ホーム > 特許ランキング > 株式会社日立システムズ
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5768086
(24)【登録日】2015年6月26日
(45)【発行日】2015年8月26日
(54)【発明の名称】監視装置、プログラムおよび監視方法
(51)【国際特許分類】
G06F 11/30 20060101AFI20150806BHJP
G06F 11/34 20060101ALI20150806BHJP
【FI】
G06F11/30 310A
G06F11/34 B
【請求項の数】8
【全頁数】15
(21)【出願番号】特願2013-96306(P2013-96306)
(22)【出願日】2013年5月1日
(65)【公開番号】特開2014-219719(P2014-219719A)
(43)【公開日】2014年11月20日
【審査請求日】2013年11月29日
(73)【特許権者】
【識別番号】000233491
【氏名又は名称】株式会社日立システムズ
(74)【代理人】
【識別番号】110000198
【氏名又は名称】特許業務法人湘洋内外特許事務所
(72)【発明者】
【氏名】渡部 剛史
【審査官】
多胡 滋
(56)【参考文献】
【文献】
特開2005−267434(JP,A)
【文献】
特開2010−231646(JP,A)
【文献】
特開2000−010826(JP,A)
【文献】
特開2002−140209(JP,A)
【文献】
特開2002−141920(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/30
G06F 11/34
(57)【特許請求の範囲】
【請求項1】
監視対象のログを特定する情報と、前記監視対象のログの更新を示す情報の受信時を特定する情報と、前記監視対象のログごとに受信の有無を監視する間隔を特定する情報と、を格納する記憶部と、
前記監視対象のログの更新の最新の受信時が前記間隔で特定される期間内であるか否かを判定して前記監視対象のログの受信停止を検出する受信停止検出部と、
前記受信停止検出部により受信停止が検出されたことを所定の通知先へ通知する受信停止通知部と、
前記受信停止検出部において受信停止が検出された監視対象のログについて、受信停止が検出された時刻が所定の営業時間に含まれるか否かを判定し、前記営業時間に含まれるのであれば前記監視する間隔をより長くし、前記営業時間に含まれない場合には前記監視する間隔を維持する監視間隔調整部と、
を備えることを特徴とする監視装置。
前記監視対象のログの更新の最新の受信時が前記間隔で特定される期間内であるか否かを判定して前記監視対象のログの受信停止を検出する受信停止検出部と、
前記受信停止検出部により受信停止が検出されたことを所定の通知先へ通知する受信停止通知部と、
前記受信停止検出部において受信停止が検出された監視対象のログについて、受信停止が検出された時刻が所定の営業時間に含まれるか否かを判定し、前記営業時間に含まれるのであれば前記監視する間隔をより長くし、前記営業時間に含まれない場合には前記監視する間隔を維持する監視間隔調整部と、
を備えることを特徴とする監視装置。
【請求項2】
請求項1に記載の監視装置であって、
前記受信停止検出部により受信停止が検出された後、前記監視する間隔の間に受信停止が検出されない期間がある場合に、受信再開を検出する受信再開検出部と、
前記受信再開検出部により受信再開が検出されたことを所定の通知先へ通知する受信再開通知部と、
を備えることを特徴とする監視装置。
前記受信停止検出部により受信停止が検出された後、前記監視する間隔の間に受信停止が検出されない期間がある場合に、受信再開を検出する受信再開検出部と、
前記受信再開検出部により受信再開が検出されたことを所定の通知先へ通知する受信再開通知部と、
を備えることを特徴とする監視装置。
【請求項3】
請求項2に記載の監視装置であって、
前記監視間隔調整部は、前記監視の間隔の調整において、前記受信停止が検出されなくなるまで前記監視の間隔を徐々に長く設定することで実施する、
ことを特徴とする監視装置。
前記監視間隔調整部は、前記監視の間隔の調整において、前記受信停止が検出されなくなるまで前記監視の間隔を徐々に長く設定することで実施する、
ことを特徴とする監視装置。
【請求項4】
請求項2または3に記載の監視装置であって、
前記記憶部には、前記監視対象のログごとに前記監視する間隔の最長となる間隔を特定する最長間隔情報が格納され、
前記監視間隔調整部は、前記監視対象のログに応じて前記最長間隔情報で特定される間隔を超えない範囲で、前記調整処理において前記監視の間隔を設定する、
ことを特徴とする監視装置。
前記記憶部には、前記監視対象のログごとに前記監視する間隔の最長となる間隔を特定する最長間隔情報が格納され、
前記監視間隔調整部は、前記監視対象のログに応じて前記最長間隔情報で特定される間隔を超えない範囲で、前記調整処理において前記監視の間隔を設定する、
ことを特徴とする監視装置。
【請求項5】
請求項1〜4のいずれか一項に記載の監視装置であって、
前記所定の通知先は、監視対象のログごとにあらかじめ定められている、
ことを特徴とする監視装置。
前記所定の通知先は、監視対象のログごとにあらかじめ定められている、
ことを特徴とする監視装置。
【請求項6】
請求項1〜5のいずれか一項に記載の監視装置であって、
前記監視対象のログに関し、一つまたは複数の他の装置を備える他のシステムから受信する前記監視対象のログの登録を受け付ける監視対象ログ登録部、
を備えることを特徴とする監視装置。
前記監視対象のログに関し、一つまたは複数の他の装置を備える他のシステムから受信する前記監視対象のログの登録を受け付ける監視対象ログ登録部、
を備えることを特徴とする監視装置。
【請求項7】
コンピューターに、監視手順を実行させるプログラムであって、
前記コンピューターを、監視対象のログを特定する情報と、前記監視対象のログの更新を示す情報の受信時を特定する情報と、前記監視対象のログごとに受信の有無を監視する間隔を特定する情報と、を格納する記憶手段および制御手段として機能させ、
前記制御手段に対して、
前記監視対象のログの更新の最新の受信時が前記間隔で特定される期間内であるか否かを判定して前記監視対象のログの受信停止を検出する受信停止検出手順と、
前記受信停止検出手順により受信停止が検出されたことを所定の通知先へ通知する受信停止通知手順と、
前記受信停止検出手順において受信停止が検出された監視対象のログについて、受信停止が検出された時刻が所定の営業時間に含まれるか否かを判定し、前記営業時間に含まれるのであれば前記監視する間隔をより長くし、前記営業時間に含まれない場合には前記監視する間隔を維持する監視間隔調整手順と、
を実行させることを特徴とするプログラム。
前記コンピューターを、監視対象のログを特定する情報と、前記監視対象のログの更新を示す情報の受信時を特定する情報と、前記監視対象のログごとに受信の有無を監視する間隔を特定する情報と、を格納する記憶手段および制御手段として機能させ、
前記制御手段に対して、
前記監視対象のログの更新の最新の受信時が前記間隔で特定される期間内であるか否かを判定して前記監視対象のログの受信停止を検出する受信停止検出手順と、
前記受信停止検出手順により受信停止が検出されたことを所定の通知先へ通知する受信停止通知手順と、
前記受信停止検出手順において受信停止が検出された監視対象のログについて、受信停止が検出された時刻が所定の営業時間に含まれるか否かを判定し、前記営業時間に含まれるのであれば前記監視する間隔をより長くし、前記営業時間に含まれない場合には前記監視する間隔を維持する監視間隔調整手順と、
を実行させることを特徴とするプログラム。
【請求項8】
コンピューターを用いた監視方法であって、
前記コンピューターは、
監視対象のログを特定する情報と、前記監視対象のログの更新を示す情報の受信時を特定する情報と、前記監視対象のログごとに受信の有無を監視する間隔を特定する情報と、を格納する記憶部を備え、
前記監視対象のログの最新の更新の受信時が前記間隔で特定される期間内であるか否かを判定して前記監視対象のログの受信停止を検出する受信停止検出ステップと、
前記受信停止検出ステップにより受信停止が検出されたことを所定の通知先へ通知する受信停止通知ステップと、
前記受信停止検出ステップにおいて受信停止が検出された監視対象のログについて、受信停止が検出された時刻が所定の営業時間に含まれるか否かを判定し、前記営業時間に含まれるのであれば前記監視する間隔をより長くし、前記営業時間に含まれない場合には前記監視する間隔を維持する監視間隔調整ステップと、
を実施することを特徴とする監視方法。
前記コンピューターは、
監視対象のログを特定する情報と、前記監視対象のログの更新を示す情報の受信時を特定する情報と、前記監視対象のログごとに受信の有無を監視する間隔を特定する情報と、を格納する記憶部を備え、
前記監視対象のログの最新の更新の受信時が前記間隔で特定される期間内であるか否かを判定して前記監視対象のログの受信停止を検出する受信停止検出ステップと、
前記受信停止検出ステップにより受信停止が検出されたことを所定の通知先へ通知する受信停止通知ステップと、
前記受信停止検出ステップにおいて受信停止が検出された監視対象のログについて、受信停止が検出された時刻が所定の営業時間に含まれるか否かを判定し、前記営業時間に含まれるのであれば前記監視する間隔をより長くし、前記営業時間に含まれない場合には前記監視する間隔を維持する監視間隔調整ステップと、
を実施することを特徴とする監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ログ等の監視の技術に関するものである。
【背景技術】
【0002】
従来、アプリケーション障害についてプロセスのログファイルのログ更新時間を監視し、ログファイルのログ更新が所定時間間隔以上行なわれなかった場合にアプリケーション障害と判定し、該アプリケーション障害に対する対応処理を実行する技術が存在する。特許文献1には、このような技術について記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−267434号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記技術では、ログが更新されていないことをアプリケーションの障害とみなして対応を自動化することが記載されているが、複数のシステムのログを監視する運用監視システムにおいてアプリケーションログ以外のログを含む監視対象のログのうち一部のログの受信がなされていない場合に、必ずしもアプリケーションの障害であるとは断定できないため、上記技術は適用できなかった。
【0005】
本発明の目的は、運用監視システムにおいて複数のシステムの複数のログを監視する場合に、ログ情報の受信が滞っているログをより容易に検知する技術を提供することにある。
【課題を解決するための手段】
【0006】
本願は、上記課題の少なくとも一部を解決する手段を複数含んでいるが、その例を挙げるならば、以下のとおりである。上記課題を解決すべく、本発明に係る監視装置は、監視対象のログを特定する情報と、上記監視対象のログの更新を示す情報の受信時を特定する情報と、上記監視対象のログごとに受信の有無を監視する間隔を特定する情報と、を格納する記憶部と、上記監視対象のログの更新の最新の受信時が上記間隔で特定される期間内であるか否かを判定して上記監視対象のログの受信停止を検出する受信停止検出部と、上記受信停止検出部により受信停止が検出されたことを所定の通知先へ通知する受信停止通知部と、上記受信停止検出部において受信停止が検出された監視対象のログについて、受信停止が検出された時刻が所定の営業時間に含まれるか否かを判定し、上記営業時間に含まれるのであれば上記監視する間隔をより長くし、上記営業時間に含まれない場合には上記監視する間隔を維持する監視間隔調整部と、を備えることを特徴とする。【0007】
また、上記の監視装置においては、上記受信停止検出部により受信停止が検出された後、上記監視する間隔の間に受信停止が検出されない期間がある場合に、受信再開を検出する受信再開検出部と、上記受信再開検出部により受信再開が検出されたことを所定の通知先へ通知する受信再開通知部と、を備えることを特徴とするものであってもよい。
【0008】
また、上記の監視装置においては、上記受信停止検出部により受信停止が検出された監視対象のログについて、上記監視する間隔を調整する監視間隔調整部、を備えることを特徴とするものであってもよい。
【0009】
また、上記の監視装置においては、上記監視間隔調整部は、上記監視の間隔の調整において、上記受信停止が検出されなくなるまで上記監視の間隔を徐々に長く設定することで実施する、ことを特徴とするものであってもよい。
【0010】
また、上記の監視装置においては、上記記憶部には、上記監視対象のログごとに上記監視する間隔の最長となる間隔を特定する最長間隔情報が格納され、上記監視間隔調整部は、上記監視対象のログに応じて上記最長間隔情報で特定される間隔を超えない範囲で、上記調整処理において上記監視の間隔を設定する、ことを特徴とするものであってもよい。
【0011】
また、上記所定の通知先は、監視対象のログごとにあらかじめ定められている、ことを特徴とするものであってもよい。
【0012】
また、本発明に係るプログラムは、コンピューターに、監視手順を実行させるプログラムであって、上記コンピューターを、監視対象のログを特定する情報と、上記監視対象のログの更新を示す情報の受信時を特定する情報と、上記監視対象のログごとに受信の有無を監視する間隔を特定する情報と、を格納する記憶手段および制御手段として機能させ、上記制御手段に対して、上記監視対象のログの更新の最新の受信時が上記間隔で特定される期間内であるか否かを判定して上記監視対象のログの受信停止を検出する受信停止検出手順と、上記受信停止検出手順により受信停止が検出されたことを所定の通知先へ通知する受信停止通知手順と、上記受信停止検出手順において受信停止が検出された監視対象のログについて、受信停止が検出された時刻が所定の営業時間に含まれるか否かを判定し、上記営業時間に含まれるのであれば上記監視する間隔をより長くし、上記営業時間に含まれない場合には上記監視する間隔を維持する監視間隔調整手順と、を実行させることを特徴とする。【0013】
また、本発明に係る監視方法は、コンピューターを用いた監視方法であって、上記コンピューターは、監視対象のログを特定する情報と、上記監視対象のログの更新を示す情報の受信時を特定する情報と、上記監視対象のログごとに受信の有無を監視する間隔を特定する情報と、を格納する記憶部を備え、上記監視対象の情報の更新の受信時が上記間隔で特定される期間内であるか否かを判定して上記監視対象のログの受信停止を検出する受信停止検出ステップと、上記受信停止検出ステップにより受信停止が検出されたことを所定の通知先へ通知する受信停止通知ステップと、上記受信停止検出ステップにおいて受信停止が検出された監視対象のログについて、受信停止が検出された時刻が所定の営業時間に含まれるか否かを判定し、上記営業時間に含まれるのであれば上記監視する間隔をより長くし、上記営業時間に含まれない場合には上記監視する間隔を維持する監視間隔調整ステップと、を実施することを特徴とする。
【0014】
上記した以外の課題、構成および効果は、以下の実施形態の説明により明らかにされる。
【発明の効果】
【0015】
本発明によると、運用監視システムにおいて複数のシステムの複数のログを監視する場合に、ログの受信が滞っているログをより容易に検知する技術を提供することができる。
【図面の簡単な説明】
【0016】
【図1】本発明の実施形態に係るログ監視システムの構成例を示す図である。
【図2】監視対象ログ記憶部に格納されるデータ構造を示す図である。
【図3】間隔別更新ログ記憶部に格納されるデータ構造を示す図である。
【図4】通知先記憶部に格納されるデータ構造を示す図である。
【図5】ログ監視装置のハードウェア構成を示す図である。
【図6】ログ受信停止検知処理フローを示す図である。
【図7】ログ監視間隔調整処理フローを示す図である。
【図8】ログ受信停止処理およびログ監視間隔調整処理において表示される画面例を示す図である。
【図9】ログ受信停止処理およびログ監視間隔調整処理において表示される画面例を示す図である。
【発明を実施するための形態】
【0017】
以下に、本発明に係る第一の実施形態を適用したログ監視システム1について、図面を参照して説明する。
【0018】
図1は、本発明の第一の実施形態におけるログ監視システム1の構成例を示す図である。ログ監視システム1には、ログ監視装置100と、ログ監視装置100とネットワーク10を介して通信可能に接続されるサーバー等で構成される監視対象システム50と、ログ監視装置100および監視対象システム50とネットワーク10を介して通信可能に接続されるパーソナルコンピュータ等で構成される監視端末200と、が含まれる。
【0019】
ログ監視装置100は、サーバー等の情報処理装置である。ほかにも例えば、ログ監視装置100は、パソコンやスマートフォン、ワークステーション等各種の情報処理装置であればよい。
【0020】
ログ監視装置100には、制御部110と、記憶部120と、通信部130と、が含まれる。制御部110には、監視対象ログ登録部111と、ログ受信再開検出部112と、ログ受信再開通知部113と、ログ受信停止検出部114と、ログ受信停止通知部115と、監視間隔調整部116と、が含まれる。記憶部120には、監視対象ログ記憶部121と、間隔別更新ログ記憶部122と、ログ情報記憶部123と、通知先記憶部124と、が含まれる。
【0021】
図2は、監視対象ログ記憶部121のデータ構造の例を示す図である。監視対象ログ記憶部121には、システムを識別するシステム名121Aごとに、監視対象のログを識別するログ名121Bと、監視対象のログの監視間隔の最長となる間隔を特定する監視間隔最長121Cと、監視対象のログの監視間隔の最短となる間隔を特定する監視間隔最短121Dと、実際に監視を行う間隔を特定する監視間隔121Eと、が対応付けられて格納される。
【0022】
ログ名121Bは、監視対象のログを特定する情報である。例えば、ネットワークログや、イベントログ、セキュリティログ等、運用監視に関するログと、アプリケーション固有のログと、のいずれをも含むことができる。
【0023】
監視間隔最長121Cは、監視対象のログの監視間隔の最長となる間隔を特定する情報である。例えば、監視間隔は、10分を最短として、30分、1時間、2時間、4時間、8時間、1日、3日、1週間等所定の段階を設定されて徐々に長く設定される。これは、当該間隔内にログの更新があった旨の受信がなされない場合には、ログ監視機能の障害が発生しているものとして扱うための設定である。本実施形態における監視間隔の調整処理においては、監視間隔を徐々に長くなるように調整する。そのため、ログ監視としての意味がないほどの長期の間隔設定とならないように、監視対象のログごとに最長の監視間隔を特定する情報として設定するための設定値である。
【0024】
監視間隔最短121Dは、監視対象のログの監視間隔の最短となる間隔を特定する情報である。監視間隔の初期値としての位置づけの設定値である。
【0025】
監視間隔121Eは、監視間隔最短から最長の範囲において実際に監視対象ログを監視する間隔として設定される設定値である。
【0026】
図3は、間隔別更新ログ記憶部122のデータ構造の例を示す図である。間隔別更新ログ記憶部122には、監視間隔を識別する間隔122Aごとに、システムを識別するシステム名122Bと、監視対象のログを識別するログ名122Cと、監視対象のログが最後に変更された情報を受信した時刻を特定する最終受信時刻122Dと、監視対象のログの調整状態を特定する調整状態122Eと、が対応付けられて格納される。
【0027】
間隔122Aは、ログの更新情報の受信を監視する間隔である。監視対象のログは、間隔122Aのいずれかの間隔と対応付けられることで監視が登録された状態となる。
【0028】
最終受信時刻122Dは、ログ名122Cで特定されるログの更新有無が最後に受信された時刻を特定する情報である。
【0029】
調整状態122Eは、ログ名122Cで特定されるログが監視間隔の調整中であるか否かを特定する情報である。
【0030】
図4は、通知先記憶部124のデータ構造の例を示す図である。通知先記憶部124には、システムを識別するシステム名124Aごとに、監視対象のログを識別するログ名124Bと、監視対象のログの更新情報の受信が再開された場合に通知する先を特定する再開時124Cと、監視対象のログの更新情報の受信が停止した場合に通知する先を特定する停止時124Dと、が対応付けられて格納される。
【0031】
再開時124Cと、停止時124Dと、に格納される通知先は、例えばメールアドレスであるが、これに限られず、通知するIPアドレスやURL、発呼する電話番号等であってもよい。
【0032】
図1の説明に戻る。監視対象ログ登録部111は、定期的に更新がなされているか否かを監視する対象となるログの指定を後述する入力装置101あるいは監視端末200から受け付けて、監視対象ログ記憶部121に、監視対象ログとして登録する。
【0033】
ログ受信再開検出部112は、監視対象のログの受信が途絶えて監視間隔の調整がなされる際に、設定された監視間隔以内に受信が再開されたことを検出し、ログ受信再開通知部113へ再開通知を指示する。
【0034】
ログ受信再開通知部113は、ログ受信再開検出部112により検出されたログの受信の再開を、通知先記憶部124に格納されたログに応じた所定の通知先に通知する。
【0035】
ログ受信停止検出部114は、設定された監視間隔において監視対象のログの更新情報の受信が途絶えたことを検出する。また、受信が途絶えたことを検出すると、ログ受信停止検出部114は、当該ログを監視対象から一時的に監視対象から除外して監視間隔の調整処理を開始させるとともに、当該ログが調整中でなければログ受信停止通知部115へ停止通知を指示する。
【0036】
ログ受信停止通知部115は、ログ受信停止検出部114により検出されたログの受信の停止を、通知先記憶部124に格納されたログに応じた所定の通知先に通知する。
【0037】
監視間隔調整部116は、ログ受信停止が検出されると、受信が停止したログについて監視間隔の調整を実施する。そして、監視間隔調整部116は、監視間隔で設定された期間内に停止が検出されることがなく、なるべく短い期間となる程度に当該ログの最長となる監視間隔まで徐々に長い期間へ修正しながら監視間隔を設定する。
【0038】
なお、本実施形態においては、制御部110は、ログの更新があったことを監視対象システムを構成する所定の装置から受信して、受信時を特定する情報を用いて間隔別更新ログ記憶部122の該当するログの最終受信時刻122Dを更新するものとする。
【0039】
通信部130は、ネットワーク10を介して他の装置、例えば監視対象システム50あるいは監視端末200との通信を行う。
【0040】
監視対象システム50は、例えば所定の業務処理をサーバー等のコンピューターを用いて実現するコンピューターシステムである。監視対象システム50については、具体的には商品の閲覧、購入、決済の機能等を有するウェブサーバー装置等を含むシステムである。ウェブサーバー装置は、一連の処理を行う上で様々なログをテキストファイルやイベントオブジェクトの生成、リポジトリ等への情報の記録の様々な形式でログを出力する。また、監視対象システム50には、出力されたログを収集し、ログ監視装置100に対してログに関する情報を送信する。例えば、ログごとの更新日時や、更新内容等の情報を送信する。
【0041】
監視端末200は、パソコンやスマートフォン、ワークステーション等各種の情報処理装置である。監視端末200は、ログ監視装置100あるいは監視対象システム50にHTTP(Hypertext Transfer Protocol)、TELNET、FTP、エックスウィンドウ等各種プロトコルを用いてアクセスを行い、装置の稼働状況やログの情報参照、ファイルの整理や各種の設定値変更等の管理処理を実行する要求を送信する管理処理制御部を有する。また、監視端末200は、利用者からの入力を受け付けるキーボード等の入力部と、利用者への出力を行うディスプレイ等の出力部と、を有する。
【0042】
図5は、ログ監視装置100のハードウェア構成例を示す図である。ログ監視装置100は、演算装置102と、外部記憶装置103と、主記憶装置104と、出力装置105と、通信装置106と、各装置をつなぐバス107と、を少なくとも備える。また、他に、ログ監視装置100は、キーボード、マウスといった入力装置101を備えるものであってもよい。
【0043】
演算装置102は、例えばCPU(Central Processing Unit)などの演算装置である。
【0044】
外部記憶装置103は、デジタル情報を記憶可能な、いわゆるハードディスク(Hard Disk Drive)やSSD(Solid State Drive)あるいはフラッシュメモリなどの不揮発性記憶装置である。
【0045】
主記憶装置104は、例えばRAM(Random Access Memory)などのメモリ装置である。
【0046】
出力装置105は、例えば液晶ディスプレイや、有機EL(Electro Luminescence)ディスプレイ等の表示装置である。
【0047】
通信装置106は、ネットワーク10等を介して監視対象システム50を構成する装置や監視端末200等の他の装置と通信経路を確立し、情報を送受信するネットワークカード等の装置である。
【0048】
入力装置101は、キーボードやマウス、タッチパネル等の各種入力装置である。
【0049】
入力装置101と、演算装置102と、外部記憶装置103と、主記憶装置104と、出力装置105と、通信装置106とは、バス107等の接続導線により互いに接続される。
【0050】
上記したログ監視装置100の監視対象ログ登録部111、ログ受信再開検出部112、ログ受信再開通知部113、ログ受信停止検出部114、ログ受信停止通知部115、監視間隔調整部116は、演算装置102に処理を行わせるプログラムによって実現される。このプログラムは、主記憶装置104、外部記憶装置103または図示しないROM装置内に記憶され、実行にあたって主記憶装置104上にロードされ、演算装置102により実行される。
【0051】
また、ログ監視装置100の記憶部120は、主記憶装置104及び外部記憶装置103により実現される。また、ログ監視装置100の通信部130は、通信装置106により実現される。以上が、ログ監視装置100のハードウェア構成例である。
【0052】
[動作の説明] 次に、本実施形態におけるログ監視装置100の動作を説明する。図6は、本実施形態におけるログ監視装置100が実施するログ受信停止検知処理のフロー図である。
【0053】
ログ受信停止検知処理は、ログ監視装置100が稼動を開始すると、所定のタイミング(例えば、10分間隔で)開始される。
【0054】
まず、ログ受信停止検出部114は、参照間隔を最短(例えば、10分)に設定する(ステップS001)。具体的には、ログ受信停止検出部114は、設定された参照間隔ごとにログの更新の有無を検出するので、まずは最短の参照間隔のログについて停止の検出を行うために最短の参照間隔を設定する。なお、参照間隔は、間隔別更新ログ記憶部122の間隔122Aに格納されている間隔の短い方から長い方へ向かって、段階が設定されているものとする。
【0055】
そして、ログ受信停止検出部114は、間隔別更新ログ記憶部122を参照し、参照間隔に属するログを特定する(ステップS002)。具体的には、ログ受信停止検出部114は、設定された参照間隔が対応する間隔122Aを特定し、これに対応付けられたログのシステム名122Bと、ログ名122Cと、最終受信時刻122Dと、調整状態122Eと、を読み出す。
【0056】
そして、ログ受信停止検出部114は、特定したログのうち、最終受信時刻が現在時刻より参照間隔で特定される時間以前であるものを抽出する(ステップS003)。具体的には、ログ受信停止検出部114は、ステップS002にて特定したログのそれぞれについて、最終受信時刻122Dが現在時刻よりも参照間隔以前であるか否かを判定し、参照間隔以前であるログを受信が停止しているログとして特定する。例えば、ネットワークログが2013年1月1日13時00分に受信されており、イベントログが2013年1月1日12時00分に受信されており、両ログはともに監視間隔が1時間である場合に、現在時刻が2013年1月1日13時5分とすると、最終受信時刻が2013年1月1日12時5分以前のログすなわちイベントログを抽出する。
【0057】
そして、ログ受信停止検出部114は、抽出したログのうち調整中のものは、間隔別更新ログ記憶部122から削除し、当該ログについて監視間隔調整部116に、図7に示す監視間隔調整処理を開始させる(ステップS004)。具体的には、ログ受信停止検出部114は、ステップS003において抽出した受信が停止しているログの調整状態122Eを参照し、「調整中」であるものについて、間隔別更新ログ記憶部122から削除し、当該ログについて後述する監視間隔調整処理を開始させる。
【0058】
そして、ログ受信停止検出部114は、抽出したログのうち調整中でないものは、間隔別更新ログ記憶部122から削除し、通知先へ受信停止の旨を通知し、当該ログについて監視間隔調整部116に、図7に示す監視間隔調整処理を開始させる(ステップS005)。具体的には、ログ受信停止検出部114は、抽出したログのうち調整中でないものは、間隔別更新ログ記憶部122から削除し、通知先記憶部124の該当するログの停止時124Dに設定された通知先へ受信停止の旨を通知し、当該ログについて後述する監視間隔調整処理を開始させる。なお、ステップS004においては調整中のログ、ステップS005においては調整中以外のログについて間隔別更新ログ記憶部122から削除されるため、以降の処理において監視間隔調整処理を経ていない場合にはステップS002およびステップS003において抽出されて停止を再び検出されることはない。すなわち、ひとたび停止が検出されたログは監視対象から一時的に除外されるといえる。
【0059】
そして、ログ受信停止検出部114は、参照間隔が最長に設定されているか否かを判定する(ステップS006)。具体的には、ログ受信停止検出部114は、参照間隔が間隔別更新ログ記憶部122の間隔122Aに格納される値の最大値であれば、参照間隔は最長に設定されていると判定する。最長に設定されている場合、ログ受信停止検出部114は、ログ受信停止検知処理を終了させる。
【0060】
参照間隔が最長に設定されていない場合(ステップS006にて「No」の場合)には、ログ受信停止検出部114は、参照間隔を一段階長く設定し、ステップS002に処理を戻す(ステップS007)。
【0061】
以上が、ログ受信停止検知処理の処理フローである。ログ受信停止検知処理を実行することで、間隔別更新ログ記憶部122に間隔別に登録されたログに対して、当該間隔の間に受信が途絶したことを検知し、調整中でないログについては通知先へ報知し、調整中のログについては監視間隔の調整処理を開始することができる。
【0062】
図7は、本実施形態におけるログ監視装置100が実施するログ監視間隔調整処理のフロー図である。
【0063】
ログ監視間隔調整処理は、ログ監視装置100が稼動を開始し、ログ受信停止検知処理から処理の開始を依頼されると、開始される。
【0064】
まず、監視間隔調整部116は、受け付けたログについて監視対象ログ記憶部121の監視間隔と監視間隔最長とを特定する(ステップS101)。具体的には、監視間隔調整部116は、受け付けたログすなわち受信停止が検知されたログについて、監視対象ログ記憶部121の監視間隔121Eと、監視間隔最長121Cと、を読み出す。
【0065】
そして、監視間隔調整部116は、監視間隔が最長であるか否かを判定する(ステップS102)。具体的には、監視間隔調整部116は、監視間隔121Eが監視間隔最長121Cであるか否かを判定する。
【0066】
監視間隔が監視間隔最長である場合(ステップS102にて「Yes」の場合)には、監視間隔調整部116は、監視間隔に該当する間隔別更新ログ記憶部122の間隔122Aに対応付けて当該ログを登録する(ステップS103)。具体的には、監視間隔調整部116は、監視間隔に該当する間隔別更新ログ記憶部122の間隔122Aに対応付けて当該ログを登録する際に、調整状態122Eを「調整中」ではないと設定して登録を行う。そして、監視間隔調整部116は、ログ監視間隔調整処理を終了させる。このようにすることで、以降はログ受信停止の監視対象として当該ログが登録される。
【0067】
監視間隔が監視間隔最長下でない場合(ステップS102にて「No」の場合)には、監視間隔調整部116は、受信停止したログの監視間隔を一段階長く設定する(ステップS104)。
【0068】
そして、監視間隔調整部116は、間隔別更新ログ記憶部122の該当する監視間隔にログを調整中として登録する(ステップS105)。すなわち、監視間隔調整部116は、受信停止したログの監視間隔を一段長く設定し、間隔別更新ログ記憶部122の調整状態122Eを「調整中」と設定して登録する。なお、調整中として登録するのは、監視間隔を調整中は当該ログの受信停止が発生しても通知先へ通知しないでより長い間隔の監視へ移行できるようにするためである。
【0069】
そして、ログ受信再開検出部112は、監視間隔内に当該ログについて再度監視間隔調整処理の開始指示を受けたか否かを判定する(ステップS106)。具体的には、ログ受信再開検出部112は、ステップS105の登録以降、ログ受信停止検知処理のステップS004の監視間隔調整処理の開始の指示の有無を特定する。
【0070】
監視間隔調整処理の開始指示を受けた場合(ステップS106にて「Yes」の場合)には、監視間隔調整部116は、開始指示を受け付けた日時が所定の営業時間内であるか否かを判定する(ステップS107)。すなわち、監視間隔調整部116は、開始指示を受け付けた日時が別途あらかじめ定められた営業時間に含まれるか否かを判定する。営業時間位含まれる場合(「Yes」の場合)には、監視間隔調整部116は、ステップS102に処理を進める。営業時間位含まれない場合(「No」の場合)には、監視間隔調整部116は、ステップS105に処理を進める。これは、営業時間に含まれる場合には、なるべく受信停止の通知が営業時間に含まれないように監視間隔を一段長く設定し直すためにステップS102へ処理を戻し、そうでない場合には監視間隔を維持して再度チェックするために、ステップS105へ処理を戻すものである。
【0071】
監視間隔調整処理の開始指示を受けていない場合(ステップS106にて「No」の場合)には、ログ受信再開通知部113は、通知先へ受信再開を通知する(ステップS108)。具体的には、ログ受信再開通知部113は、監視間隔において停止が検知されていないことをもって受信が再開されたと判定し、通知先記憶部124の再開時124Cの再開時の通知先へ受信が再開した旨を通知する。そして、監視間隔調整部116は、ステップS103へ処理を進める。
【0072】
以上が、ログ監視間隔調整処理の処理フローである。ログ監視間隔調整処理を実行することで、監視間隔を徐々に長くすることで適切に設定して監視対象に組み入れ、受信が再開した旨を通知先へ通知することができる。
【0073】
図8は、ログ監視装置100にアクセスしてメッセージの発生状態を表示出力する画面を監視端末200に表示させた場合のメッセージ一覧画面300の例を示す図である。
【0074】
メッセージ一覧画面300には、過去に監視対象システム50において発生したメッセージを時系列に累積して表示するメッセージ表示領域310と、当該メッセージ発生時に監視間隔がどのように変更されたのかを示す監視間隔表示領域311と、が含まれる。図8においては、監視間隔表示領域311には、設定されている監視間隔を示す情報と、当該間隔が変更された値であるのか否かを視覚的に示すアニメーション表示(例えば、調整処理により間隔が長くなった場合には、下向き矢印)とが表示される。
【0075】
メッセージ一覧画面300においては、メッセージ表示領域310に表示されたいずれかのメッセージに対する入力がなされると、当該メッセージについて図9に示すメッセージ詳細表示400が出力される。
【0076】
メッセージ詳細表示400は、例えばボップアップウィンドウ等により構成され、メッセージの全文410と、ポップアップウィンドウの表示を終了させる指示を受け付ける確認ボタン411と、を含む。
【0077】
以上が、メッセージ一覧画面300およびメッセージ詳細表示400の出力画面例である。
【0078】
以上、本発明に係る第一の実施形態を適用したログ監視システム1について説明した。当該実施形態によると、利用者は、運用監視システムにおいて複数のシステムの複数のログを監視する場合に、ログ情報の受信が滞っているログをより容易に検知することができる。
【0079】
本発明は、上記の第一の実施形態に制限されない。上記の第一の実施形態は、本発明の技術的思想の範囲内で様々な変形が可能である。例えば、上記の第一の実施形態においては、ログ監視装置100は独立して動作する例を示しているが、これに限られず、監視対象システム50に含まれるように動作するようにしてもよい。このようにすることで、監視対象システム50ごとに細かくログ監視を実施することが可能となる。
【0080】
なお、本実施形態の監視対象ログ記憶部121は、監視対象のログを特定し、その監視の最長を記録する情報が格納されているものであればよく、テキストデータの形式であってもよい。例えばネットワーク10を介して接続されるストレージや他のサーバーが管理する情報を共有するものであってもよい。また例えば、ログ監視装置100は、ネットワーク10を介して接続されるストレージや他のサーバーが管理する情報を所定のタイミングで(例えば、一日一回)ダウンロードして監視対象ログ記憶部121の情報を更新する処理を実施する情報更新処理部を備えるものであってもよい。
【0081】
また、本実施形態の間隔別更新ログ記憶部122は、監視間隔とログとが対応付けて登録されるものであればよく、例えばネットワーク10を介して接続されるストレージや他のサーバーが管理する情報を共有するものであってもよい。
【0082】
また、本実施形態の通知先記憶部124は、ログの停止あるいは再開が検出されたことを通知する先を特定する情報が格納されるものであればよく、例えばネットワーク10を介して接続されるストレージや他のサーバーが管理する情報を共有するものであってもよい。
【0083】
また、上記した実施形態の技術的要素は、単独で適用されてもよいし、プログラム部品とハードウェア部品のような複数の部分に分けられて適用されるようにしてもよい。
【0084】
以上、本発明について、実施形態を中心に説明した。
【符号の説明】
【0085】
1・・・ログ監視システム、10・・・ネットワーク、50・・・監視対象システム、100・・・ログ監視装置、110・・・制御部、111・・・監視対象ログ登録部、112・・・ログ受信再開検出部、113・・・ログ受信再開通知部、114・・・ログ受信停止検出部、115・・・ログ受信停止通知部、116・・・監視間隔調整部、120・・・記憶部、130・・・通信部、200・・・監視端末