(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-11-21
(45)【発行日】2022-11-30
(54)【発明の名称】監視装置、監視方法、およびプログラム
(51)【国際特許分類】
G06F 11/07 20060101AFI20221122BHJP
G06F 11/32 20060101ALI20221122BHJP
【FI】
G06F11/07 175
G06F11/07 140A
G06F11/32 170
【請求項の数】
8
(21)【出願番号】P 2020102233
(22)【出願日】2020-06-12
(62)【分割の表示】P 2018134784の分割
【原出願日】2018-07-18
(65)【公開番号】P2020144954
(43)【公開日】2020-09-10
【審査請求日】2021-03-16
(73)【特許権者】
【識別番号】319013263
【氏名又は名称】ヤフー株式会社
(74)【代理人】
【識別番号】100149548
【弁理士】
【氏名又は名称】松沼 泰史
(74)【代理人】
【識別番号】100154852
【弁理士】
【氏名又は名称】酒井 太一
(74)【代理人】
【識別番号】100181124
【弁理士】
【氏名又は名称】沖田 壮男
(74)【代理人】
【識別番号】100194087
【弁理士】
【氏名又は名称】渡辺 伸一
(72)【発明者】
【氏名】望月 哲也
(72)【発明者】
【氏名】西村 舞
(72)【発明者】
【氏名】小野寺 朋崇
【審査官】北川 純次
(56)【参考文献】
【文献】特開2017-167578(JP,A)
【文献】特開2017-156863(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/07
G06F 11/32
(57)【特許請求の範囲】
【請求項1】
複数の監視対象に関するアラートにより示される事象間の関連の有無を判定することにより関連を有する事象をグループ化し、前記関連を有する事象の内、最初に発生した事象を第1事象として設定し、前記第1事象以外の事象を第2事象として設定する、判定部と、前記判定部によりグループ化された事象ごとに、前記アラートにより示される事象の対応状況を管理する管理部と、
前記判定部によりグループ化された事象ごとに、前記第1事象の対応状況に関する情報と、前記第1事象に関連付けられた前記第2事象の情報とを含む第1画面であって、前記第1事象および前記第2事象とは異なるアラートである追加の事象の手動による登録が可能な前記第1画面を表示部に表示させる表示制御部と、
を備え、
前記管理部は、
前記第1画面におけるオペレータの手動の操作に基づいて、前記判定部により前記第1事象と関連付けられなかった前記追加の事象が登録された場合、前記追加の事象を前記第1事象に関連付けし、
前記第1画面における前記オペレータの操作に基づいて前記第1事象の対応状況が対応完了に設定された場合、前記第1事象と関連付けられた前記第2事象および前記追加の事象の対応状況も自動的に対応完了に設定する、
監視装置。
【請求項2】
前記表示制御部は、サービスごとに関連付けられた事象を一覧表示する第2画面を前記表示部に表示させる、請求項1に記載の監視装置。
【請求項3】
前記表示制御部は、所望のアラートに関して、要対応、要確認、および対応不要として処理された事象の件数を示すグラフを表示する第3画面を前記表示部に表示させる、請求項1または2に記載の監視装置。
【請求項4】
前記判定部は、前記アラートに含まれる情報の中から前記監視対象を個別に特定するための情報を除去する編集処理を行い、編集処理後の前記アラートを互いに比較することで前記事象間の関連の有無を判定する、請求項1から3のいずれか一項に記載の監視装置。
【請求項5】
予め定義された前記アラートごとの対応要否の条件を含むフィルタ情報に基づいて、前記アラートにより示される事象に対する対応要否を判定し、対応が不要な事象をフィルタリングするフィルタ部をさらに備え、前記表示制御部は、前記判定部によりグループ化された事象ごとに、前記フィルタ部により対応が必要と判定された前記事象に関する情報を含む前記第1画面を前記表示部に表示させる、
請求項1から4のいずれか一項に記載の監視装置。
【請求項6】
前記表示制御部は、前記アラートごとの前記フィルタ情報の登録を受け付ける第4画面を前記表示部に表示させる、請求項5に記載の監視装置。
【請求項7】
コンピュータが、複数の監視対象に関するアラートにより示される事象間の関連の有無を判定することにより関連を有する事象をグループ化し、前記関連を有する事象の内、最初に発生した事象を第1事象として設定し、前記第1事象以外の事象を第2事象として設定し、
グループ化された前記事象ごとに、前記アラートにより示される事象の対応状況を管理し、
グループ化された前記事象ごとに、前記第1事象の対応状況に関する情報と、前記第1事象に関連付けられた前記第2事象の情報とを含む第1画面であって、前記第1事象および前記第2事象とは異なるアラートである追加の事象の手動による登録が可能な前記第1画面を表示部に表示させる、
監視方法であって、
前記第1画面におけるオペレータの手動の操作に基づいて、前記第1事象と関連付けられなかった前記追加の事象が登録された場合、前記追加の事象を前記第1事象に関連付けし、
前記第1画面における前記オペレータの操作に基づいて前記第1事象の対応状況が対応完了に設定された場合、前記第1事象と関連付けられた前記第2事象および前記追加の事象の対応状況も自動的に対応完了に設定する、
監視方法。
【請求項8】
コンピュータに、複数の監視対象に関するアラートにより示される事象間の関連の有無を判定することにより関連を有する事象をグループ化させ、前記関連を有する事象の内、最初に発生した事象を第1事象として設定させ、前記第1事象以外の事象を第2事象として設定させ、
グループ化された前記事象ごとに、前記アラートにより示される事象の対応状況を管理させ、
グループ化された前記事象ごとに、前記第1事象の対応状況に関する情報と、前記第1事象に関連付けられた前記第2事象の情報とを含む第1画面であって、前記第1事象および前記第2事象とは異なるアラートである追加の事象の手動による登録が可能な前記第1画面を表示部に表示させる、
プログラムであって、
前記第1画面におけるオペレータの手動の操作に基づいて、前記第1事象と関連付けられなかった前記追加の事象が登録された場合、前記追加の事象を前記第1事象に関連付けさせ、
前記第1画面における前記オペレータの操作に基づいて前記第1事象の対応状況が対応完了に設定された場合、前記第1事象と関連付けられた前記第2事象および前記追加の事象の対応状況も自動的に対応完了に設定させる、
プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、監視装置、監視方法、およびプログラムに関する。
【背景技術】
【0002】
従来、監視システムにより出力されるアラートメール、アラートログ等に基づいて、機器等の異常を監視する運用が行われている。例えば、特許文献1には、監視対象のサーバにより出力されるエラーログと、このエラーログに含まれるエラーコードに対応する手順マニュアルとをオペレータが使用する端末に送信するシステムが開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2015-215739号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
多数のサーバを監視する場合、オペレータは、24時間365日にわたって出力される膨大な数のアラートを確認し、各アラートに応じた対応を行う必要がある。このため、これらの確認および対応によるオペレータの作業負荷が増大していた。また、サービスごとに設けられた複数の監視システムにより出力されるアラートを監視センター等で集約的に管理している場合、アラートの通知方法や内容が多種多様であり、これらの確認に手間を要していた。
【0005】
また、これらのアラートは全てに対して対応が必要となるわけではなく、無視してもよいものも多く含まれているが、オペレータはその要否をアラートごとに判断する必要があった。また、アラートの対応漏れを常時確認する必要があり、作業効率の改善が望まれていた。
【0006】
本発明は、このような事情を考慮してなされたものであり、アラートの監視の負荷を軽減することが可能な監視装置、監視方法、およびプログラムを提供することを目的の一つとする。
【課題を解決するための手段】
【0007】
本発明の一態様は、複数の監視対象に関するアラートにより示される事象間の関連の有無を判定することにより関連を有する事象をグループ化し、前記関連を有する事象の内、最初に発生した事象を第1事象として設定し、前記第1事象以外の事象を第2事象として設定する、判定部と、前記判定部によりグループ化された事象ごとに、前記アラートにより示される事象の対応状況を管理する管理部と、前記判定部によりグループ化された事象ごとに、前記第1事象の対応状況に関する情報と、前記第1事象に関連付けられた前記第2事象の情報とを含む第1画面を表示部に表示させる表示制御部と、を備え、前記管理部は、前記第1画面におけるオペレータの操作に基づいて前記第1事象の対応状況が対応完了に設定された場合、前記第1事象と関連付けられた前記第2事象の対応状況も自動的に対応完了に設定する、監視装置である。
【発明の効果】
【0008】
本発明の一態様によれば、アラートの監視の負荷を軽減することが可能である。
【図面の簡単な説明】
【0009】
【図1】実施形態に係るアラート監視システム1の構成の一例を示す図である。
【図2】実施形態に係るチケット登録装置10の機能構成の一例を示すブロック図である。
【図3】実施形態に係るグループ情報記憶部15に記憶されたグループ情報15Aのレコードの一例を示すデータ構造図である。
【図4】実施形態に係るフィルタ情報記憶部16に記憶されたフィルタ情報16Aの一例を示す図である。
【図5】実施形態に係るチケット管理装置30の機能構成の一例を示すブロック図である。
【図6】実施形態に係るアラート監視システム1のチケット登録処理の流れの一例を示すフローチャートである。
【図7】実施形態に係るアラートメールMのメール本文に対する編集処理およびハッシュ化処理の一例を説明するための図である。
【図8】実施形態に係るチケット管理装置30のチケット情報記憶部35に記憶されたチケット情報35Aの一例を示す図である。
【図9】実施形態に係る端末装置40の表示部に表示されたチケット画面D1の一例を示す図である。
【図10】実施形態に係る端末装置40の表示部に表示されたアラートタスク管理画面D2の一例を示す図である。
【図11】実施形態に係る端末装置40の表示部に表示されたアラート推移グラフ画面D3の一例を示す図である。
【図12】実施形態に係る端末装置40の表示部に表示されたフィルタ設定画面D4の一例を示す図である。
【発明を実施するための形態】
【0010】
以下、図面を参照し、本発明の監視装置、監視方法、およびプログラムの実施形態について説明する。本発明の監視装置は、複数の監視システムにより出力されるアラートをグループ化し、グループごとにアラートを監視する。本実施形態において、アラートとは、監視対象における何らかの異常、故障等(以下、単に「異常」と呼ぶ)を通知するものである。監視対象がサーバ等のハードウェア機器である場合、アラートはこのハードウェア機器の異常を通知する。ハードウェア機器の異常には、例えば、ハードディスクの容量不足、アクセス集中による処理負荷の上昇等が含まれる。監視対象がソフトウェアである場合、アラートはこのソフトウェアの処理の異常を通知する。ソフトウェアの処理の異常には、例えば、所定のバッチ処理の失敗等が含まれる。
【0011】
また、アラートは、例えば、監視対象を監視する複数の監視システムにより自動的に送信されるアラートメール、所定のAPI(Application Programming Interface)等のインターフェースを介して監視対象に対して所定の処理を行うことにより出力されるアラートログ等を含む。アラートメールは、複数の監視システムにより出力されるアラートメールを集約的に監視する集約型監視システムから出力されるメールであってもよい。以下においては、監視対象がサーバ等のハードウェア機器であり、アラートがアラートメールにより通知される場合を例に挙げて説明する。
【0012】
図1は、アラート監視システム1の構成の一例を示す図である。アラート監視システム1は、例えば、チケット登録装置10と、サーバ情報データベース20と、チケット管理装置30とを備える。チケット登録装置10は、監視対象Tであるサーバを監視する監視システムにより出力されるアラートメールMに基づいて、監視対象Tに関するアラートをチケットとして起票してチケット管理装置30に登録する処理を行う。チケットとは、アラートを可視化して管理する単位を示す。例えば、1通のアラートメールMに対して、1つのチケットが起票され、以後このチケット単位でアラートが管理される。
【0013】
チケット管理装置30において管理されるチケット情報は、端末装置40を用いて参照等することができる。監視対象Tと、チケット登録装置10と、サーバ情報データベース20と、チケット管理装置30と、端末装置40とは、ネットワークNWによって互いに接続されており、このネットワークNWを介して互いに通信する。ネットワークNWは、例えば、WAN(Wide Area Network)やLAN(Local Area Network)、インターネット、専用回線、無線基地局、プロバイダ等を含む。
【0014】
[監視対象]
監視対象Tは、例えば、複数の監視対象サーバを含む。監視対象サーバは、例えば、所定の機能を実現するサーバ、各種データを記憶するデータベース等を含む。これらの複数のサーバには、負荷分散等を目的として、所定の処理を分散して実行するように構成されたサーバ群(例えば、ラック構成とされたサーバ群)が含まれる。例えば、第1サーバ群G1は、ウェブサービスを実現するウェブサーバ群であって、監視対象サーバ1、監視対象サーバ2、および監視対象サーバ3を含む。第2サーバ群G2は、例えば、データを記憶するデータベース群であって、監視対象サーバ4、監視対象サーバ5、および監視対象サーバ6を含む。
監視対象Tは、例えば、複数の監視対象サーバを含む。監視対象サーバは、例えば、所定の機能を実現するサーバ、各種データを記憶するデータベース等を含む。これらの複数のサーバには、負荷分散等を目的として、所定の処理を分散して実行するように構成されたサーバ群(例えば、ラック構成とされたサーバ群)が含まれる。例えば、第1サーバ群G1は、ウェブサービスを実現するウェブサーバ群であって、監視対象サーバ1、監視対象サーバ2、および監視対象サーバ3を含む。第2サーバ群G2は、例えば、データを記憶するデータベース群であって、監視対象サーバ4、監視対象サーバ5、および監視対象サーバ6を含む。
【0015】
同一のグループに属するサーバに関して出力されるアラートメールは、そのアラートの内容が共通する場合がある。例えば、監視対象サーバ1に関して高負荷である旨のアラートメールが通知された場合、監視対象サーバ2に関しても同様な内容のアラートメールが通知される場合がある。本アラート監視システム1は、これらのアラートの内容が共通し、同種とみなすことが可能なアラートをグループ化して一括管理する。
【0016】
[チケット登録装置]
図2は、チケット登録装置10の機能構成の一例を示すブロック図である。チケット登録装置10は、例えば、通信部11と、グループ判定部12(判定部)と、フィルタ部13と、登録部14(管理部)と、グループ情報記憶部15と、フィルタ情報記憶部16とを備える。通信部11は、ネットワークNWを介して、監視対象Tを監視する監視システムにより出力されるアラートメールMを受信する。また、通信部11は、ネットワークNWを介して、他装置と通信する。通信部11は、例えば、NIC(Network Interface Card)等の通信インターフェースを含む。
図2は、チケット登録装置10の機能構成の一例を示すブロック図である。チケット登録装置10は、例えば、通信部11と、グループ判定部12(判定部)と、フィルタ部13と、登録部14(管理部)と、グループ情報記憶部15と、フィルタ情報記憶部16とを備える。通信部11は、ネットワークNWを介して、監視対象Tを監視する監視システムにより出力されるアラートメールMを受信する。また、通信部11は、ネットワークNWを介して、他装置と通信する。通信部11は、例えば、NIC(Network Interface Card)等の通信インターフェースを含む。
【0017】
グループ判定部12は、グループ情報記憶部15に記憶されたグループ情報15Aに基づいて、アラートメールMにより通知されるアラートの種類を判定してグループ化する。すなわち、グループ判定部12は、複数の監視対象に関するアラートにより示される事象間の関連の有無を判定し、関連を有する事象をグループ化する。すなわち、グループ判定部12は、アラートメールMに含まれる情報の中から、アラートに係る事象(障害、異常等)が発生した対象であるサーバを個別に特定するための情報を除去し、グループ化するためのもう1段上位の情報(障害内容)を抽出し、この抽出した情報を用いてグループ化を行う。換言すると、グループ判定部12は、アラートメールMに含まれる情報の中からサーバを個別に特定するための特徴的な情報を抽出するのではなく、グループ化されるサーバ群に関して共通する特徴を抽出する処理を行う。例えば、グループ判定部12は、アラートメールMのメール本文に対して、予め設定されたルールに基づく編集処理を行い、編集後の文字列をハッシュ化することにより、異常が発生したサーバと異常の種類との組み合わせを識別するハッシュ値を算出する。グループ判定部12は、算出したハッシュ値に基づいて、アラートのグループ化を行う。アラートのグループ化処理の詳細については後述する。
【0018】
フィルタ部13は、フィルタ情報記憶部16に記憶されたフィルタ情報16Aに基づいて、アラートメールMの対象であるサービスを特定し、アラートメールMにより通知されるアラートに対して何らかの処理等の対応が必要であるか否かを判定することで、対応要否のフィルタリングを行う。すなわち、フィルタ部13は、アラートにより示される事象に対する対応要否を判定し、対応が不要な事象をフィルタリングする。
【0019】
登録部14は、監視対象Tに関するアラートをチケットとして起票してチケット管理装置30に登録する。登録部14は、グループ判定部12により判定されたグループの情報と、フィルタ部13により判定された対応要否の情報と、サーバ情報データベース20から取得されたサーバの情報とを、アラートに関連付けしたチケットを起票してチケット管理装置30に登録する。すなわち、登録部14は、グループ判定部12によりグループ化された事象ごとに、フィルタ部13により対応が必要と判定された事象を管理する。
【0020】
グループ情報記憶部15は、アラートメールMにより通知されるアラートの種類の判定に用いられるグループ情報15Aを記憶する。グループ情報記憶部15は、例えば、KVS(キーバリューストア)と称されるデータの管理手法を採用したデータベースである。図3は、グループ情報記憶部15に記憶されたグループ情報15Aのレコードの一例を示すデータ構造図である。このレコードは、1つの親キーaに対して、複数の子キー(例えば、c1からc4)が設定され、この親キーと子キーの各々とのペアに対してバリュー(例えば、b1からb4)が設定可能なデータ構成を有する。親キーaとしては、例えば、グループ判定部12によりハッシュ化されたメール本文のハッシュ値が設定される。子キーc1からc4としては、例えば、アラートメールMのメールヘッダに含まれるメッセージIDが設定される。バリューb1からb4としては、例えば、メール本文に含まれるアラートの発生日時が設定される。
【0021】
フィルタ情報記憶部16は、アラートに対して何らかの処理等の対応が必要であるか否かの判定に用いられるフィルタ情報16Aを記憶する。図4は、フィルタ情報記憶部16に記憶されたフィルタ情報16Aの一例を示すデータ構造図である。フィルタ情報16Aは、例えば、ホスト名と、サービス名と、アラート内容と、対応要否1と、対応要否2とを含む。対応要否1は、恒久的な判定基準であり、対応要否2は、暫定的な判定基準である。対応要否2は、通常は設定されないが、例えば、メンテナンス等によりアラートの発生が予め想定される場合等に、オペレータによって暫定的に設定される。対応要否1と、対応要否2との両方に設定がある場合には、対応要否2に設定された基準が優先される。
【0022】
グループ判定部12、フィルタ部13、および登録部14は、例えば、CPU(Central Processing Unit)等のハードウェアプロセッサがプログラム(ソフトウェア)を実行することにより実現される。チケット登録装置10は、各機能部を実現するための複数のプロセッサを備えてもよい。また、これらの各機能部のうち一部または全部は、LSI(Large Scale Integration)やASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)、GPU(Graphics Processing Unit)等のハードウェア(回路部;circuitryを含む)によって実現されてもよいし、ソフトウェアとハードウェアの協働によって実現されてもよい。
【0023】
グループ情報記憶部15およびフィルタ情報記憶部16は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ、またはこれらのうち複数が組み合わされたハイブリッド型記憶装置等により実現される。また、グループ情報記憶部15およびフィルタ情報記憶部16の一部または全部は、NAS(Network Attached Storage)や外部のストレージサーバ等、チケット登録装置10がアクセス可能な外部装置であってもよい。
【0024】
[サーバ情報データベース]
サーバ情報データベース20は、監視対象のサーバに関する各種情報を記憶する。各種情報は、例えば、サーバの設置場所の情報、サーバの使用状態に関する情報(ネットワーク情報)等を含む。また、サーバ情報データベース20は、監視対象のサーバに関するアラート発生時における対応手順を示すマニュアルの所在情報、或いはマニュアルを記憶してもよい。
サーバ情報データベース20は、監視対象のサーバに関する各種情報を記憶する。各種情報は、例えば、サーバの設置場所の情報、サーバの使用状態に関する情報(ネットワーク情報)等を含む。また、サーバ情報データベース20は、監視対象のサーバに関するアラート発生時における対応手順を示すマニュアルの所在情報、或いはマニュアルを記憶してもよい。
【0025】
[チケット管理装置]
図5は、チケット管理装置30の機能構成の一例を示すブロック図である。チケット管理装置30は、例えば、通信部31と、登録部32(管理部)と、表示制御部33と、編集部34(管理部、受付部)と、チケット情報記憶部35とを備える。通信部31は、ネットワークNWを介して、他装置と通信する。通信部31は、例えば、NIC等の通信インターフェースを含む。
図5は、チケット管理装置30の機能構成の一例を示すブロック図である。チケット管理装置30は、例えば、通信部31と、登録部32(管理部)と、表示制御部33と、編集部34(管理部、受付部)と、チケット情報記憶部35とを備える。通信部31は、ネットワークNWを介して、他装置と通信する。通信部31は、例えば、NIC等の通信インターフェースを含む。
【0026】
登録部32は、チケット登録装置10により出力されたチケットの情報をチケット情報記憶部35に記憶する。表示制御部33は、端末装置40からの要求に応じて、所望のチケットの情報を端末装置40に表示するための情報を生成し、端末装置40に送信する。編集部34は、端末装置40からの要求に応じて、チケット情報記憶部35に記憶されたチケット情報35Aを編集する。
【0027】
登録部32、表示制御部33、および編集部34は、例えば、CPU等のハードウェアプロセッサがプログラム(ソフトウェア)を実行することにより実現される。チケット管理装置30は、各機能部を実現するための複数のプロセッサを備えてもよい。また、これらの各機能部のうち一部または全部は、LSI、FPGA、GPU等のハードウェア(回路部;circuitryを含む)によって実現されてもよいし、ソフトウェアとハードウェアの協働によって実現されてもよい。
【0028】
チケット情報記憶部35は、例えば、RAM、ROM、HDD、フラッシュメモリ、またはこれらのうち複数が組み合わされたハイブリッド型記憶装置等により実現される。また、チケット情報記憶部35の一部または全部は、NASや外部のストレージサーバ等、チケット管理装置30がアクセス可能な外部装置であってもよい。
【0029】
[端末装置]
端末装置40は、例えば、アラートの監視を行うオペレータによって操作される。端末装置40には、例えば、チケット管理装置30において管理されているチケットの情報を参照、編集するためのアプリケーションが予めインストールされていてよい。或いは、端末装置40は、ブラウザを利用して、チケット管理装置30において管理されているチケットの情報を参照、編集するものであってもよい。
端末装置40は、例えば、アラートの監視を行うオペレータによって操作される。端末装置40には、例えば、チケット管理装置30において管理されているチケットの情報を参照、編集するためのアプリケーションが予めインストールされていてよい。或いは、端末装置40は、ブラウザを利用して、チケット管理装置30において管理されているチケットの情報を参照、編集するものであってもよい。
【0030】
端末装置40は、例えば、デスクトップ型コンピュータ、ノート型コンピュータ、タブレット型コンピュータ、スマートフォン等の携帯電話やタブレット端末、PDA(Personal Digital Assistant)、その他のコンピュータ装置である。尚、オペレータには、サービスごとに設けられた複数の監視システムから出力されるアラートメールを一時受けしてこれらを集約的に監視する監視センター担当者、各サービスのサービス担当者等が含まれる。
【0031】
[チケット登録処理]
次に、図面を参照しながらアラート監視システム1のチケット登録処理について説明する。図6は、アラート監視システム1のチケット登録処理の流れの一例を示すフローチャートである。まず、チケット登録装置10は、監視対象Tを監視する監視システムにより出力されるアラートメールMを受信する(ステップS101)。
次に、図面を参照しながらアラート監視システム1のチケット登録処理について説明する。図6は、アラート監視システム1のチケット登録処理の流れの一例を示すフローチャートである。まず、チケット登録装置10は、監視対象Tを監視する監視システムにより出力されるアラートメールMを受信する(ステップS101)。
【0032】
次に、チケット登録装置10は、サーバ情報データベース20から、アラートメールMに含まれるホスト名と対応するサーバ情報を取得する(ステップS103)。次に、チケット登録装置10は、受信したアラートメールMのメール本文に対して、予め設定されたルールに基づく編集処理を行い、編集後のメール本文をハッシュ化する(ステップS105)。図7は、アラートメールMのメール本文に対する編集処理およびハッシュ化処理の一例を説明するための図である。図7に示すように、チケット登録装置10は、受信したアラートメールM1の中からメール本文M2を抽出する。次に、チケット登録装置10は、メール本文M2に対して、予め定められたルールに基づく編集処理を行う。図7に示す例では、メール本文M2に含まれる文言のうち、アラートの発生元であるホスト名の末尾に存在する2桁の数字を除去し、さらに、アラート発生日時を示す数字を削除して、編集済みメール本文M3を得る。次に、チケット登録装置10は、編集済みメール本文M3に対して、所定のハッシュ化処理を行い、ハッシュ値M4を得る。
【0033】
上記のような編集処理およびハッシュ化処理を行うことで、単一の機能の実現のために構成された複数のサーバ(例えば、負荷分散を目的としてラック構成とされたサーバ群)においては、アラート内容が同じである場合、算出されるハッシュ値が同一となる。尚、アラートメールMのメール本文のフォーマットは、サービスごとに(アラートメールMを送信する監視システムごとに)異なる場合がある。このため、上記の編集処理において利用されるメール本文の編集のルールは、サービスごとに設定される。
【0034】
次に、チケット登録装置10は、グループ情報記憶部15に記憶されたグループ情報15Aを参照し、ハッシュ値の比較を行う。例えば、チケット登録装置10は、算出したハッシュ値と同じ値を親キー値として持ち、そのバリューがアラートメールM1のメール本文に含まれるアラート発生日時から所定の時間内(例えば、15分以内、30分以内等)であるレコードが存在するか否かを判定する(ステップS107)。すなわち、チケット登録装置10は、アラートメールM1において通知されたアラートよりも前に発生したアラートであって、関連を有しており同種とみなしうるアラートを示すチケット(親チケット、第1事象)が既に存在するか否かを判定する。関連を有するアラートを示すチケットが複数存在している場合、最初に発生したアラートを示すチケットを親チケットとして設定する。ここで、親チケットの判定に「所定の時間内」という条件を設けている理由は、ハッシュ値が同一であっても、先のアラート発生から既にある程度時間が経過している場合には、同種とみなさずに、別のアラートとして管理することが適切であると考えられるためである。
【0035】
チケット登録装置10は、親チケットが存在すると判定した場合、アラートメールM1において通知されたアラートを、親チケットに関連付けされた子チケット(第2事象)として設定する(ステップS109)。一方、チケット登録装置10は、親チケットが存在しないと判定した場合、アラートメールM1において通知されたアラートを親チケットとして設定する(ステップS111)。
【0036】
次に、チケット登録装置10は、受信したアラートメールM1の情報(すなわち、上記のハッシュ化処理が行われる前のアラートメールM1の情報)と、フィルタ情報記憶部16に記憶されたフィルタ情報16Aとに基づいて、アラートメールMの対象であるサービスを特定し、アラートメールMにより通知されるアラートに対して何らかの対応(例えば、応急処置等)が必要であるか否かを判定することで、対応要否のフィルタリングを行う(ステップS113)。チケット登録装置10は、例えば、アラートメールM1のメールヘッダに含まれる「Toアドレス」を検索キーとしてフィルタ情報記憶部16を検索し、対応するレコードを参照することで、上記のサービスを特定、および対応要否のフィルタリングを行う。
【0037】
例えば、図4に示されるフィルタ情報16Aにおいては、アラートメールM1のメールヘッダに含まれる「Toアドレス」が“aaa@aa.com”である場合、「サービス名」が“サービス1”であり、「アラート内容」が“HIGH”である場合には、「対応要否1」が“要”であることが分かる。尚、フィルタ情報16AにアラートメールM1のメールヘッダに含まれる「Fromアドレス」、アラートメールM1のメール本文に含まれる「ホスト名」等が記憶されている場合には、これらの情報がサービスの特定に用いられてもよい。
【0038】
次に、チケット登録装置10は、アラートメールM1に含まれるメール本文等の情報と、設定した親チケットまたは子チケットの区別情報と、特定したサービス名と、判定した対応要否の情報とを用いてチケットを起票し、チケット管理装置30に登録する(ステップS115)。
【0039】
図8は、チケット管理装置30のチケット情報記憶部35に記憶されたチケット情報35Aを示す図である。図8に示す例では、“グループ1”として、「ホスト名」が“hostA01”、“hostA02”、および“hostA03”である3つのチケットが登録されている。この内、“hostA01”のアラートが“親チケット”として設定され、“hostA02”および“hostA03”のアラートが“子チケット”として設定されている。以上により、本フローチャートの処理を終了する。
【0040】
尚、チケット登録処理における処理ステップの順番は上記に例に限られず適宜変更が可能である。例えば、対応要否のフィルタリング処理(ステップS113)が、ハッシュ化処理(ステップS105)の前に行われてもよい。
【0041】
[チケット参照および編集処理]
オペレータは、所望のチケットに関する情報を端末装置40上で参照および編集することができる。図9は、端末装置40の表示部に表示されたチケット画面D1の一例を示す図である。チケット画面D1においては、親チケットであるチケット番号「00001」のチケットの対応状況に関する情報が表示されている。チケット画面D1においては、子チケットとして「チケット番号00002」と、「チケット番号00003」とが関連付けされて表示されている。また、「履歴」欄には、対応が正常に完了していることが登録されている。このようなチケット画面D1において、親チケットとして設定されたチケット番号「00001」のチケットを管理することで、これと関連付けされている子チケットについてもまとめて管理することができる。例えば、オペレータの操作に基づいて、親チケットとして設定されたチケット番号「00001」のチケットのステータスを対応完了に設定された場合、これと関連付けされている子チケットのステータスも自動的に対応完了に設定される。
オペレータは、所望のチケットに関する情報を端末装置40上で参照および編集することができる。図9は、端末装置40の表示部に表示されたチケット画面D1の一例を示す図である。チケット画面D1においては、親チケットであるチケット番号「00001」のチケットの対応状況に関する情報が表示されている。チケット画面D1においては、子チケットとして「チケット番号00002」と、「チケット番号00003」とが関連付けされて表示されている。また、「履歴」欄には、対応が正常に完了していることが登録されている。このようなチケット画面D1において、親チケットとして設定されたチケット番号「00001」のチケットを管理することで、これと関連付けされている子チケットについてもまとめて管理することができる。例えば、オペレータの操作に基づいて、親チケットとして設定されたチケット番号「00001」のチケットのステータスを対応完了に設定された場合、これと関連付けされている子チケットのステータスも自動的に対応完了に設定される。
【0042】
尚、このチケット画面D1において、「子チケット」欄に設けられた「追加」リンクを押下することで、手動により子チケットを登録することもできる。また、親子関係は無いが、すなわち、互いに異なるアラートであるが、一緒に対応した方が良いことが想定される関連性のあるチケットを「関連するチケット」として手動で設定することもできる。尚、ホスト名や、アラート内容を予め関連付けしたテーブル等を定義しておくことで、関連するチケットが自動的に表示されるようにしてもよい。尚、チケット画面D1において、子チケットの表示は省略してもよい。
【0043】
また、図10は、端末装置40の表示部に表示されたアラートタスク管理画面D2の一例を示す図である。アラートタスク管理画面D2においては、「サービス1」に関連付けされたチケット(親チケット、子チケット)が一覧表示されている。オペレータ(例えば、サービス担当者)は、自身が管理するサービスに関連付けされたチケットを一括して管理することができるため、個別にチケットを管理する手間を省くことができる。
【0044】
[アラート推移の参照処理]
図11は、端末装置40の表示部に表示されたアラート推移グラフ画面D3の一例を示す図である。オペレータは、サービスの設定、或いは、アラートメールMの件名および/または本文に対してキーワード検索をかけることで、所望のアラートに関して「要対応」、「要確認」、および「対応不要」として処理された件数を示すグラフを参照することができる。
図11は、端末装置40の表示部に表示されたアラート推移グラフ画面D3の一例を示す図である。オペレータは、サービスの設定、或いは、アラートメールMの件名および/または本文に対してキーワード検索をかけることで、所望のアラートに関して「要対応」、「要確認」、および「対応不要」として処理された件数を示すグラフを参照することができる。
【0045】
[フィルタ設定]
図12は、端末装置40の表示部に表示されたフィルタ設定画面D4の一例を示す図である。オペレータは、このフィルタ設定画面D4において、アラートメールごとのフィルタ条件の登録を行うことができる。尚、このフィルタ設定画面D4において設定されたフィルタ条件は、図4に示すフィルタ情報16Aに設定される。
図12は、端末装置40の表示部に表示されたフィルタ設定画面D4の一例を示す図である。オペレータは、このフィルタ設定画面D4において、アラートメールごとのフィルタ条件の登録を行うことができる。尚、このフィルタ設定画面D4において設定されたフィルタ条件は、図4に示すフィルタ情報16Aに設定される。
【0046】
上記の実施形態に係るアラート監視システム1によれば、アラートの監視の負荷を軽減することが可能である。チケット間に親子関係を設定することで、関連するアラートや、一緒に対応したアラートの確認が容易となる。また、オペレータは、チケット画面D1を参照することで、アラートの発生元のサービスの種別、アラートの未対応・対応中等のステータスを容易に確認することが可能である。また、アラートの対応漏れを常時確認していた人的コストを削減することが可能である。また、フィルタ設定を可能とすることで、オペレータは、無視してよいアラートを覚える必要がなくなり、担当変更が生じた場合にも柔軟に対応することが可能である。
【0047】
尚、上記の実施形態においては、チケット登録装置10と、サーバ情報データベース20と、チケット管理装置30とが別の装置として構成される例を説明したが、これらの一部または全部が、1つの装置として構成されてもよい。
【0048】
以上、本発明を実施するための形態について実施形態を用いて説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
【符号の説明】
【0049】
1‥アラート監視システム、10‥チケット登録装置、11‥通信部、12‥グループ判定部、13‥フィルタ部、14‥登録部、15‥グループ情報記憶部、16‥フィルタ情報記憶部、20‥サーバ情報データベース、30‥チケット管理装置、31‥通信部、32‥登録部、33‥表示制御部、34‥編集部、35‥チケット情報記憶部、NW‥ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】