異常検知システム及び異常検知プログラム
【課題】各社員からの報告を待たずとも各クライアントコンピュータのアクセス性能を解析し、共有サーバ、クライアントコンピュータ、その間の通信ネットワークの何処に異常があるのか、効率よく異常箇所を判定できる異常検知システムを提供せんとする。
【解決手段】各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を該クライアントコンピュータ又はアクセスを受けた共有サーバから取得する手順と、取得したアクセス性能情報を記憶する手順と、複数のアクセス性能情報に基づき共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する手順とよりなり、異常の判定はアクセス性能が低下したクライアントコンピュータの特定性又はアクセス性能が低下したアプリケーションの特定性に基づき共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する。
【解決手段】各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を該クライアントコンピュータ又はアクセスを受けた共有サーバから取得する手順と、取得したアクセス性能情報を記憶する手順と、複数のアクセス性能情報に基づき共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する手順とよりなり、異常の判定はアクセス性能が低下したクライアントコンピュータの特定性又はアクセス性能が低下したアプリケーションの特定性に基づき共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、会社等のコンピュータネットワークシステムの異常を、効率よく異常箇所を把握し、早期の問題解決に資することのできる異常検知システム及び方法に関する。
【背景技術】
【0002】
従来、会社等においてコンピュータネットワークシステムの環境を管理している情報システム部等では、例えば共有サーバがダウンしていたり、ネットワーク機器が故障していたり、各クライアントコンピュータが故障していたり、空き容量がないために保存行為が行えなかったりして、システム内の異常が生じた場合に、システム担当者が各クライアントコンピュータを操作している社員からアクセス性能低下に関する報告を受けるか、自分で異常を発見するかして対処しなければならず、場合によっては複数の社員からアクセス性能について情報を収集することが必要となる。このような対処をしなければならない状況において、異常やその原因を発見して問題解決するまでに時間がかかり、業務遅滞による影響が大きくなるといった問題がある。
【0003】
これに対し、従来から自動的に上記異常を発見するためのシステムとして、一般のエンドユーザ(クライアント)と同様の方式でシステムサーバにアクセスし、その応答時間やリソース情報を収集し、その応答時間やリソース情報に基づいて性能分析を行い、異常の際には通知を行うようにした異常検知システムが提案されている(例えば、特許文献1〜3参照。)しかしながら、これら提案されている異常検知システムによれば、サーバがダウンしているか、或いはサーバ内に何らかの問題が発生していることが一応予測できるものの、アクセスした監視用の監視コンピュータ自体に異常がある可能性もあり、果たして一般社員のクライアントコンピュータからアクセスしても異常が生じるのか、通信ネットワークに異常がある可能性もあり、どこに解決すべき問題が生じているのか、特定することはできない。
【0004】
【特許文献1】特開2005−18103号公報
【特許文献2】特開2000−29745号公報
【特許文献3】特開2003−30060号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
そこで、本発明が前述の状況に鑑み、解決しようとするところは、各社員からの報告を待たずとも、各クライアントコンピュータのアクセス性能に関する情報を解析し、共有サーバ、クライアントコンピュータ、その間の通信ネットワークの何処に異常がある可能性があるのか、効率よく異常箇所を判定できる異常検知システムを提供する点にある。
【課題を解決するための手段】
【0006】
本発明は、前述の課題解決のために、単又は複数の共有サーバとこれに通信ネットワークを介して接続される複数のクライアントコンピュータと監視コンピュータとからなるネットワークシステムの異常を検知するためのシステムであって、監視コンピュータが、各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を、該クライアントコンピュータ又は前記アクセスを受けた共有サーバから取得するアクセス性能取得手段と、前記複数のアクセス性能情報に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する異常判定手段とを備えた異常検知システムを提供する。
【0007】
また、本発明は、上記した異常検知システムにおいて、前記監視コンピュータを、各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を、該クライアントコンピュータ又は前記アクセスを受けた共有サーバから取得するアクセス性能取得手段、および、前記複数のアクセス性能情報に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する異常判定手段として機能させる異常検知プログラムをも提供する。
【発明の効果】
【0008】
以上にしてなる本願発明によれば、共有サーバに対する各クライアントコンピュータのアクセス性能を自動的に把握し、これを解析して共有サーバ、クライアントコンピュータ、その間の通信ネットワークの何処に異常がある可能性があるのか、効率よく異常箇所を判定でき、致命的な問題ばかりでなく、アクセス速度が以前に比べて遅くなった場合など、クライアントから報告され難い問題も把握して問題の予兆を知ることができ、早期処置が可能となる。
【発明を実施するための最良の形態】
【0009】
次に、本発明の実施形態を添付図面に基づき詳細に説明する。
【0010】
図1は、本発明に係る異常検知システムの全体構成を示す図であり、図1〜6は代表的実施形態を示し、図中符号1は監視コンピュータ、2はクライアントコンピュータ、3は共有サーバ、Nは通信ネットワークをそれぞれ示している。
【0011】
本実施形態の異常検知システムSは、図1に示すように、共有サーバ3,3とこれに通信ネットワークNを介して接続される複数のクライアントコンピュータ2,・・・とより構成されているネットワークシステムにおける異常を検知するものであり、複数のクライアントコンピュータ2,・・・及び共有サーバ3,3のうち少なくとも一方に通信ネットワークNを介して接続される監視コンピュータ1が設けられている。
【0012】
尚、以下の説明においては、監視コンピュータ1がクライアントコンピュータ2,・・・にそれぞれ接続され、各クライアントコンピュータ2のアクセス性能情報をクライアントコンピュータから取得するように構成した例について説明するが、共有サーバ3に接続され、該共有サーバで管理されている各クライアントコンピュータのアクセス性能情報を共有サーバから取得するように構成することや、クライアントコンピュータ2,・・・及び共有サーバ3,3の双方から適宜アクセス性能情報を取得するように構成することもできる。
【0013】
監視コンピュータ1は、単又は複数のコンピュータより構成されるサーバとして機能するコンピュータであり、各クライアントコンピュータ2から操作情報を集めている。操作情報とはクライアントコンピュータでのユーザによるコンピュータ操作に関する種々の情報が含まれ、インターネットサイトへのアクセスやメール送信、アプリケーションの使用などの各種操作ログは勿論のこと、コンピュータ画面に表示されている画面情報を録画したものや、マウス等のポインティングデバイスの操作履歴情報、キーボードの操作履歴情報、オーディオドライバやオーディオデバイスから取得される音出力情報など、適宜必要に応じて設定すればよい。操作ログの中にサーバーへのアクセスログも含まれており、その際のアクセス性能情報が含まれる。図2に示すように、処理装置10を中心に、記憶手段11、通信制御部12、その他必要に応じて入力操作装置や表示装置が接続されており、処理装置10は、マイクロプロセッサ等のCPUを主体に構成され、図示しないRAM、ROMからなる記憶部を有して各種処理動作の手順を規定するプログラムや処理データが記憶される。
【0014】
処理装置10は、機能的には、各クライアントコンピュータ2から共有サーバ3へのアクセス性能に関する情報を、該クライアントコンピュータ2から取得するアクセス性能取得処理部10aと、複数のクライアントコンピュータ2,・・・のアクセス性能情報に基づき、共有サーバ3,3、クライアントコンピュータ2,・・・又はその間の通信ネットワークNの異常可能性の有無を判定する異常判定処理部10bとを少なくとも備えており、これら機能は上記プログラムにより実現される。
【0015】
記憶手段11は、監視コンピュータ1内外のハードディスク等からなり、取得したアクセス性能情報を記憶するアクセス性能記憶部11aを少なくとも備えている。これら記憶手段11としては、上記ハードディスク等以外に、一時記憶領域に保存するようなケースも勿論含まれる。
【0016】
本例では、図1に示すように単一のコンピュータの処理装置10、記憶手段11にこれら機能、記憶部を設けた例について説明しているが、複数のコンピュータによりこれら機能、記憶部を分担させて構成してもよい。また、監視コンピュータ1は必ずしも固定されたコンピュータとは限らず、複数のクライアントコンピュータ2,・・・のうち任意のものを監視コンピュータ1として指定し、他のコンピュータをクライアントコンピュータとして機能させることも勿論でき、共有サーバ3を監視コンピュータ1として機能させることも可能である。
【0017】
アクセス性能取得処理部10aは、各クライアントコンピュータ2で生成されるアクセス性能情報を受信し、これを記憶手段11のアクセス性能記憶部11aに記憶するものであり、受信したアクセス性能情報に対して各クライアントコンピュータの所属ネットワークグループの情報の追加を行う。尚、各クライアントコンピュータ2側でアクセス性能の評価などの情報を生成した状態で監視コンピュータ1に送信するものや、アクセス性能情報の内容、記憶管理内容を異なるものとすることも勿論可能である。
【0018】
そして、異常判定処理部10bは、取得したアクセス性能情報に基づき、アクセス性能が低下したクライアントコンピュータの特定性又はアクセス性能が低下したアプリケーションの特定性を評価し、その特定性に応じて共有サーバ3、クライアントコンピュータ2又はその間の通信ネットワークNの異常可能性の有無を判定するのである。特定性とは、アクセス性能が低下したクライアントコンピュータ2が特定できるか、どの程度の数あるか等である。具体的には、特定のクライアントコンピュータ2のみアクセス性能が低下している場合、該クライアントコンピュータ2自体に異常の可能性があると判定したり、その中でも特定のアプリケーションのみアクセス性能が低下している場合は、該クライアントコンピュータが使用している当該アプリケーションに異常の可能性があると判定する。クライアントコンピュータのアクセスログには、クライアントコンピュータで操作対象のアプリケーション名とそのアプリケーションに基づくアクセス性能情報が含まれており、このアプリケーションごとのアクセス性能情報がアプリケーションのアクセス性能情報になる。
【0019】
また、例えば、特定の共有サーバ3にアクセスしたクライアントコンピュータ2,・・・のうち所定の数及び割合の少なくとも何れか一つを超えるクライアントコンピュータのアクセス性能が低下している場合、当該特定の共有サーバ3又は通信ネットワークに異常の可能性があると判定したり、複数の共有サーバ3,3に対して夫々アクセスしたクライアントコンピュータ2,・・・のうち所定の数及び割合の少なくとも何れか一つを超えるクライアントコンピュータのアクセス性能が低下している場合、通信ネットワークNに異常の可能性があると判定する。所定の数や割合は、全て(100%)でもよいし、適宜閾値を設定すればよい。更に、共有サーバ3に対してアクセスした複数のクライアントコンピュータ2,・・・のうち、特定の通信ネットワークグループn1(n2)に属しているクライアントコンピュータのアクセス性能が低下している場合に、前記特定の通信ネットワークグループn1(n2)に関連する通信ネットワークに異常の可能性があると判定することなどが行われる。ネットワークグループとは、ネットワークドメインやセグメント情報などを利用して分けられたグループとしてもよく、他の方法でもよい。また、アクセス性能の経時的変化から段階的に判断することもできる。
【0020】
各クライアントコンピュータ2は、図3に示すように、処理装置20を中心に、記憶手段21、ディスプレイ22、マウスやキーボード等の入力操作手段23、通信制御部24が接続された従来から汎用されているコンピュータ装置からなり、処理装置20は、マイクロプロセッサなどのCPUを主体に構成され、図示しないRAM、ROMからなる記憶部を有して各種処理動作の手順を規定するプログラムや処理データが記憶される。
【0021】
処理装置20は、機能的には、共有サーバ3にアクセスした際のアクセス情報、アクセス所要時間などのアクセス性能情報を生成し、これをアクセス性能記憶部21aに記憶管理するアクセス性能情報生成部20aと、アクセス性能記憶部21aから前記生成されたアクセス性能情報を監視コンピュータ1に対して送信するアクセス性能情報送信処理部20bとを少なくとも備え、これら機能は上記プログラムにより実現される。また、記憶手段21は、コンピュータ内外のハードディスクやメモリ等からなり、前記アクセス性能記憶部21aを少なくとも有している。
【0022】
このクライアントコンピュータ2で生成されるアクセス性能情報は、具体的には、アクセス開始時刻、アクセスした共有サーバ3の識別情報、アクセスした情報内容、使用したアプリケーション情報、所要時間、レスポンスタイム、ネットワークコンフリクト、経由した通信ネットワーク情報等からなり、アクセスする毎に前記アクセス性能情報s生成部20aにより生成され、アクセス性能記憶部21aに記憶管理され、適宜監視コンピュータ1に対して送信される。アクセス性能とは、クライアントコンピュータから共有サーバにアクセスして情報等を取得するまでの時間や、取得できなかった情報があるかどうかといったものをいい、その他の性能を含めても勿論よい。アクセス性能の低下とは取得するまでの時間が遅いことをいう。これらの情報はアプリケーション毎に収集されてもよい。
【0023】
共有サーバ3は、従来から公知のファイルサーバやデータベースサーバ等とすることができ、図4に示すように、処理装置30を中心に、記憶手段31、通信制御部32、その他必要に応じて入力操作装置や表示装置が接続されており、処理装置30は、マイクロプロセッサ等のCPUを主体に構成されるコンピュータであり、図示しないRAM、ROMからなる記憶部を有して各種処理動作の手順を規定するプログラムや処理データが記憶される。共有サーバ3は、各クライアントに利用可能に共有されており、各クライアントコンピュータ2からアクセスを受けて、その要求されたファイル等の情報を送信する。
【0024】
以上、本発明の異常検知システムの代表的実施形態を説明したが、本発明の異常判定手段が、前記アクセス性能が低下したクライアントコンピュータの特定性又は前記アクセス性能が低下したアプリケーションの特定性に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定してもよい。より具体的には、前記異常判定手段が、特定のクライアントコンピュータのみアクセス性能が低下している場合に、前記アプリケーション毎のアクセス性能情報に基づき、該クライアントコンピュータに異常の可能性があると判定することが好ましい。
【0025】
また、前記アクセス性能取得手段が、アプリケーション毎のアクセス性能情報を取得してなり、前記異常判定手段が、特定のクライアントコンピュータのみアクセス性能が低下している場合に、前記アプリケーション毎のアクセス性能情報に基づき、該クライアントコンピュータが使用しているアプリケーションに異常の可能性があると判定することが好ましい。更に、前記異常判定手段が、前記共有サーバに対してアクセスしたクライアントコンピュータのうち所定の数及び割合の少なくとも何れか一つを超えるクライアントコンピュータのアクセス性能が低下している場合に、当該共有サーバ又は通信ネットワークに異常の可能性があると判定することが好ましい。特に、前記異常判定手段が、複数の共有サーバに対して夫々アクセスしたクライアントコンピュータのうち所定の数及び割合の少なくとも何れか一つを超えるクライアントコンピュータのアクセス性能が低下している場合に、通信ネットワークに異常の可能性があると判定することが好ましい。また、異常判定手段が、前記共有サーバに対してアクセスした複数のクライアントコンピュータのうち、特定の通信ネットワークグループに属しているクライアントコンピュータのアクセス性能が低下している場合に、前記特定の通信ネットワークグループに関連する通信ネットワークに異常の可能性があると判定することが好ましい。
【0026】
また本発明の異常検知システムによれば、単又は複数の共有サーバとこれに通信ネットワークを介して接続される複数のクライアントコンピュータとからなるネットワークシステムの異常を検知するための方法であって、監視コンピュータが、各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を、該クライアントコンピュータ又は前記アクセスを受けた共有サーバから取得する手順と、前記取得したアクセス性能情報を記憶する手順と、前記複数のアクセス性能情報に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する手順とよりなることを特徴とする異常検知方法が提供される。
【0027】
以下、図5、6のフロー図に基づき、本発明の異常検知方法の各手順の詳細を説明する。
【0028】
監視コンピュータ1のアクセス性能取得処理部10aは、各クライアントコンピュータ2から共有サーバ3へアクセスした際のアクセス性能情報を、該クライアントコンピュータ2から取得し(S101)、取得したアクセス性能情報をアクセス性能記憶部21aに記憶する(S102)。なお、アクセスを受けた共有サーバ3が各クライアントコンピュータのアクセス性能情報を生成・蓄積して監視コンピュータ1に送信するようにしてもよいことは上記の通りである。
【0029】
異常判定処理部10bは、記憶された複数のアクセス性能情報に基づき、共有サーバ3、クライアントコンピュータ2又はその間の通信ネットワークNの異常可能性の有無を判定し(S103)、異常の可能性があれば、クライアントコンピュータ2や管理者に通知する(S104)。S104の通知手段として、監視コンピュータ1のディスプレイに警告表示をポップアップ等で通知したり、管理者端末に対して警告メールを送信するなど、種々の手段を採用できる。
【0030】
次に、S103の異常判定ステップについて、より詳細に説明する。異常判定処理部10bは、具体的には、アクセス性能が低下したクライアントコンピュータ2が特定できるか、どの程度の数あるか等や、アクセス性能が低下したアプリケーションが特定できるかなどに基づいて異常の可能性があるかどうかを判定することとなる。
【0031】
例えば本例では、図6に示すように、まずアクセス性能が低下しているクライアントコンピュータの数又は割合を把握し(S201)、S202において、所定の数及び割合の少なくとも何れか一つを超えるかどうか判定して、超えなかった場合は、更に特定のクライアントのみ低下しているのかどうかを判定し(S203)、特定のクライアントのみ低下している場合は、当該クライアントコンピュータ2に異常の可能性があると判定し(S204)、さらに該クライアントコンピュータが使用しているアプリケーションのうち、特定のアプリケーションを使用する際にアクセス性能が低下しているのかどうか判定し(S205)、特定のアプリケーション使用時にのみ低下していた場合には、当該特定のアプリケーションに異常の可能性があると判定する(S206)。
【0032】
S202において、所定の数又は割合を超えた場合は、更に複数の共有サーバへのアクセスで同じようなアクセス性能の低下現象が生じているかどうか判定し(S207)、特定の共有サーバだけで現象が生じている場合には、当該共有サーバの異常であると判定し(S208)、同じような現象が複数の共有サーバで生じている場合には通信ネットワークの異常であると判定し(S209)、さらに、当該アクセス性能低下しているクライアントコンピュータが特定の通信ネットワークグループに属しているかどうか判定し(S210)、属しておれば当該特定の通信ネットワークグループに関連する通信ネットワークに異常の可能性があると判定する(S211)。
【0033】
以上、本発明の実施形態について説明したが、本発明はこうした実施例に何ら限定されるものではなく、本発明の要旨を逸脱しない範囲において種々なる形態で実施し得ることは勿論である。
【図面の簡単な説明】
【0034】
【図1】本発明の代表的実施形態に係る異常検知システムの構成を示す説明図。
【図2】同じく異常検知システムにおける監視コンピュータの構成を示すブロック図。
【図3】同じくクライアントコンピュータの構成を示すブロック図。
【図4】同じく共有サーバの構成を示すブロック図。
【図5】同じく異常検知システムにおける処理手順を示すフロー図。
【図6】同じく異常判定の処理手順の詳細を示すフロー図。
【符号の説明】
【0035】
S 異常検知システム
N 通信ネットワーク
n1,n2 通信ネットワークグループ
1 監視コンピュータ
2 クライアントコンピュータ
3 共有サーバ
10 処理装置
10a アクセス性能取得処理部
10b 異常判定処理部
11 記憶手段
11a アクセス性能記憶部
12 通信制御部
20 処理装置
20a アクセス性能情報生成部
20b アクセス性能情報送信処理部
21 記憶手段
21a アクセス性能記憶部
22 ディスプレイ
23 入力操作手段
24 通信制御部
30 処理装置
31 記憶手段
32 通信制御部
【技術分野】
【0001】
本発明は、会社等のコンピュータネットワークシステムの異常を、効率よく異常箇所を把握し、早期の問題解決に資することのできる異常検知システム及び方法に関する。
【背景技術】
【0002】
従来、会社等においてコンピュータネットワークシステムの環境を管理している情報システム部等では、例えば共有サーバがダウンしていたり、ネットワーク機器が故障していたり、各クライアントコンピュータが故障していたり、空き容量がないために保存行為が行えなかったりして、システム内の異常が生じた場合に、システム担当者が各クライアントコンピュータを操作している社員からアクセス性能低下に関する報告を受けるか、自分で異常を発見するかして対処しなければならず、場合によっては複数の社員からアクセス性能について情報を収集することが必要となる。このような対処をしなければならない状況において、異常やその原因を発見して問題解決するまでに時間がかかり、業務遅滞による影響が大きくなるといった問題がある。
【0003】
これに対し、従来から自動的に上記異常を発見するためのシステムとして、一般のエンドユーザ(クライアント)と同様の方式でシステムサーバにアクセスし、その応答時間やリソース情報を収集し、その応答時間やリソース情報に基づいて性能分析を行い、異常の際には通知を行うようにした異常検知システムが提案されている(例えば、特許文献1〜3参照。)しかしながら、これら提案されている異常検知システムによれば、サーバがダウンしているか、或いはサーバ内に何らかの問題が発生していることが一応予測できるものの、アクセスした監視用の監視コンピュータ自体に異常がある可能性もあり、果たして一般社員のクライアントコンピュータからアクセスしても異常が生じるのか、通信ネットワークに異常がある可能性もあり、どこに解決すべき問題が生じているのか、特定することはできない。
【0004】
【特許文献1】特開2005−18103号公報
【特許文献2】特開2000−29745号公報
【特許文献3】特開2003−30060号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
そこで、本発明が前述の状況に鑑み、解決しようとするところは、各社員からの報告を待たずとも、各クライアントコンピュータのアクセス性能に関する情報を解析し、共有サーバ、クライアントコンピュータ、その間の通信ネットワークの何処に異常がある可能性があるのか、効率よく異常箇所を判定できる異常検知システムを提供する点にある。
【課題を解決するための手段】
【0006】
本発明は、前述の課題解決のために、単又は複数の共有サーバとこれに通信ネットワークを介して接続される複数のクライアントコンピュータと監視コンピュータとからなるネットワークシステムの異常を検知するためのシステムであって、監視コンピュータが、各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を、該クライアントコンピュータ又は前記アクセスを受けた共有サーバから取得するアクセス性能取得手段と、前記複数のアクセス性能情報に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する異常判定手段とを備えた異常検知システムを提供する。
【0007】
また、本発明は、上記した異常検知システムにおいて、前記監視コンピュータを、各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を、該クライアントコンピュータ又は前記アクセスを受けた共有サーバから取得するアクセス性能取得手段、および、前記複数のアクセス性能情報に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する異常判定手段として機能させる異常検知プログラムをも提供する。
【発明の効果】
【0008】
以上にしてなる本願発明によれば、共有サーバに対する各クライアントコンピュータのアクセス性能を自動的に把握し、これを解析して共有サーバ、クライアントコンピュータ、その間の通信ネットワークの何処に異常がある可能性があるのか、効率よく異常箇所を判定でき、致命的な問題ばかりでなく、アクセス速度が以前に比べて遅くなった場合など、クライアントから報告され難い問題も把握して問題の予兆を知ることができ、早期処置が可能となる。
【発明を実施するための最良の形態】
【0009】
次に、本発明の実施形態を添付図面に基づき詳細に説明する。
【0010】
図1は、本発明に係る異常検知システムの全体構成を示す図であり、図1〜6は代表的実施形態を示し、図中符号1は監視コンピュータ、2はクライアントコンピュータ、3は共有サーバ、Nは通信ネットワークをそれぞれ示している。
【0011】
本実施形態の異常検知システムSは、図1に示すように、共有サーバ3,3とこれに通信ネットワークNを介して接続される複数のクライアントコンピュータ2,・・・とより構成されているネットワークシステムにおける異常を検知するものであり、複数のクライアントコンピュータ2,・・・及び共有サーバ3,3のうち少なくとも一方に通信ネットワークNを介して接続される監視コンピュータ1が設けられている。
【0012】
尚、以下の説明においては、監視コンピュータ1がクライアントコンピュータ2,・・・にそれぞれ接続され、各クライアントコンピュータ2のアクセス性能情報をクライアントコンピュータから取得するように構成した例について説明するが、共有サーバ3に接続され、該共有サーバで管理されている各クライアントコンピュータのアクセス性能情報を共有サーバから取得するように構成することや、クライアントコンピュータ2,・・・及び共有サーバ3,3の双方から適宜アクセス性能情報を取得するように構成することもできる。
【0013】
監視コンピュータ1は、単又は複数のコンピュータより構成されるサーバとして機能するコンピュータであり、各クライアントコンピュータ2から操作情報を集めている。操作情報とはクライアントコンピュータでのユーザによるコンピュータ操作に関する種々の情報が含まれ、インターネットサイトへのアクセスやメール送信、アプリケーションの使用などの各種操作ログは勿論のこと、コンピュータ画面に表示されている画面情報を録画したものや、マウス等のポインティングデバイスの操作履歴情報、キーボードの操作履歴情報、オーディオドライバやオーディオデバイスから取得される音出力情報など、適宜必要に応じて設定すればよい。操作ログの中にサーバーへのアクセスログも含まれており、その際のアクセス性能情報が含まれる。図2に示すように、処理装置10を中心に、記憶手段11、通信制御部12、その他必要に応じて入力操作装置や表示装置が接続されており、処理装置10は、マイクロプロセッサ等のCPUを主体に構成され、図示しないRAM、ROMからなる記憶部を有して各種処理動作の手順を規定するプログラムや処理データが記憶される。
【0014】
処理装置10は、機能的には、各クライアントコンピュータ2から共有サーバ3へのアクセス性能に関する情報を、該クライアントコンピュータ2から取得するアクセス性能取得処理部10aと、複数のクライアントコンピュータ2,・・・のアクセス性能情報に基づき、共有サーバ3,3、クライアントコンピュータ2,・・・又はその間の通信ネットワークNの異常可能性の有無を判定する異常判定処理部10bとを少なくとも備えており、これら機能は上記プログラムにより実現される。
【0015】
記憶手段11は、監視コンピュータ1内外のハードディスク等からなり、取得したアクセス性能情報を記憶するアクセス性能記憶部11aを少なくとも備えている。これら記憶手段11としては、上記ハードディスク等以外に、一時記憶領域に保存するようなケースも勿論含まれる。
【0016】
本例では、図1に示すように単一のコンピュータの処理装置10、記憶手段11にこれら機能、記憶部を設けた例について説明しているが、複数のコンピュータによりこれら機能、記憶部を分担させて構成してもよい。また、監視コンピュータ1は必ずしも固定されたコンピュータとは限らず、複数のクライアントコンピュータ2,・・・のうち任意のものを監視コンピュータ1として指定し、他のコンピュータをクライアントコンピュータとして機能させることも勿論でき、共有サーバ3を監視コンピュータ1として機能させることも可能である。
【0017】
アクセス性能取得処理部10aは、各クライアントコンピュータ2で生成されるアクセス性能情報を受信し、これを記憶手段11のアクセス性能記憶部11aに記憶するものであり、受信したアクセス性能情報に対して各クライアントコンピュータの所属ネットワークグループの情報の追加を行う。尚、各クライアントコンピュータ2側でアクセス性能の評価などの情報を生成した状態で監視コンピュータ1に送信するものや、アクセス性能情報の内容、記憶管理内容を異なるものとすることも勿論可能である。
【0018】
そして、異常判定処理部10bは、取得したアクセス性能情報に基づき、アクセス性能が低下したクライアントコンピュータの特定性又はアクセス性能が低下したアプリケーションの特定性を評価し、その特定性に応じて共有サーバ3、クライアントコンピュータ2又はその間の通信ネットワークNの異常可能性の有無を判定するのである。特定性とは、アクセス性能が低下したクライアントコンピュータ2が特定できるか、どの程度の数あるか等である。具体的には、特定のクライアントコンピュータ2のみアクセス性能が低下している場合、該クライアントコンピュータ2自体に異常の可能性があると判定したり、その中でも特定のアプリケーションのみアクセス性能が低下している場合は、該クライアントコンピュータが使用している当該アプリケーションに異常の可能性があると判定する。クライアントコンピュータのアクセスログには、クライアントコンピュータで操作対象のアプリケーション名とそのアプリケーションに基づくアクセス性能情報が含まれており、このアプリケーションごとのアクセス性能情報がアプリケーションのアクセス性能情報になる。
【0019】
また、例えば、特定の共有サーバ3にアクセスしたクライアントコンピュータ2,・・・のうち所定の数及び割合の少なくとも何れか一つを超えるクライアントコンピュータのアクセス性能が低下している場合、当該特定の共有サーバ3又は通信ネットワークに異常の可能性があると判定したり、複数の共有サーバ3,3に対して夫々アクセスしたクライアントコンピュータ2,・・・のうち所定の数及び割合の少なくとも何れか一つを超えるクライアントコンピュータのアクセス性能が低下している場合、通信ネットワークNに異常の可能性があると判定する。所定の数や割合は、全て(100%)でもよいし、適宜閾値を設定すればよい。更に、共有サーバ3に対してアクセスした複数のクライアントコンピュータ2,・・・のうち、特定の通信ネットワークグループn1(n2)に属しているクライアントコンピュータのアクセス性能が低下している場合に、前記特定の通信ネットワークグループn1(n2)に関連する通信ネットワークに異常の可能性があると判定することなどが行われる。ネットワークグループとは、ネットワークドメインやセグメント情報などを利用して分けられたグループとしてもよく、他の方法でもよい。また、アクセス性能の経時的変化から段階的に判断することもできる。
【0020】
各クライアントコンピュータ2は、図3に示すように、処理装置20を中心に、記憶手段21、ディスプレイ22、マウスやキーボード等の入力操作手段23、通信制御部24が接続された従来から汎用されているコンピュータ装置からなり、処理装置20は、マイクロプロセッサなどのCPUを主体に構成され、図示しないRAM、ROMからなる記憶部を有して各種処理動作の手順を規定するプログラムや処理データが記憶される。
【0021】
処理装置20は、機能的には、共有サーバ3にアクセスした際のアクセス情報、アクセス所要時間などのアクセス性能情報を生成し、これをアクセス性能記憶部21aに記憶管理するアクセス性能情報生成部20aと、アクセス性能記憶部21aから前記生成されたアクセス性能情報を監視コンピュータ1に対して送信するアクセス性能情報送信処理部20bとを少なくとも備え、これら機能は上記プログラムにより実現される。また、記憶手段21は、コンピュータ内外のハードディスクやメモリ等からなり、前記アクセス性能記憶部21aを少なくとも有している。
【0022】
このクライアントコンピュータ2で生成されるアクセス性能情報は、具体的には、アクセス開始時刻、アクセスした共有サーバ3の識別情報、アクセスした情報内容、使用したアプリケーション情報、所要時間、レスポンスタイム、ネットワークコンフリクト、経由した通信ネットワーク情報等からなり、アクセスする毎に前記アクセス性能情報s生成部20aにより生成され、アクセス性能記憶部21aに記憶管理され、適宜監視コンピュータ1に対して送信される。アクセス性能とは、クライアントコンピュータから共有サーバにアクセスして情報等を取得するまでの時間や、取得できなかった情報があるかどうかといったものをいい、その他の性能を含めても勿論よい。アクセス性能の低下とは取得するまでの時間が遅いことをいう。これらの情報はアプリケーション毎に収集されてもよい。
【0023】
共有サーバ3は、従来から公知のファイルサーバやデータベースサーバ等とすることができ、図4に示すように、処理装置30を中心に、記憶手段31、通信制御部32、その他必要に応じて入力操作装置や表示装置が接続されており、処理装置30は、マイクロプロセッサ等のCPUを主体に構成されるコンピュータであり、図示しないRAM、ROMからなる記憶部を有して各種処理動作の手順を規定するプログラムや処理データが記憶される。共有サーバ3は、各クライアントに利用可能に共有されており、各クライアントコンピュータ2からアクセスを受けて、その要求されたファイル等の情報を送信する。
【0024】
以上、本発明の異常検知システムの代表的実施形態を説明したが、本発明の異常判定手段が、前記アクセス性能が低下したクライアントコンピュータの特定性又は前記アクセス性能が低下したアプリケーションの特定性に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定してもよい。より具体的には、前記異常判定手段が、特定のクライアントコンピュータのみアクセス性能が低下している場合に、前記アプリケーション毎のアクセス性能情報に基づき、該クライアントコンピュータに異常の可能性があると判定することが好ましい。
【0025】
また、前記アクセス性能取得手段が、アプリケーション毎のアクセス性能情報を取得してなり、前記異常判定手段が、特定のクライアントコンピュータのみアクセス性能が低下している場合に、前記アプリケーション毎のアクセス性能情報に基づき、該クライアントコンピュータが使用しているアプリケーションに異常の可能性があると判定することが好ましい。更に、前記異常判定手段が、前記共有サーバに対してアクセスしたクライアントコンピュータのうち所定の数及び割合の少なくとも何れか一つを超えるクライアントコンピュータのアクセス性能が低下している場合に、当該共有サーバ又は通信ネットワークに異常の可能性があると判定することが好ましい。特に、前記異常判定手段が、複数の共有サーバに対して夫々アクセスしたクライアントコンピュータのうち所定の数及び割合の少なくとも何れか一つを超えるクライアントコンピュータのアクセス性能が低下している場合に、通信ネットワークに異常の可能性があると判定することが好ましい。また、異常判定手段が、前記共有サーバに対してアクセスした複数のクライアントコンピュータのうち、特定の通信ネットワークグループに属しているクライアントコンピュータのアクセス性能が低下している場合に、前記特定の通信ネットワークグループに関連する通信ネットワークに異常の可能性があると判定することが好ましい。
【0026】
また本発明の異常検知システムによれば、単又は複数の共有サーバとこれに通信ネットワークを介して接続される複数のクライアントコンピュータとからなるネットワークシステムの異常を検知するための方法であって、監視コンピュータが、各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を、該クライアントコンピュータ又は前記アクセスを受けた共有サーバから取得する手順と、前記取得したアクセス性能情報を記憶する手順と、前記複数のアクセス性能情報に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する手順とよりなることを特徴とする異常検知方法が提供される。
【0027】
以下、図5、6のフロー図に基づき、本発明の異常検知方法の各手順の詳細を説明する。
【0028】
監視コンピュータ1のアクセス性能取得処理部10aは、各クライアントコンピュータ2から共有サーバ3へアクセスした際のアクセス性能情報を、該クライアントコンピュータ2から取得し(S101)、取得したアクセス性能情報をアクセス性能記憶部21aに記憶する(S102)。なお、アクセスを受けた共有サーバ3が各クライアントコンピュータのアクセス性能情報を生成・蓄積して監視コンピュータ1に送信するようにしてもよいことは上記の通りである。
【0029】
異常判定処理部10bは、記憶された複数のアクセス性能情報に基づき、共有サーバ3、クライアントコンピュータ2又はその間の通信ネットワークNの異常可能性の有無を判定し(S103)、異常の可能性があれば、クライアントコンピュータ2や管理者に通知する(S104)。S104の通知手段として、監視コンピュータ1のディスプレイに警告表示をポップアップ等で通知したり、管理者端末に対して警告メールを送信するなど、種々の手段を採用できる。
【0030】
次に、S103の異常判定ステップについて、より詳細に説明する。異常判定処理部10bは、具体的には、アクセス性能が低下したクライアントコンピュータ2が特定できるか、どの程度の数あるか等や、アクセス性能が低下したアプリケーションが特定できるかなどに基づいて異常の可能性があるかどうかを判定することとなる。
【0031】
例えば本例では、図6に示すように、まずアクセス性能が低下しているクライアントコンピュータの数又は割合を把握し(S201)、S202において、所定の数及び割合の少なくとも何れか一つを超えるかどうか判定して、超えなかった場合は、更に特定のクライアントのみ低下しているのかどうかを判定し(S203)、特定のクライアントのみ低下している場合は、当該クライアントコンピュータ2に異常の可能性があると判定し(S204)、さらに該クライアントコンピュータが使用しているアプリケーションのうち、特定のアプリケーションを使用する際にアクセス性能が低下しているのかどうか判定し(S205)、特定のアプリケーション使用時にのみ低下していた場合には、当該特定のアプリケーションに異常の可能性があると判定する(S206)。
【0032】
S202において、所定の数又は割合を超えた場合は、更に複数の共有サーバへのアクセスで同じようなアクセス性能の低下現象が生じているかどうか判定し(S207)、特定の共有サーバだけで現象が生じている場合には、当該共有サーバの異常であると判定し(S208)、同じような現象が複数の共有サーバで生じている場合には通信ネットワークの異常であると判定し(S209)、さらに、当該アクセス性能低下しているクライアントコンピュータが特定の通信ネットワークグループに属しているかどうか判定し(S210)、属しておれば当該特定の通信ネットワークグループに関連する通信ネットワークに異常の可能性があると判定する(S211)。
【0033】
以上、本発明の実施形態について説明したが、本発明はこうした実施例に何ら限定されるものではなく、本発明の要旨を逸脱しない範囲において種々なる形態で実施し得ることは勿論である。
【図面の簡単な説明】
【0034】
【図1】本発明の代表的実施形態に係る異常検知システムの構成を示す説明図。
【図2】同じく異常検知システムにおける監視コンピュータの構成を示すブロック図。
【図3】同じくクライアントコンピュータの構成を示すブロック図。
【図4】同じく共有サーバの構成を示すブロック図。
【図5】同じく異常検知システムにおける処理手順を示すフロー図。
【図6】同じく異常判定の処理手順の詳細を示すフロー図。
【符号の説明】
【0035】
S 異常検知システム
N 通信ネットワーク
n1,n2 通信ネットワークグループ
1 監視コンピュータ
2 クライアントコンピュータ
3 共有サーバ
10 処理装置
10a アクセス性能取得処理部
10b 異常判定処理部
11 記憶手段
11a アクセス性能記憶部
12 通信制御部
20 処理装置
20a アクセス性能情報生成部
20b アクセス性能情報送信処理部
21 記憶手段
21a アクセス性能記憶部
22 ディスプレイ
23 入力操作手段
24 通信制御部
30 処理装置
31 記憶手段
32 通信制御部
【特許請求の範囲】
【請求項1】
単又は複数の共有サーバとこれに通信ネットワークを介して接続される複数のクライアントコンピュータと監視コンピュータとからなるネットワークシステムの異常を検知するためのシステムであって、
監視コンピュータが、
各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を、該クライアントコンピュータ又は前記アクセスを受けた共有サーバから取得するアクセス性能取得手段と、
前記複数のアクセス性能情報に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する異常判定手段と、
を備えた異常検知システム。
【請求項2】
請求項1記載の異常検知システムにおいて、
前記監視コンピュータを、
各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を、該クライアントコンピュータ又は前記アクセスを受けた共有サーバから取得するアクセス性能取得手段、
および、前記複数のアクセス性能情報に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する異常判定手段として機能させる異常検知プログラム。
【請求項1】
単又は複数の共有サーバとこれに通信ネットワークを介して接続される複数のクライアントコンピュータと監視コンピュータとからなるネットワークシステムの異常を検知するためのシステムであって、
監視コンピュータが、
各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を、該クライアントコンピュータ又は前記アクセスを受けた共有サーバから取得するアクセス性能取得手段と、
前記複数のアクセス性能情報に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する異常判定手段と、
を備えた異常検知システム。
【請求項2】
請求項1記載の異常検知システムにおいて、
前記監視コンピュータを、
各クライアントコンピュータから共有サーバへのアクセス性能に関する情報を、該クライアントコンピュータ又は前記アクセスを受けた共有サーバから取得するアクセス性能取得手段、
および、前記複数のアクセス性能情報に基づき、前記共有サーバ、クライアントコンピュータ又はその間の通信ネットワークの異常可能性の有無を判定する異常判定手段として機能させる異常検知プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2009−80753(P2009−80753A)
【公開日】平成21年4月16日(2009.4.16)
【国際特許分類】
【出願番号】特願2007−251153(P2007−251153)
【出願日】平成19年9月27日(2007.9.27)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
【公開日】平成21年4月16日(2009.4.16)
【国際特許分類】
【出願日】平成19年9月27日(2007.9.27)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
[ Back to top ]