は、ルータ11とルータ15との最短経路として、ルータ13及びルータ14を経由してルータ11からルータ15に到達する経路を算出するものとする。すなわち、影響度算出部27は、リンクL13、L34及びL45を経由する経路を最短経路として算出する。
【0052】
そして、影響度算出部27は、抽出したエッジルータの組合せに対応する最短経路のパスコストが「α2」よりも小さいか否かを判定する。ここで、「α2」は、全リンクの総コスト「α1」よりも大きい値であるので、最短経路のパスコストが「α2」以上である場合には、影響度算出部27によって算出された最短経路には、コストに「α2」が設定されているリンクL12が含まれることを示す。このことは、ルータ11とルータ15との間における通信は、リンクL12の経由を要することを示す。言い換えれば、ポート11a又はポート12aが故障した場合には、ルータ11とルータ15との間で通信が行えなくなる。一方、最短経路のパスコストが「α2」よりも小さい場合には、影響度算出部27によって算出された最短経路には、コストに「α2」が設定されているリンクL12が含まれていないことを示す。このことは、ルータ11とルータ15との間における通信は、リンクL12の経由を要しないことを示す。言い換えれば、ポート11a又はポート12aが故障した場合であっても、ルータ11とルータ15との間で通信は行える。
【0053】
ここでは、影響度算出部27は、ルータ11とルータ15との間における最短経路として、ルータ13及びルータ14を経由してルータ11からルータ15に到達する経路を算出することになる。かかる最短経路のパスコストは、リンクL13、L34及びL45におけるコストの総和であるので、「α2」よりも小さい。したがって、ポート11a又はポート12aが故障した場合であっても、ルータ11とルータ15との間における通信は維持されるので、ポート11a又はポート12aの故障がルータ11とルータ15との間における通信に与える影響度は低い。このため、影響度算出部27は、この時点ではポート11a及びポート12aの影響度をカウントアップしない。
【0054】
続いて、影響度算出部27は、全てのエッジルータの組合せの中から未検証のエッジルータの組合せである「ルータ11とルータ17との組合せ」又は「ルータ15とルータ17との組合せ」を抽出する。そして、影響度算出部27は、抽出したエッジルータの組合せに対応する最短経路のパスコストが「α2」よりも小さいか否かを判定する。このようにして、影響度算出部27は、検証対象であるエッジルータの全ての組合せについて上記処理を行う。そして、影響度算出部27は、検証対象のポートの全ての組合せに対して上記処理を行う。
【0055】
ここで、影響度がカウントアップされる例を挙げると、例えば、エッジルータの組合せ「ルータ11及びルータ15」が検証対象であり、さらに、ポート14dとポート15aとの組合せが検証対象であるものとする。つまり、影響度算出部27は、ポート14dとポート15aとによって形成されるリンクL45のコストを「α2」に変更する。このとき、影響度算出部27は、ルータ11とルータ15との間における最短経路として、ルータ13及びルータ14を経由してルータ11からルータ15に到達する経路を算出することになる。かかる最短経路のパスコストは、リンクL13、L34及びL45におけるコストの総和であるので、「α2」よりも大きい。これは、コスト「α2」が設定されているリンクL45が最短経路に含まれるからである。このことは、ポート14d又はポート15aが故障した場合には、ルータ11とルータ15との間における通信が途絶するので、ポート14d又はポート15aの故障がルータ11とルータ15との間における通信に与える影響度は高いといえる。このため、影響度算出部27は、ポート14d及びポート15aの影響度を「1」から「2」にカウントアップする。
【0056】
同様にして、エッジルータの組合せ「ルータ11及びルータ17」が検証対象であり、ポート14dとポート15aとの組合せが検証対象である場合にも、ルータ11とルータ17との間における最短経路には、リンクL45が含まれる。このため、影響度算出部27は、かかる検証処理においても、ポート14d及びポート15aの影響度をカウントアップする。このようにして、影響度算出部27は、ポート毎の影響度を算出し、算出した影響度を影響度リスト記憶部24に格納する。図3に示した例では、影響度算出部27は、図4に示した各種情報を影響度リスト記憶部24に格納する。
【0057】
図4に示した例では、影響度リスト記憶部24は、「ネットワーク機器」、「構成部品」、「影響度」といった項目を有する。「ネットワーク機器」は、ネットワークNに含まれるルータを識別するためのルータ識別子を示す。また、「構成部品」は、図4に示した例では、各ルータに含まれるポートを識別するためのポート識別子を示す。また、「影響度」は、影響度算出部27によって算出された各ルータの影響度を示す。なお、図4では、「ネットワーク機器」には、「ルータ」に図3の参照符号を付した情報がルータ識別子として記憶され、「構成部品」には、「ポート」に図3の参照符号を付した情報がポート識別子として記憶される例を示している。
【0058】
すなわち、図4では、ルータ14のポート14dが故障した場合には、通信が行えなくなるエッジルータの組合せが2つ存在することを示している。具体的には、ポート14dが故障した場合には、ルータ11とルータ15との間における通信が行えなくなり、ルータ11とルータ17との間における通信が行えなくなる。また、図4では、ルータ15のポート15aが故障した場合には、通信が行えなくなるエッジルータの組合せが1つ存在することを示している。具体的には、ポート15aが故障した場合には、ルータ15とルータ17との間における通信は維持されるが、ルータ11とルータ15との間における通信が行えなくなる。また、図4では、ルータ15のポート15bが故障した場合には、通信が行えなくなるエッジルータの組合せが1つ存在することを示している。具体的には、ポート15bが故障した場合には、ルータ11とルータ15との間における通信は維持されるが、ルータ15とルータ17との間における通信が行えなくなる。
【0059】
なお、図3及び図4を用いて説明した影響度算出部27による影響度算出処理は一例であって、影響度算出部27は、上述した処理によってポート毎の影響度を算出しなくてもよい。例えば、影響度算出部27は、最初に検証対象のポートを決定し、かかるポートが故障した際に通信経路がなくなるエッジルータの組合せの数を影響度としてカウントしてもよい。
【0060】
[ログ管理装置の構成]
次に、図5を用いて、図1に示したログ管理装置100について説明する。図5は、実施例1に係るログ管理装置100の構成例を示す図である。図5に例示するように、実施例1に係るログ管理装置100は、IF部110と、ログ記憶部121と、影響度リスト記憶部122と、重要度リスト記憶部123と、ログ収集部131と、影響度リスト受信部132と、重要度設定部133と、通知部134とを有する。
【0061】
IF部110は、外部装置との間で各種データを送受する。例えば、IF部110は、ルータ11等からSyslogメッセージを受信する。また、例えば、IF部110は、構成管理装置20から影響度リストを受信する。
【0062】
ログ記憶部121は、ネットワークNに含まれるネットワーク機器群10によって出力されるSyslogメッセージを記憶する。具体的には、ログ記憶部121は、後述するログ収集部131によって収集されたSyslogメッセージを記憶する。
【0063】
影響度リスト記憶部122は、構成管理装置20の影響度算出部27によって算出されたポート毎の影響度を記憶する。具体的には、影響度リスト記憶部122は、後述する影響度リスト受信部132によって受信される影響度リストを記憶する。なお、影響度リスト記憶部122は、図4に例示した影響度リスト記憶部24の構成と同様である。
【0064】
重要度リスト記憶部123は、Syslogメッセージ毎に、かかるSyslogメッセージに新たに設定された重要度を記憶する。具体的には、重要度リスト記憶部123は、後述する重要度設定部133によってSyslogメッセージに新たに設定される重要度を記憶する。
【0065】
なお、上記のログ記憶部121、影響度リスト記憶部122及び重要度リスト記憶部123は、例えば、RAM、フラッシュメモリなどの半導体メモリ素子、又は、ハードディスク、光ディスクなどの記憶装置である。
【0066】
ログ収集部131は、ネットワークNからネットワーク機器群10に関するSyslogメッセージを収集する。具体的には、ログ収集部131は、ネットワークNに含まれるネットワーク機器群10によって送信されるSyslogメッセージを収集し、収集したSyslogメッセージをログ記憶部121に格納する。なお、ネットワーク機器群10によってSyslogメッセージが送信されないシステムである場合には、ログ収集部131は、ネットワーク機器群10にアクセスし、ネットワーク機器群10からSyslogメッセージを取得してもよい。
【0067】
影響度リスト受信部132は、構成管理装置20の送信部28によって送信される影響度リストを受信する。そして、影響度リスト受信部132は、構成管理装置20から受信した影響度リストを影響度リスト記憶部122に格納する。
【0068】
重要度設定部133は、影響度リスト記憶部122に記憶されている影響度リストに基づいて、ログ記憶部121に記憶されている各Syslogメッセージに新たな重要度を設定する。そして、重要度設定部133は、Syslogメッセージを特定するための情報と、かかるSyslogメッセージに設定した重要度とを対応付けたリスト(以下、「重要度リスト」と表記する場合がある)を重要度リスト記憶部123に格納する。
【0069】
ここで、実施例1における重要度設定部133は、影響度リスト記憶部122に記憶されている影響度に加えて、Syslogメッセージの統計情報等も用いて、各Syslogメッセージに新たな重要度を設定する。一例を挙げて説明すると、重要度設定部133は、以下に示す式(1)により、各Syslogメッセージの重要度を算出する。
【0070】
【数1】
【0071】
上記式(1)のうち、「Score(m)」は、Syslogメッセージ「m」の重要度を示す。Syslogメッセージ「m」には、「ネットワーク機器(送信ホスト名)」、「構成部品(dm)」、「メッセージ内容(tm)」が含まれる。なお、上述してきた例においては、「ネットワーク機器(送信ホスト名)」は、ルータ11等に対応し、「ネットワーク機器」及び「構成部品(dm)」は、上述した「事象が発生した箇所」に対応し、「メッセージ内容(tm)」は、上述した「発生した事象の内容」に対応する。
【0072】
また、上記式(1)のうち、「Cr」は、影響度リスト記憶部122に記憶されている影響度を示す。具体的には、「Cr」は、影響度リスト記憶部122に記憶されている影響度のうち、重要度の算出対象であるSyslogメッセージ「m」に含まれる「ネットワーク機器」及び「構成部品(dm)」に対応する影響度を示す。例えば、影響度リスト記憶部122に記憶されている影響度が図4に示した各種情報であるものとする。また、Syslogメッセージ「m」には、ネットワーク機器「ルータ11」及び構成部品(dm)「ポート11a」に関するメッセージ内容(tm)が含まれているものとする。かかる場合、図4に示したネットワーク機器「ルータ11」及び構成部品「ポート11a」に対応する影響度が「1」であるので、上記「Cr」は「1」となる。
【0073】
また、上記式(1)のうち、「Nt(dm,tm)」は、所定の時刻から現在時刻までの間に観測された「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数を示す。具体的には、「Nt(dm,tm)」は、所定の時刻から現在時刻までの時刻がタイムスタンプに設定されているSyslogメッセージ群のうち、重要度の算出対象であるSyslogメッセージ「m」に含まれる「構成部品(dm)」及び「メッセージ内容(tm)」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数を示す。
【0074】
また、上記式(1)のうち、「fdm,tm」は、観測された全てのSyslogメッセージの数に対する「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数の比率を示す。具体的には、「fdm,tm」は、全てのSyslogメッセージの数を「1」とした場合に、重要度の算出対象であるSyslogメッセージ「m」に含まれる「構成部品(dm)」及び「メッセージ内容(tm)」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数を示す。例えば、全てのSyslogメッセージの数が「100」であり、「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数が「10」である場合には、上記「fdm,tm」は「0.1」となる。
【0075】
上記式(1)に示すように、重要度設定部133は、Syslogメッセージ「m」に含まれる「ネットワーク機器」及び「構成部品(dm)」に対応する影響度「Cr」が高いほど、高い値となる重要度Score(m)を算出する。すなわち、重要度設定部133は、Syslogメッセージ「m」に含まれる「構成部品(dm)」が故障した際に通信が行えなくなるエッジルータの組合せの数が多いほど、かかるSyslogメッセージ「m」の重要度Score(m)を高く算出する。
【0076】
また、上記式(1)に示すように、重要度設定部133は、メッセージ数「Nt(dm,tm)」が大きいほど、高い値の重要度Score(m)を算出する。すなわち、重要度設定部133は、直近にSyslogメッセージ「m」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージが多く出力されている場合には、高い値の重要度Score(m)を算出する。これは、一般に、ポート等でエラーが発生した場合には、同一の「構成部品(dm)」及び「メッセージ内容(tm)」であるSyslogメッセージが多く出力されるからである。このため、重要度設定部133は、直近に同様のSyslogメッセージが多く出力されている場合には、かかるSyslogメッセージがエラーに関するログであると推定し、高い値の重要度Score(m)を算出する。
【0077】
また、上記式(1)に示すように、重要度設定部133は、メッセージ比率「fdm,tm」が小さいほど、高い値の重要度Score(m)を算出する。すなわち、重要度設定部133は、Syslogメッセージ「m」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数の全Syslogメッセージ数に対する比率が小さいほど、高い値の重要度Score(m)を算出する。これは、一般に、エラーに関するSyslogメッセージが出力されることは稀であり、処理の経過等に関するSyslogメッセージ(「データ転送処理を行った」等のログ)が出力されることが多いからである。このため、重要度設定部133は、「fdm,tm」が小さい場合には、出力頻度の低いSyslogメッセージが出力されたので、かかるSyslogメッセージがエラーに関するものであると推定し、高い値の重要度Score(m)を算出する。
【0078】
このように、上記例における重要度設定部133は、影響度「Cr」、メッセージ数「Nt(dm,tm)」及びメッセージ比率「fdm,tm」を用いて、Syslogメッセージ「m」の重要度「Score(m)」を算出する。これにより、重要度設定部133は、影響度、メッセージ数及びメッセージ比率といった一貫性のある情報に基づいて、Syslogメッセージに重要度を設定することができる。
【0079】
通知部134は、ネットワーク管理者によって利用される管理者端末に対して、重要度リスト記憶部123に記憶されている各種情報を通知する。例えば、通知部134は、重要度リスト記憶部123に記憶されている重要度を定期的に監視して、所定の閾値よりも高い重要度が重要度リスト記憶部123に新たに登録された場合には、管理者端末に警告を通知する。このとき、通知部134は、重要度が所定の閾値よりも高いSyslogメッセージをログ記憶部121から取得し、取得したSyslogメッセージを管理者端末に送信してもよい。
【0080】
なお、上記のログ収集部131、影響度リスト受信部132、重要度設定部133及び通知部134は、例えば、CPU、MPU等の電子回路、ASICやFPGA等の集積回路である。
【0081】
[処理手順]
次に、図6〜図8を用いて、実施例1に係るログ管理システム1によるログ管理手順について説明する。まず、図6を用いて、実施例1に係る構成管理装置20による処理手順について説明する。図6は、実施例1に係る構成管理装置20による処理手順を示すフローチャートである。
【0082】
図6に示すように、構成管理装置20の設定情報取得部25は、ネットワーク機器群10から、かかるネットワーク機器群10に設定されている設定情報を取得する(ステップS101)。具体的には、設定情報取得部25は、ネットワークNに含まれるルータ11等から、かかるルータ11等に設定されている設定情報を取得する。
【0083】
続いて、構成情報算出部26は、設定情報取得部25によって取得された設定情報に基づいて、ネットワークNの構成情報を算出する(ステップS102)。具体的には、構成情報算出部26は、各種設定情報を用いて、互いに接続されているポートの組合せを示す構成情報等を算出する。
【0084】
続いて、影響度算出部27は、構成情報算出部26によって算出された構成情報に基づいて、ポート毎の影響度を算出する影響度算出処理を行う(ステップS103)。なお、影響度算出部27による影響度算出処理については後述する。そして、送信部28は、影響度算出部27によって算出された影響度リストをログ管理装置100に送信する(ステップS104)。
【0085】
次に、図7を用いて、図6のステップS103に示した影響度算出処理の手順について説明する。図7は、実施例1における影響度算出部27による影響度算出処理手順を示すフローチャートである。
【0086】
図7に示すように、影響度算出部27は、ネットワークNにおける全リンクのコストの総和「α1」を算出する(ステップS201)。続いて、影響度算出部27は、互いに接続されてリンクを形成している全てのポートの組合せ(ポートペア)の中から未検証のポートの組合せを抽出する(ステップS202)。
【0087】
続いて、影響度算出部27は、ステップS202において抽出したポートの組合せによって形成されるリンクのコストを「α2」に変更する(ステップS203)。そして、影響度算出部27は、構成情報算出部26によって算出された構成情報に基づいて、エッジルータの組合せを全て取得し、各エッジルータ間における最短経路を算出する(ステップS204)。そして、影響度算出部27は、全てのエッジルータの組合せの中から未検証のエッジルータの組合せを抽出する(ステップS205)。
【0088】
そして、影響度算出部27は、ステップS205において抽出したエッジルータの組合せにおける最短経路のパスコストが「α2」よりも小さいか否かを判定する(ステップS206)。このとき、影響度算出部27は、最短経路のパスコストが「α2」以上である場合には(ステップS206否定)、ステップS202において抽出した検証対象ポートの影響度をカウントアップする(ステップS207)。なお、影響度算出部27は、検証対象ポートとしてポートの組合せを抽出しているので、かかるポートの組合せに含まれる双方のポートの影響度をカウントアップする。一方、影響度算出部27は、最短経路のパスコストが「α2」よりも小さい場合には(ステップS206肯定)、ステップS202において抽出した検証対象ポートの影響度をカウントアップしない。
【0089】
そして、影響度算出部27は、全てのエッジルータの組合せについて検証したか否かを判定する(ステップS208)。このとき、影響度算出部27は、全てのエッジルータの組合せについて検証していない場合には(ステップS208否定)、ステップS205における処理に戻る。一方、影響度算出部27は、全てのエッジルータの組合せについて検証済みである場合には(ステップS208肯定)、ステップS203において「α2」に変更したリンクのコストを元に戻す(ステップS209)。
【0090】
そして、影響度算出部27は、ポートの全組合せについて検証したか否かを判定する(ステップS210)。このとき、影響度算出部27は、全てのポートの組合せについて検証していない場合には(ステップS210否定)、ステップS202における処理に戻る。一方、影響度算出部27は、全てのポートの組合せについて検証済みである場合には(ステップS210肯定)、処理を終了する。
【0091】
次に、図8を用いて、実施例1に係るログ管理装置100の重要度設定部133による重要度設定処理の手順について説明する。図8は、実施例1における重要度設定部133による重要度設定処理手順を示すフローチャートである。
【0092】
図8に示すように、重要度設定部133は、ログ記憶部121に記憶されているSyslogメッセージ「m」を読み出し、読み出したSyslogメッセージ「m」に含まれる「ネットワーク機器」及び「構成部品(dm)」に対応する影響度「Cr」を影響度リスト記憶部122から取得する(ステップS301)。
【0093】
続いて、重要度設定部133は、ログ記憶部121を参照することにより、所定の時刻の範囲内におけるタイムスタンプが付与されているSyslogメッセージ群のうち、Syslogメッセージ「m」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数である「Nt(dm,tm)」を算出する(ステップS302)。
【0094】
続いて、重要度設定部133は、ログ記憶部121に記憶されている全てのSyslogメッセージの数に対するSyslogメッセージ「m」と同様の「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数の比率である「fdm,tm」を算出する(ステップS303)。
【0095】
そして、重要度設定部133は、ステップS301〜S303において得られた影響度「Cr」、メッセージ数「Nt(dm,tm)」及びメッセージ比率「fdm,tm」を上記式(1)に代入することにより、Syslogメッセージ「m」に対応する重要度を算出する(ステップS304)。そして、重要度設定部133は、算出した重要度をSyslogメッセージ「m」を特定する情報に対応付けて重要度リスト記憶部123に格納する。なお、Syslogメッセージ「m」を特定する情報とは、Syslogメッセージ「m」自体であってもよいし、Syslogメッセージを識別するための識別子であってもよいし、Syslogメッセージ「m」に含まれるタイムスタンプ、「ネットワーク機器」及び「構成部品(dm)」の組合せであってもよい。
【0096】
[実施例1の効果]
上述してきたように、実施例1に係るログ管理システム1において、構成管理装置20は、ネットワークNに含まれるネットワーク機器群10の接続関係に関する情報を含む構成情報を記憶し、かかる構成情報に基づいて、ネットワーク機器の故障又は性能劣化がネットワークNに与える影響の度合いを示す影響度をネットワーク機器毎に算出する。また、ログ管理装置100は、ネットワーク機器に関するSyslogメッセージを収集し、構成管理装置20によって算出されたネットワーク機器の影響度が高いほど、かかるネットワーク機器に関するSyslogメッセージに対して高い重要度を設定する。これにより、実施例1に係るログ管理システム1は、影響度という一貫性のある情報に基づいて、Syslogメッセージに重要度を設定することができる。この結果、ログ管理システム1は、ネットワーク管理者にとって危険度や緊急度の判断基準となる重要度をSyslogメッセージに設定することができる。
【0097】
また、実施例1に係るログ管理システム1において、構成管理装置20は、ネットワーク機器(例えば、ルータ)を構成する構成部品(例えば、ポート)に関するSyslogメッセージを収集し、構成部品の故障又は性能劣化がネットワークNに与える影響度を構成部品毎に算出する。また、ログ管理装置100は、構成管理装置20によって算出された構成部品の影響度が高いほど、かかる構成部品に関するSyslogメッセージに対して高い重要度を設定する。これにより、実施例1に係るログ管理システム1は、ネットワーク機器の構成部品の単位で、かかる構成部品に関するSyslogメッセージに重要度を設定することができる。
【0098】
また、実施例1に係るログ管理システム1は、ルータの構成部品であるポートに故障又は性能劣化が発生した際に、利用者端末と接続されるエッジルータの組合せのうち、双方間で通信が行えなくなるエッジルータの組合せの数を影響度として算出する。これにより、実施例1に係るログ管理システム1は、「通信不可となるエッジルータの組合せの数」という一貫性のある情報に基づいて、Syslogメッセージに重要度を設定することができる。
【0099】
また、実施例1に係るログ管理システム1は、所定範囲の時刻に出力されたSyslogメッセージから同一の構成部品に関する同一のメッセージ内容を含むSyslogメッセージの数を計数し、計数したSyslogメッセージの数が多いほど、かかる構成部品に関するログメッセージに対して高い重要度を設定する。これにより、実施例1に係るログ管理システム1は、故障等が発生した構成部品に関するSyslogメッセージが多く出力されている場合に、かかるSyslogメッセージに高い値の重要度を設定することができる。すなわち、ログ管理システム1は、故障等が発生したことを示す可能性の高いSyslogメッセージに対して、高い値の重要度を設定することができる。
【0100】
また、実施例1に係るログ管理システム1は、全てのログメッセージの数に対する同一の構成部品に関する同一のメッセージ内容を含むログメッセージの数の比率を算出し、算出した比率が低いほど、かかる構成部品に関するログメッセージに対して高い重要度を設定する。これにより、実施例1に係るログ管理システム1は、出力頻度の低いSyslogメッセージに対して高い値の重要度を設定することができる。すなわち、ログ管理システム1は、故障等が発生したことを示す可能性の高いSyslogメッセージに対して、高い値の重要度を設定することができる。
【実施例2】
【0101】
上述したログ管理システムは、上述した実施例1以外にも、種々の異なる形態にて実施されてよい。そこで、実施例2では、上記のログ管理システムの他の実施例について説明する。
【0102】
[Relayサーバ]
上記実施例1では、ログ管理装置100によってSyslogメッセージの重要度を設定する処理が行われる例について説明した。しかし、ログ管理装置100によって行われる重要度設定処理は、複数の装置によって分散して行われてもよい。この点について、図9に一例を挙げて説明する。図9は、変形例に係るログ管理システム2の構成例を示す図である。
【0103】
図2に示した例において、ログ管理システム2には、ルータ41〜44と、Relayサーバ51及び52と、ログ管理装置200とが含まれる。ルータ41及び42は、Relayサーバ51と接続され、ルータ43及び44は、Relayサーバ52と接続される。そして、Relayサーバ51は、ルータ41及び42からSyslogメッセージを収集し、Relayサーバ52は、ルータ43及び44からSyslogメッセージを収集する。
【0104】
ログ管理装置200は、上記実施例1に係るログ管理装置100が有する一部の機能と、構成管理装置20が有する一部の機能とを有する装置である。具体的には、ログ管理装置200は、構成管理装置20と同様に、ルータ41〜44から設定情報を取得し、取得した設定情報を用いて影響度リストを算出する。そして、図9に示したログ管理装置200は、かかる影響度リストのうち、ルータ41及び42によって構成されるネットワークに含まれるネットワーク機器群の影響度リストをRelayサーバ51に送信する。また、ログ管理装置200は、影響度リストのうち、ルータ43及び44によって構成されるネットワークに含まれるネットワーク機器群の影響度リストをRelayサーバ52に送信する。
【0105】
そして、Relayサーバ51は、ログ管理装置200から受信した影響度リストを用いて、ルータ41及び42から収集したSyslogメッセージに対して重要度を新たに設定する。また、Relayサーバ52は、ログ管理装置200から受信した影響度リストを用いて、ルータ43及び44から収集したSyslogメッセージに対して重要度を新たに設定する。そして、Relayサーバ51及び52は、ルータ41〜44から収集したSyslogメッセージと、Syslogメッセージに設定した重要度とをログ管理装置200に送信する。ログ管理装置200は、Relayサーバ51及び52から受信した重要度に基づいて、管理者端末に警告を通知したりする。
【0106】
このように、図9に示した例では、Syslogメッセージを収集する処理や、重要度を新たに設定する処理は、Relayサーバ51及び52によって行われる。これにより、各種処理を分散することができ、ログ管理装置200の負荷を低減することができる。なお、図9では、ログ管理装置200に構成管理装置20が有する一部の機能が備えられている例を示したが、構成管理装置20が有する一部の機能は、ログ管理装置200以外の他の装置(構成管理装置20に相当)に備えられてもよいし、Relayサーバ51及び52に備えられてもよい。
【0107】
[影響度の算出単位]
また、上記実施例1では、構成管理装置20の影響度算出部27が、ルータの構成部品であるポート毎に影響度を算出する例を示した。しかし、影響度算出部27は、ポート毎の影響度以外にも、ルータ毎の影響度や、ポート以外の構成部品毎の影響度を算出してもよい。例えば、ルータは、複数のポートを有するラインカードが装着される場合がある。影響度算出部27は、ラインカードが装着されるルータの場合には、ポート毎の影響度の他に、ラインカード毎の影響度を算出してもよい。すなわち、影響度算出部27は、ルータ毎の影響度、ラインカード毎の影響度、及び、ポート毎の影響度のうち少なくとも一つ以上の影響度を算出してもよい。
【0108】
ここで、図10を用いて、影響度算出部27によるルータ毎の影響度算出処理について説明する。図10は、変形例に係る影響度算出部27によるルータ毎の影響度算出処理手順を示すフローチャートである。
【0109】
図10に示した例において、影響度算出部27は、ネットワークNにおける全リンクのコストの総和「α1」を算出する(ステップS401)。続いて、影響度算出部27は、ネットワークNに含まれる全てのルータの中から未検証のルータを抽出する(ステップS402)。
【0110】
続いて、影響度算出部27は、ステップS402において抽出したルータと接続される全リンクのコストを「α2」に変更する(ステップS403)。そして、影響度算出部27は、全てのエッジルータ間における最短経路を算出し(ステップS404)、全てのエッジルータの組合せの中から未検証のエッジルータの組合せを抽出する(ステップS405)。
【0111】
そして、影響度算出部27は、ステップS405において抽出したエッジルータの組合せにおける最短経路のパスコストが「α2」よりも小さいか否かを判定する(ステップS406)。このとき、影響度算出部27は、最短経路のパスコストが「α2」以上である場合には(ステップS406否定)、ステップS402において抽出した検証対象ルータの影響度をカウントアップする(ステップS407)。一方、影響度算出部27は、最短経路のパスコストが「α2」よりも小さい場合には(ステップS406肯定)、ステップS402において抽出した検証対象ルータの影響度をカウントアップしない。
【0112】
そして、影響度算出部27は、全てのエッジルータの組合せについて検証したか否かを判定する(ステップS408)。このとき、影響度算出部27は、全てのエッジルータの組合せについて検証していない場合には(ステップS408否定)、ステップS405における処理に戻る。一方、影響度算出部27は、全てのエッジルータの組合せについて検証済みである場合には(ステップS408肯定)、ステップS403において「α2」に変更したリンクのコストを元に戻す(ステップS409)。
【0113】
そして、影響度算出部27は、全ルータについて検証したか否かを判定する(ステップS410)。このとき、影響度算出部27は、全ルータについて検証していない場合には(ステップS410否定)、ステップS402における処理に戻る。一方、影響度算出部27は、全ルータについて検証済みである場合には(ステップS410肯定)、処理を終了する。
【0114】
また、ここでは図示することを省略するが、影響度算出部27は、図7に表記した「ポート」を「ラインカード」に置き換えた処理を行うことにより、ラインカード毎の影響度を算出することができる。例えば、影響度算出部27は、図7に示したステップS205において、検証対象のルータが有するラインカードの中から未検証のラインカードを抽出する処理を行い、図7に示したステップS206において、検証対象のラインカードと接続される全リンクのコストを「α2」に変更する処理を行う。
【0115】
ここで、影響度算出部27によって、ルータ毎の影響度、ラインカード毎の影響度、及び、ポート毎の影響度が算出される場合には、ログ管理装置100の重要度設定部133は、これらの各種影響度を用いて、Syslogメッセージに重要度を設定することができる。
【0116】
例えば、ルータ11等は、「事象が発生した箇所」として構成部品を特定せずに、ルータのみが特定されたSyslogメッセージを出力する場合がある。例えば、ルータ11は、「2011年7月15日10時30分10秒 ルータ11 起動完了 重要度A」といったSyslogメッセージを出力する場合がある。かかるSyslogメッセージには、ポートやラインカードに関する情報が含まれない。重要度設定部133は、このようなSyslogメッセージに対して重要度を設定する場合には、影響度算出部27によって算出されたルータ毎の影響度を上記式(1)に適用すればよい。
【0117】
また、例えば、ルータ11等は、「事象が発生した箇所」として構成部品「ラインカード」を特定したSyslogメッセージを出力する場合がある。例えば、ルータ11は、「2011年7月15日10時30分10秒 ルータ11 ラインカードLC11 異常発生 重要度A」といったSyslogメッセージを出力する場合がある。重要度設定部133は、このようなSyslogメッセージに対して重要度を設定する場合には、影響度算出部27によって算出されたラインカード毎の影響度を上記式(1)に適用すればよい。
【0118】
[影響度の算出処理]
また、上記実施例では、影響度算出部27が、図7又は図10に示した処理手順によって影響度を算出する例を示した。しかし、影響度算出部27は、図7又は図10に示した処理手順以外の処理手順によって影響度を算出してもよい。以下に、図11を用いて、図7に例示した処理手順の変形例を説明し、図12を用いて、図10に例示した処理手順の変形例を説明する。
【0119】
図11は、変形例に係る影響度算出部による影響度算出処理手順を示すフローチャートである。図11に示した例において、影響度算出部27は、ネットワークNにおける全リンクのコストの総和「α1」を算出する(ステップS501)。続いて、影響度算出部27は、構成情報算出部26によって算出された構成情報に基づいて、エッジルータの組合せを全て取得し、かかる全てのエッジルータの組合せの中から未検証のエッジルータの組合せを抽出する(ステップS502)。
【0120】
続いて、影響度算出部27は、ステップS502において抽出したエッジルータ間における最短経路を算出し(ステップS503)、算出した最短経路に含まれるルータの中から未検証のルータを抽出する(ステップS504)。さらに、影響度算出部27は、ステップS504において抽出したルータが有するポートの中から未検証のポートを抽出する(ステップS505)。
【0121】
続いて、影響度算出部27は、ステップS505において抽出したポートによって形成されるリンクのコストを「α2」に変更する(ステップS506)。そして、影響度算出部27は、ステップS502において抽出したエッジルータ間における最短経路を算出し(ステップS507)、算出した最短経路のパスコストが「α2」よりも小さいか否かを判定する(ステップS508)。
【0122】
このとき、影響度算出部27は、最短経路のパスコストが「α2」以上である場合には(ステップS508否定)、ステップS505において抽出した検証対象ポートの影響度をカウントアップし(ステップS509)、ステップS506において「α2」に変更したリンクのコストを元に戻す(ステップS510)。一方、影響度算出部27は、最短経路のパスコストが「α2」よりも小さい場合には(ステップS508肯定)、ステップS505において抽出した検証対象ポートの影響度をカウントアップせずに、ステップS510における処理を行う。
【0123】
そして、影響度算出部27は、ステップS504において抽出したルータが有する全てのポートについて検証したか否かを判定する(ステップS511)。このとき、影響度算出部27は、全てのポートについて検証していない場合には(ステップS511否定)、ステップS505における処理に戻る。一方、影響度算出部27は、全てのポートについて検証済みである場合には(ステップS511肯定)、ステップS503において算出した最短経路に含まれる全てのルータについて検証したか否かを判定する(ステップS512)。
【0124】
このとき、影響度算出部27は、全てのルータについて検証していない場合には(ステップS512否定)、ステップS504における処理に戻る。一方、影響度算出部27は、全てのルータについて検証済みである場合には(ステップS512肯定)、ステップS502において取得した全てのエッジルータの組合せについて検証したか否かを判定する(ステップS513)。
【0125】
このとき、影響度算出部27は、全てのエッジルータの組合せについて検証していない場合には(ステップS513否定)、ステップS502における処理に戻る。一方、影響度算出部27は、全てのエッジルータの組合せについて検証済みである場合には(ステップS513肯定)、処理を終了する。
【0126】
図12は、変形例に係る影響度算出部によるルータ毎の影響度算出処理手順を示すフローチャートである。図12に示した例において、ステップS601〜S604における処理手順は、図11に示したステップS501〜S504における処理手順と同様であるので説明を省略する。影響度算出部27は、図10に示すように、最短経路に含まれるルータの中から未検証のルータを抽出した後に(ステップS604)、かかるルータと接続される全リンクのコストを「α2」に変更する(ステップS605)。そして、影響度算出部27は、ステップS602において抽出したエッジルータ間における最短経路を算出し(ステップS606)、算出した最短経路のパスコストが「α2」よりも小さいか否かを判定する(ステップS607)。
【0127】
このとき、影響度算出部27は、最短経路のパスコストが「α2」以上である場合には(ステップS607否定)、ステップS604において抽出した検証対象ルータの影響度をカウントアップし(ステップS608)、ステップS605において「α2」に変更したリンクのコストを元に戻す(ステップS609)。一方、影響度算出部27は、最短経路のパスコストが「α2」よりも小さい場合には(ステップS607肯定)、ステップS604において抽出した検証対象ルータの影響度をカウントアップせずに、ステップS609における処理を行う。
【0128】
そして、影響度算出部27は、ステップS603において算出した最短経路に含まれる全てのルータについて検証したか否かを判定する(ステップS610)。このとき、影響度算出部27は、全てのルータについて検証していない場合には(ステップS610否定)、ステップS604における処理に戻る。一方、影響度算出部27は、全てのルータについて検証済みである場合には(ステップS610肯定)、ステップS602において取得した全てのエッジルータの組合せについて検証したか否かを判定する(ステップS611)。
【0129】
このとき、影響度算出部27は、全てのエッジルータの組合せについて検証していない場合には(ステップS611否定)、ステップS602における処理に戻る。一方、影響度算出部27は、全てのエッジルータの組合せについて検証済みである場合には(ステップS611肯定)、処理を終了する。
【0130】
[重要度の算出式]
また、上記実施例1では、ログ管理装置100の重要度設定部133が、上記式(1)を用いて、Syslogメッセージに設定する重要度を算出する例について説明した。しかし、重要度設定部133は、上記式(1)以外の式により重要度を算出してもよい。例えば、重要度設定部133は、上記の変形例のように、影響度算出部27によってルータ毎、ラインカード毎及びポート毎の影響度が算出される場合には、以下に示す式(2)により、各Syslogメッセージの重要度を算出する。
【0131】
【数2】
【0132】
上記式(2)のうち、「ldm」は、構成部品毎の重みを示す。例えば、「ルータ」と「ラインカード」と「ポート」とを比較した場合に、「ポート」は、「ルータ」や「ラインカード」が故障している場合には動作せず、「ラインカード」は、「ルータ」が故障している場合には動作しない。このため、「ルータ」、「ラインカード」及び「ポート」の故障うち、ネットワークNに与える影響度が最も高いのは「ルータ」の故障であり、次に、「ラインカード」の故障であり、最後に「ポート」の故障となる。上記式(2)の「ldm」は、このような影響度を考慮して設定されるパラメータである。例えば、「ldm」は、「構成部品(dm)」がルータである場合には「3」が設定され、「構成部品(dm)」がラインカードである場合には「2」が設定され、「構成部品(dm)」がポートである場合には「1」が設定される。これにより、ポートやラインカードよりもルータが故障したことを示すSyslogメッセージに高い重要度「Score(m)」が設定される。これにより、重要度設定部133は、ネットワークNに与える影響度が高い機器に関するSyslogメッセージほど、高い値の重要度を設定することができる。
【0133】
[重要度の算出式の変形例]
また、上記実施例では、重要度設定部133が、上記式(1)又は(2)に示した例のように、「fdm,tm」の対数の正負を逆にした値を「Cr」、「Nt(dm,tm)」等に乗算することで重要度を算出する例を示した。しかし、重要度設定部133は、「Cr」、「Nt(dm,tm)」等に対して、「fdm,tm」を除算してもよい。重要度設定部133は、このようにして重要度「Score(m)」を算出した場合であっても、稀なSyslogメッセージほど高い値の重要度Score(m)を算出することができる。
【0134】
[Nt(dm,tm)の変形例]
また、上記実施例では、重要度設定部133が、所定の時刻から現在時刻までの時刻がタイムスタンプに設定されているSyslogメッセージのうち、「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数を「Nt(dm,tm)」として算出する例を示した。しかし、重要度設定部133は、「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数の増加率等を「Nt(dm,tm)」として算出してもよい。
【0135】
例えば、重要度設定部133は、ログ記憶部121を参照することで、「構成部品(dm)」及び「メッセージ内容(tm)」を含む全てのSyslogメッセージのうち、所定範囲の時刻がタイムスタンプに設定されているSyslogメッセージの数を所定範囲の時刻毎に計数する。そして、重要度設定部133は、各時刻範囲におけるSyslogメッセージ数の変動率を算出し、かかる変動率が増加傾向にある場合には、大きい値の「Nt(dm,tm)」を算出し、変動率が減少傾向にある場合には、小さい値の「Nt(dm,tm)」を算出する。
【0136】
一例を挙げて説明すると、重要度設定部133は、「構成部品(dm)」及び「メッセージ内容(tm)」を含む全てのSyslogメッセージのうち、タイムスタンプに「2011年7月15日10時00分〜10時59分」が設定されているSyslogメッセージの数として「100」を計数し、タイムスタンプに「2011年7月15日11時00分〜11時59分」が設定されているSyslogメッセージの数として「100」を計数し、タイムスタンプに「2011年7月15日12時00分〜12時59分」が設定されているSyslogメッセージの数として「200」を計数したものとする。かかる場合に、重要度設定部133は、Syslogメッセージ数が「100」、「100」、「200」と変動しているので、「構成部品(dm)」及び「メッセージ内容(tm)」に関するSyslogメッセージが急激に増加したので、かかるSyslogメッセージがエラーに関するログであると推定し、「Nt(dm,tm)」を大きい値にする。
【0137】
また、上記例において、重要度設定部133は、Syslogメッセージ数やSyslogメッセージ数の増加率として「Nt」を算出する場合に、「メッセージ内容(tm)」を考慮しなくてもよい。具体的には、重要度設定部133は、所定の時刻から現在時刻までの時刻がタイムスタンプに設定されているSyslogメッセージ群のうち、重要度の算出対象であるSyslogメッセージ「m」に含まれる「構成部品(dm)」と同様の「構成部品(dm)」を含むSyslogメッセージの数を「Nt」として算出してもよい。または、重要度設定部133は、「構成部品(dm)」を含むSyslogメッセージの数の増加率等を「Nt」として算出してもよい。
【0138】
[fdm,tmの変形例]
また、上記実施例では、重要度設定部133が、全てのSyslogメッセージの数に対する「構成部品(dm)」及び「メッセージ内容(tm)」を含むSyslogメッセージの数の比率を「fdm,tm」として算出する例を示した。しかし、重要度設定部133は、所定範囲の時刻がタイムスタンプに設定されているSyslogメッセージを全体のSyslogメッセージとしてもよい。例えば、重要度設定部133は、過去3ヶ月分のSyslogメッセージ群と、かかるSyslogメッセージ群に含まれる「構成部品(dm)」及び「メッセージ内容(tm)」のSyslogメッセージとの数の比率を「fdm,tm」として算出してもよい。
【0139】
[トラフィック情報]
また、上記実施例では、影響度算出部27が、通信不可能となるエッジルータの組合せの数を影響度として算出する例を示した。しかし、影響度算出部27は、通信不可能となるエッジルータの組合せの数以外に、各ポートのトラフィック情報を用いて影響度を算出してもよい。例えば、影響度算出部27は、各ポートに設定されている最大通信速度や最低保証帯域に基づいて、最大通信速度や最低保証帯域が大きい値であるポートほど、かかるポートの影響度を高く算出してもよい。これは、ポートに設定されている最大通信速度や最低保証帯域が大きい値である場合には、多くのデータが流通する可能性が高いので、かかるポートの故障がネットワークに与える影響度は高いといえるからである。なお、ポート毎に設定されている最大通信速度や最低保証帯域は、構成管理装置20の設定情報取得部25によってネットワーク機器群10から取得される。
【0140】
また、影響度算出部27は、最大通信速度や最低保証帯域等のパラメータに限らず、その他のパラメータを影響度の算出処理に用いてもよい。例えば、構成管理装置20の設定情報取得部25は、ルータ11等にsFlow(登録商標)、NetFlow、IPFIX等の技術が適用されている場合には、かかるルータ11等からフロー情報を収集し、収集したフロー情報を構成情報記憶部23等に格納してもよい。このフロー情報は、ポート毎に用意されるものであって、各ポートを流通するトラフィックの送信元である装置のIPアドレス、トラフィックの宛先である装置のIPアドレス、トラフィックの流通に用いられるプロトコル、トラフィック量等が含まれる。
【0141】
ここで、影響度算出部27は、フロー情報から得られるトラフィック量を用いて影響度を算出してもよい。例えば、影響度算出部27は、フロー情報から得られるトラフィック量が多いポートほど、故障時にネットワークに与える影響度が高いと判定して、かかるポートの影響度を高く算出してもよい。
【0142】
また、影響度算出部27は、上記フロー情報を参照して、ポート毎に、かかるポートを利用してデータを送受しているユーザの数を計数し、計数したユーザ数を用いて影響度を算出してもよい。例えば、影響度算出部27は、フロー情報を参照して、所定のポートを経由したトラフィックの宛先IPアドレス及び送信元IPアドレスを取得し、取得した宛先IPアドレスと送信元IPアドレスのうち異なるIPアドレスの数を計数する。そして、影響度算出部27は、計数したIPアドレスの数であるユーザ数が多いほど、ポートの故障時にネットワークに与える影響度が高いと判定して、かかるポートの影響度を高く算出する。
【0143】
また、影響度算出部27は、上記フロー情報を参照して、ポート毎に、かかるポートを流通するトラフィックの種類を用いて影響度を算出してもよい。言い換えれば、影響度算出部27は、ポートを流通するトラフィックによって提供されるサービスの種類を用いて影響度を算出してもよい。具体的には、ポートを流通するトラフィックの種類が音声トラフィックやテレビ会議に用いられるトラフィック等のリアルタイム転送が要求されるトラフィックである場合には、かかるポートの故障がネットワークに与える影響度が高いといえる。一方、ポートを流通するトラフィックの種類が電子メールトラフィック等のリアルタイム転送が要求さないトラフィックである場合には、かかるポートの故障がネットワークに与える影響度はやや低いといえる。このようなことから、影響度算出部27は、リアルタイム転送が要求されるトラフィックが流通するポートの影響度を高く算出する。
【0144】
上記例では、構成管理装置20の影響度算出部27が、トラフィック情報(トラフィック量、ユーザ数、トラフィックの種類など)を用いて影響度を算出する例を示した。しかし、影響度算出部27がトラフィック情報を用いて影響度を算出するのではなく、重要度設定部133が、重要度をSyslogメッセージに設定する際に、上記のトラフィック情報を用いてもよい。具体的には、重要度設定部133は、上記式(1)又は(2)を用いて重要度を算出する場合に、トラフィック情報をパラメータに加えてもよい。例えば、重要度設定部133は、各ポートに設定されている最大通信速度や最低保証帯域に基づいて、最大通信速度や最低保証帯域が大きい値であるポートほど、かかるポートに関するSyslogメッセージに対して高い重要度Score(m)を算出してもよい。
【0145】
また、例えば、重要度設定部133は、フロー情報から得られるトラフィック量が多いポートほど、故障時にネットワークに与える影響度が高いと判定して、かかるポートに関するSyslogメッセージに対して高い重要度Score(m)を算出してもよい。
【0146】
また、例えば、重要度設定部133は、上記フロー情報を参照して、ポート毎に、かかるポートを利用してデータを送受しているユーザの数を計数し、計数したユーザ数を上記式(1)又は(2)のパラメータに加えてもよい。
【0147】
また、例えば、重要度設定部133は、上記フロー情報を参照して、ポート毎に、かかるポートを流通するトラフィックの種類を上記式(1)又は(2)のパラメータに加えてもよい。具体的には、重要度設定部133は、リアルタイム転送が要求されるトラフィックが流通するポートに関するSyslogメッセージに対して高い重要度Score(m)を算出する。
【0148】
[重要度の算出]
また、上記実施例では、重要度設定部133が、上記式(1)及び(2)に示した例のように、「Cr」、「Nt(dm,tm)」及び「fdm,tm」等を用いて重要度を算出する例を示した。ここで、重要度設定部133は、ルータ11等によって出力されるSyslogメッセージに予め付与されている重要度に対して、「Cr」、「Nt(dm,tm)」及び「fdm,tm」等の乗算又は除算等を行うことにより重要度を算出してもよい。
【0149】
[重要度の算出に用いるパラメータ]
また、重要度設定部133は、「Cr」、「Nt(dm,tm)」及び「fdm,tm」等の全てのパラメータを用いて重要度を算出しなくてもよい。例えば、重要度設定部133は、「Cr」のみを用いて重要度を算出してもよいし、「Cr」及び「Nt(dm,tm)」のみを用いて重要度を算出しなくてもよいし、上記変形例に示したトラフィック情報のみを用いて重要度を算出しなくてもよい。
【0150】
[Syslogメッセージ]
また、上記実施例では、ログ管理装置100が、ネットワーク機器群10であるルータ11等によって出力されるSyslogメッセージを収集する例を示した。しかし、ログ管理装置100は、ルータ11等にSyslogプロトコルが適用されていない場合であっても、ルータ11等にアクセスすることによってルータ11等によって出力されるログメッセージを取得し、取得したログメッセージに対して重要度を設定してもよい。また、ログ管理装置100は、Syslog以外のログメッセージを収集してもよい。
【0151】
[Syslogメッセージの収集元]
また、上記実施例では、ログ管理装置100が、ネットワーク機器群10であるルータ11等からSyslogメッセージを収集する例を示した。しかし、ログ管理装置100は、ルータ11等によって出力されるSyslogプロトコルを集約するログ記憶装置からSyslogメッセージを収集してもよい。すなわち、ログ管理装置100は、ルータ11等からSyslogメッセージを直接収集するのではなく、ルータ11等とは別装置として設けられたログ記憶装置等を含むネットワークNからSyslogメッセージを収集すればよい。
【0152】
[ネットワーク機器群]
また、上記実施例では、ネットワーク機器群10としてルータを例に挙げて説明した。しかし、ネットワーク機器群10の例は、ルータに限られず、例えば、スイッチやブリッジやゲートウェイやサーバ装置等の各種装置であってもよい。
【0153】
[システム構成]
また、上記実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、図4に示した各種情報は一例であって任意に変更することができる。
【0154】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、上記実施例1に示したログ管理装置100と構成管理装置20とは統合されてもよい。すなわち、ログ管理装置100が、構成管理装置20が有する機能を備えてもよい。
【0155】
[プログラム]
また、上記実施例において説明したログ管理装置100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施例1に係るログ管理装置100が実行する処理をコンピュータが実行可能な言語で記述したログ管理プログラムを作成することもできる。この場合、コンピュータがログ管理プログラムを実行することにより、上記実施例1と同様の効果を得ることができる。さらに、かかるログ管理プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたログ管理プログラムをコンピュータに読み込ませて実行することにより上記実施例1と同様の処理を実現してもよい。以下に、図5に示したログ管理装置100と同様の機能を実現するログ管理プログラムを実行するコンピュータの一例を説明する。
【0156】
図13は、ログ管理プログラムを実行するコンピュータ1000を示す図である。図13に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
【0157】
メモリ1010は、図13に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図13に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図13に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェース1050は、図13に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図13に例示するように、例えばディスプレイ1061に接続される。
【0158】
ここで、図13に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のログ管理プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。例えば、図5に例示したログ収集部131と同様の情報処理を実行するログ収集手順と、影響度リスト受信部132と同様の情報処理を実行する影響度リスト受信手順と、重要度設定部133と同様の情報処理を実行する重要度設定手順と、通知部134と同様の情報処理を実行する通知手順とが記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
【0159】
また、上記実施例で説明したログ記憶部121、影響度リスト記憶部122及び重要度リスト記憶部123が保持する各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、ログ収集手順、影響度リスト受信手順、重要度設定手順、通知手順を実行する。
【0160】
なお、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
【符号の説明】
【0161】
1 ログ管理システム
10 ネットワーク機器群
20 構成管理装置
22 設定情報記憶部
23 構成情報記憶部
24 影響度リスト記憶部
25 設定情報取得部
26 構成情報算出部
27 影響度算出部
28 送信部
100 ログ管理装置
121 ログ記憶部
122 影響度リスト記憶部
123 重要度リスト記憶部
131 ログ収集部
132 影響度リスト受信部
133 重要度設定部
134 通知部
【特許請求の範囲】
【請求項1】
ネットワークに含まれる複数のネットワーク機器の接続関係又は該ネットワーク機器を流通するトラフィックに関する情報を含む構成情報を記憶する構成情報記憶部と、
前記ネットワークから前記ネットワーク機器に関するログメッセージを収集するログ収集部と、
前記構成情報記憶部に記憶されている構成情報に基づいて、ネットワーク機器の故障又は性能劣化が前記ネットワークに与える影響の度合いを示す影響度をネットワーク機器毎に算出する影響度算出部と、
前記影響度算出部によって算出されたネットワーク機器の影響度が高いほど、前記ログ収集部によって収集された該ネットワーク機器に関するログメッセージに対して高い重要度を設定する重要度設定部と
を備えたことを特徴とするログ管理システム。
【請求項2】
前記ログ収集部は、
前記ネットワーク機器を構成する構成部品に関するログメッセージを収集し、
前記影響度算出部は、
前記構成部品の故障又は性能劣化が前記ネットワークに与える影響度を構成部品毎に算出し、
前記重要度設定部は、
前記影響度算出部によって算出された構成部品の影響度が高いほど、前記ログ収集部によって収集された該構成部品に関するログメッセージに対して高い重要度を設定する
ことを特徴とする請求項1に記載のログ管理システム。
【請求項3】
前記影響度算出部は、
前記ネットワーク機器又は前記構成部品に故障又は性能劣化が発生した際に、利用者端末と接続されるネットワーク機器の組合せのうち、双方間で通信が行えなくなるネットワーク機器の組合せの数を前記影響度として算出する
ことを特徴とする請求項2に記載のログ管理システム。
【請求項4】
前記重要度設定部は、
所定範囲の時刻に出力されたログメッセージから同一の構成部品に関する同一のメッセージ内容を含むログメッセージの数を計数し、計数したログメッセージの数が多いほど、該構成部品に関するログメッセージに対して高い重要度を設定する
ことを特徴とする請求項2又は3に記載のログ管理システム。
【請求項5】
前記重要度設定部は、
前記ログ収集部によって収集されたログメッセージの数に対する同一の構成部品に関する同一のメッセージ内容を含むログメッセージの数の比率を算出し、算出した比率が低いほど、該構成部品に関するログメッセージに対して高い重要度を設定する
ことを特徴とする請求項2〜4のいずれか一つに記載のログ管理システム。
【請求項6】
前記重要度設定部は、
所定の構成部品に関するログメッセージよりも、該所定の構成部品によって構成されるネットワーク機器に関するログメッセージに対して高い重要度を設定する
ことを特徴とする請求項2〜5のいずれか一つに記載のログ管理システム。
【請求項7】
ネットワークに含まれるネットワーク機器毎に、該ネットワーク機器の故障又は性能劣化が前記ネットワークに与える影響の度合いを示す影響度が記憶された影響度リストを受信する影響度リスト受信部と、
前記ネットワークから前記ネットワーク機器に関するログメッセージを収集するログ収集部と、
前記影響度リスト受信部によって受信された影響度リストに含まれるネットワーク機器の影響度が高いほど、前記ログ収集部によって収集された該ネットワーク機器に関するログメッセージに対して高い重要度を設定する重要度設定部と
を備えたことを特徴とするログ管理装置。
【請求項8】
ログ管理装置で実行されるログ管理方法であって、
ネットワークに含まれるネットワーク機器毎に、該ネットワーク機器の故障又は性能劣化が前記ネットワークに与える影響の度合いを示す影響度が記憶された影響度リストを受信する影響度リスト受信工程と、
前記ネットワークから前記ネットワーク機器に関するログメッセージを収集するログ収集工程と、
前記影響度リスト受信工程によって受信された影響度リストに含まれるネットワーク機器の影響度が高いほど、前記ログ収集工程によって収集された該ネットワーク機器に関するログメッセージに対して高い重要度を設定する重要度設定工程と
を含んだことを特徴とするログ管理方法。
【請求項1】
ネットワークに含まれる複数のネットワーク機器の接続関係又は該ネットワーク機器を流通するトラフィックに関する情報を含む構成情報を記憶する構成情報記憶部と、
前記ネットワークから前記ネットワーク機器に関するログメッセージを収集するログ収集部と、
前記構成情報記憶部に記憶されている構成情報に基づいて、ネットワーク機器の故障又は性能劣化が前記ネットワークに与える影響の度合いを示す影響度をネットワーク機器毎に算出する影響度算出部と、
前記影響度算出部によって算出されたネットワーク機器の影響度が高いほど、前記ログ収集部によって収集された該ネットワーク機器に関するログメッセージに対して高い重要度を設定する重要度設定部と
を備えたことを特徴とするログ管理システム。
【請求項2】
前記ログ収集部は、
前記ネットワーク機器を構成する構成部品に関するログメッセージを収集し、
前記影響度算出部は、
前記構成部品の故障又は性能劣化が前記ネットワークに与える影響度を構成部品毎に算出し、
前記重要度設定部は、
前記影響度算出部によって算出された構成部品の影響度が高いほど、前記ログ収集部によって収集された該構成部品に関するログメッセージに対して高い重要度を設定する
ことを特徴とする請求項1に記載のログ管理システム。
【請求項3】
前記影響度算出部は、
前記ネットワーク機器又は前記構成部品に故障又は性能劣化が発生した際に、利用者端末と接続されるネットワーク機器の組合せのうち、双方間で通信が行えなくなるネットワーク機器の組合せの数を前記影響度として算出する
ことを特徴とする請求項2に記載のログ管理システム。
【請求項4】
前記重要度設定部は、
所定範囲の時刻に出力されたログメッセージから同一の構成部品に関する同一のメッセージ内容を含むログメッセージの数を計数し、計数したログメッセージの数が多いほど、該構成部品に関するログメッセージに対して高い重要度を設定する
ことを特徴とする請求項2又は3に記載のログ管理システム。
【請求項5】
前記重要度設定部は、
前記ログ収集部によって収集されたログメッセージの数に対する同一の構成部品に関する同一のメッセージ内容を含むログメッセージの数の比率を算出し、算出した比率が低いほど、該構成部品に関するログメッセージに対して高い重要度を設定する
ことを特徴とする請求項2〜4のいずれか一つに記載のログ管理システム。
【請求項6】
前記重要度設定部は、
所定の構成部品に関するログメッセージよりも、該所定の構成部品によって構成されるネットワーク機器に関するログメッセージに対して高い重要度を設定する
ことを特徴とする請求項2〜5のいずれか一つに記載のログ管理システム。
【請求項7】
ネットワークに含まれるネットワーク機器毎に、該ネットワーク機器の故障又は性能劣化が前記ネットワークに与える影響の度合いを示す影響度が記憶された影響度リストを受信する影響度リスト受信部と、
前記ネットワークから前記ネットワーク機器に関するログメッセージを収集するログ収集部と、
前記影響度リスト受信部によって受信された影響度リストに含まれるネットワーク機器の影響度が高いほど、前記ログ収集部によって収集された該ネットワーク機器に関するログメッセージに対して高い重要度を設定する重要度設定部と
を備えたことを特徴とするログ管理装置。
【請求項8】
ログ管理装置で実行されるログ管理方法であって、
ネットワークに含まれるネットワーク機器毎に、該ネットワーク機器の故障又は性能劣化が前記ネットワークに与える影響の度合いを示す影響度が記憶された影響度リストを受信する影響度リスト受信工程と、
前記ネットワークから前記ネットワーク機器に関するログメッセージを収集するログ収集工程と、
前記影響度リスト受信工程によって受信された影響度リストに含まれるネットワーク機器の影響度が高いほど、前記ログ収集工程によって収集された該ネットワーク機器に関するログメッセージに対して高い重要度を設定する重要度設定工程と
を含んだことを特徴とするログ管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2013−30092(P2013−30092A)
【公開日】平成25年2月7日(2013.2.7)
【国際特許分類】
【出願番号】特願2011−167186(P2011−167186)
【出願日】平成23年7月29日(2011.7.29)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成25年2月7日(2013.2.7)
【国際特許分類】
【出願日】平成23年7月29日(2011.7.29)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]