[go: up one dir, main page]

JP2005294974A - Network monitoring system and network monitoring apparatus - Google Patents

Network monitoring system and network monitoring apparatus Download PDF

Info

Publication number
JP2005294974A
JP2005294974A JP2004103671A JP2004103671A JP2005294974A JP 2005294974 A JP2005294974 A JP 2005294974A JP 2004103671 A JP2004103671 A JP 2004103671A JP 2004103671 A JP2004103671 A JP 2004103671A JP 2005294974 A JP2005294974 A JP 2005294974A
Authority
JP
Japan
Prior art keywords
packet
network
network monitoring
capture
monitoring device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004103671A
Other languages
Japanese (ja)
Inventor
Hisashi Okada
尚志 岡田
Yoichi Hirota
陽一 廣田
Norikazu Yamagishi
令和 山岸
Mutsuharu Takesada
睦治 武貞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Electronics Services Co Ltd
Original Assignee
Hitachi Electronics Services Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Electronics Services Co Ltd filed Critical Hitachi Electronics Services Co Ltd
Priority to JP2004103671A priority Critical patent/JP2005294974A/en
Publication of JP2005294974A publication Critical patent/JP2005294974A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Maintenance And Management Of Digital Transmission (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To cause another network monitoring apparatus to stop acquiring data when a network monitoring apparatus stops acquiring the data. <P>SOLUTION: This system is provided with a LAN analyzer 1a connected to a network 8a and a LAN analyzer 1b connected to a network 8b. The LAN analyzer 1a is provided with a means for fetching a packet on the network 8a and storing information contained in the fetched packet. When the LAN analyzer 1a stops storing the information contained in the packet, a predetermined packet is outputted for the LAN analyzer 1b. The LAN analyzer 1b is provided with a means for fetching a packet on the network 8b and storing the information contained in the fetched packet into the storage means. Upon receiving the predetermined packet from the LAN analyzer 1a, the LAN analyzer 1b stops storing the information contained in the packet. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ネットワーク監視のための技術に関し、特にネットワークからのパケットの取り込みを制御する技術に関する。   The present invention relates to a technique for network monitoring, and more particularly, to a technique for controlling packet capture from a network.

ネットワークトラブルの原因を解析するために、ネットワーク上のパケットを取り込んで、ログとして保持するLANアナライザなどのネットワーク監視装置が広く用いられている。LANアナライザでは、このパケットを保持するための記憶領域は容量が限られているので、サイクリックに利用される。したがって、一定時間が経過すると取り込んだパケットであっても上書きされて、消失する。   In order to analyze the cause of a network trouble, a network monitoring device such as a LAN analyzer that captures a packet on the network and holds it as a log is widely used. In the LAN analyzer, since the capacity of the storage area for holding this packet is limited, it is used cyclically. Therefore, even if the captured packet is overwritten after a certain period of time, it is overwritten and lost.

そこで、従来のLANアナライザでは、例えば、プロトコルにTCP/IPを採用しているネットワークであれば、物理層、データリンク層、ネットワーク層、トランスポート層、セッション層でのプロトコルエラーを検出し、データの取得を停止して、その時点で記憶領域に保持されているデータが消失しないようにするストップトリガー機能がある。   Therefore, in a conventional LAN analyzer, for example, in a network adopting TCP / IP as a protocol, protocol errors in the physical layer, data link layer, network layer, transport layer, and session layer are detected, and data is There is a stop trigger function that stops the acquisition of data and prevents the data held in the storage area from being lost.

また、ホストコンピュータが実行しているアプリケーションにおいてエラーが発生したときでもストップトリガーをかけるためのネットワーク監視システムが、例えば特許文献1に記載されている。   For example, Patent Document 1 discloses a network monitoring system for applying a stop trigger even when an error occurs in an application executed by a host computer.

特開2002−64507公報JP 2002-64507 A

ここで、特許文献1では、エラーの起きたホストコンピュータから送られたパケットを同一セグメント内のLANアナライザが受信すると、データの取得を停止する。   Here, in Patent Document 1, when a LAN analyzer in the same segment receives a packet transmitted from a host computer in which an error has occurred, data acquisition is stopped.

しかし、エラーの起きたホストコンピュータから送られたパケットが届かないところに設置されているLANアナライザは、ストップトリガーがかからず、データの取得を停止することがない。また、LANアナライザがストップトリガーによりデータの取得を停止しても、ネットワーク上の他の装置はそれを知り得ない。   However, a LAN analyzer installed where a packet sent from a host computer in which an error has occurred does not reach a stop trigger and does not stop data acquisition. Also, even if the LAN analyzer stops data acquisition by a stop trigger, other devices on the network cannot know it.

本発明の目的は、ネットワーク監視装置がデータの取得を停止したときに、他のネットワーク監視装置にもデータの取得を停止させるための技術を提供することである。   An object of the present invention is to provide a technique for causing other network monitoring devices to stop acquiring data when the network monitoring device stops acquiring data.

本発明の他の目的は、ネットワーク監視装置がデータの取得を停止したときに、ネットワーク上の他の装置へデータの取得が停止したことを通知するための技術を提供することである。   Another object of the present invention is to provide a technique for notifying other devices on the network that data acquisition has stopped when the network monitoring device stops acquiring data.

本発明の一つに実施態様に従うネットワーク監視システムは、第1のネットワークに接続された第1のネットワーク監視装置と、第2のネットワークに接続された第2のネットワーク監視装置とを備えたネットワーク監視システムである。第1のネットワーク監視装置は、第1の記憶手段と、第1のネットワーク上のパケットを取り込み、当該取り込んだパケットに含まれている情報を第1の記憶手段に格納する第1のパケット取り込み手段と、前記第1の取り込み手段が前記第1の記憶手段へのパケットに含まれている情報の格納を停止したとき、第2のネットワーク監視装置に対して所定のパケットを出力する手段と、を備える。第2のネットワーク監視装置は、第2の記憶手段と、第2のネットワーク上のパケットを取り込み、当該取り込んだパケットに含まれている情報を第2の記憶手段に格納する第2のパケット取り込み手段と、を備える。そして、第1のネットワーク監視装置から前記所定のパケットを受信すると、第2の取り込み手段は、前記第2の記憶手段へのパケットに含まれている情報の格納を停止する。   A network monitoring system according to an embodiment of the present invention includes a network monitoring system including a first network monitoring device connected to a first network and a second network monitoring device connected to a second network. System. The first network monitoring device includes a first storage unit and a first packet capturing unit that captures a packet on the first network and stores information included in the captured packet in the first storage unit. And means for outputting a predetermined packet to the second network monitoring device when the first capturing means stops storing the information contained in the packet to the first storage means, Prepare. The second network monitoring device includes second storage means and second packet capturing means for capturing a packet on the second network and storing information contained in the captured packet in the second storage means And comprising. When the predetermined packet is received from the first network monitoring device, the second fetching unit stops storing the information included in the packet in the second storage unit.

好適な実施形態では、第2のネットワーク監視装置は、前記第2の取り込み手段が前記第2の記憶手段へのパケットの格納を停止したとき、第1のネットワーク監視装置に対してパケットの格納を停止したことを示すパケットを出力する手段を、さらに備えるようにしてもよい。   In a preferred embodiment, the second network monitoring device stores packets in the first network monitoring device when the second capturing unit stops storing the packets in the second storage unit. You may make it further provide a means to output the packet which shows having stopped.

好適な実施形態では、第1のネットワーク監視装置は、データベースと、前記第1の取り込み手段が前記第1の記憶手段へのパケットの格納を停止したとき、第1の記憶手段に格納されている前記パケットに含まれている情報を、前記データベースへ格納する手段と、をさらに備えるようにすることができる。   In a preferred embodiment, the first network monitoring device is stored in the first storage means when the database and the first capture means stop storing packets in the first storage means. Means for storing the information contained in the packet into the database.

本発明の一つの実施態様に従うネットワーク監視装置は、記憶手段と、ネットワーク上のパケットを取り込み、当該取り込んだパケットに含まれている情報を前記記憶手段に格納するキャプチャーを行うキャプチャー手段と、前記キャプチャーを停止したとき、前記ネットワークとは別セグメントのネットワークに属する他のネットワーク監視装置に対して、前記キャプチャーの停止を通知するためのパケットを送信する手段と、を備える
本発明の一つの実施態様に従うネットワーク監視装置は、記憶手段と、ネットワーク上のパケットを取り込み、当該取り込んだパケットに含まれている情報を前記記憶手段に格納するキャプチャーを行うキャプチャー手段と、を備える。そして、前記ネットワークとは別セグメントのネットワークに属する他のネットワーク監視装置から、前記他のネットワーク監視装置でのキャプチャーが停止したことを示すパケットを受信すると、キャプチャー手段はキャプチャーを停止する。 A network monitoring apparatus according to an embodiment of the present invention includes a storage unit, a capture unit that captures a packet on the network, and stores information included in the captured packet in the storage unit, and the capture And a means for transmitting a packet for notifying the stop of the capture to another network monitoring device belonging to a network in a different segment from the network according to one embodiment of the present invention The network monitoring device includes storage means and capture means for capturing a packet on the network and capturing information stored in the captured packet in the storage means. When receiving a packet indicating that the capture in the other network monitoring device has stopped from another network monitoring device belonging to a network in a different segment from the network, the capture unit stops the capture.

以下、本発明の一実施形態に係るネットワークシステムについて、図面を用いて説明する。   Hereinafter, a network system according to an embodiment of the present invention will be described with reference to the drawings.

図1は、本実施形態に係るネットワークシステムの全体構成図である。すなわち、本システムは、ネットワーク監視装置であるLANアナライザ1(1a,1b)と、ホストコンピュータ2(2a,2b)とがネットワーク8(8a,8b)を介して接続されている。ここでは、ネットワーク8aには、LANアナライザ1aと、ホストコンピュータ2aと、テスト用コンピュータ3aとが接続され、LAN(Local Area Network)30が形成されている。ネットワーク8bには、LANアナライザ1bと、ホストコンピュータ2bとが接続され、LAN40が形成されている。LAN30,40には、それぞれホストコンピュータ2a、2bが複数台あってもよい。各ホストコンピュータ2a、2bは、それぞれのLAN30,40内の他のホストコンピュータおよび他のLAN30,40のホストコンピュータと通信を行うことができる。   FIG. 1 is an overall configuration diagram of a network system according to the present embodiment. That is, in this system, a LAN analyzer 1 (1a, 1b), which is a network monitoring device, and a host computer 2 (2a, 2b) are connected via a network 8 (8a, 8b). Here, a LAN analyzer 1a, a host computer 2a, and a test computer 3a are connected to the network 8a to form a LAN (Local Area Network) 30. A LAN analyzer 1b and a host computer 2b are connected to the network 8b to form a LAN 40. The LANs 30 and 40 may include a plurality of host computers 2a and 2b, respectively. Each of the host computers 2a and 2b can communicate with other host computers in the respective LANs 30 and 40 and host computers of the other LANs 30 and 40.

ネットワーク8aとネットワーク8bとはゲートウェイ9aを介して接続され、WAN(Wide Area Network)が形成されている。従って、LAN30およびLAN40は、互いに異なるセグメントである。また、ネットワーク8bには、さらにゲートウェイ9bが接続されていて、さらに別のネットワークと接続されている。そして、数段先のネットワーク8cには、このネットワークシステム全体を監視する監視端末4が接続されている。   The network 8a and the network 8b are connected via a gateway 9a to form a WAN (Wide Area Network). Accordingly, the LAN 30 and the LAN 40 are different segments. Further, a gateway 9b is further connected to the network 8b, and is further connected to another network. A monitoring terminal 4 for monitoring the entire network system is connected to the network 8c several stages ahead.

図1に示すネットワークシステムは、通信プロトコルにTCP/IPを用いることができる。ただし、通信プロトコルはTCP/IPに限定されない。たとえば、他の通信プロトコルを用いてもよいし、IP(インターネットプロトコル)と、TCP(トランスミッションコントロールプロトコル)以外の上位プロトコルとを組み合わせてもよい。   The network system shown in FIG. 1 can use TCP / IP as a communication protocol. However, the communication protocol is not limited to TCP / IP. For example, another communication protocol may be used, or an IP (Internet protocol) and a higher-level protocol other than TCP (Transmission Control Protocol) may be combined.

本実施の形態では、ホストコンピュータ2a、2bが、あらかじめ定められた事象の発生を検出して、それをLANアナライザ1a、1bが検知可能な事象に変換を行う。例えば、コンピュータ2a、2bが、アプリケーション層でのエラー等を検出すると、ネットワーク上にあるすべてのコンピュータにとって、論理的に存在しないIPアドレス(新規に割り当てられたIPアドレス)、またはLANアナライザ1のIPアドレスに対するpingコマンドの発行という事象に変換する。   In the present embodiment, the host computers 2a and 2b detect the occurrence of a predetermined event, and convert it into an event that can be detected by the LAN analyzers 1a and 1b. For example, when the computer 2a or 2b detects an error or the like in the application layer, the IP address (newly assigned IP address) that does not exist logically for all the computers on the network, or the IP of the LAN analyzer 1 This is converted into an event of issuing a ping command for an address.

LANアナライザ1は、ネットワークのトラブル発生時等に設置され、ネットワーク8上のパケットを取り込んで、このパケットに含まれている情報を保持する。ネットワークの保守担当者は、LANアナライザ1に保持されたパケットに含まれている情報を解析して、トラブルの原因の究明に役立てる。LANアナライザ1の詳細な構成は図2(a)を用いて説明する。   The LAN analyzer 1 is installed when a network trouble occurs, takes in a packet on the network 8, and holds information contained in the packet. The person in charge of network maintenance analyzes the information contained in the packet held in the LAN analyzer 1 and helps to investigate the cause of the trouble. A detailed configuration of the LAN analyzer 1 will be described with reference to FIG.

LANアナライザ1は、図2(a)に示すように、キーボード等の入力装置101およびCRT、液晶ディスプレイ等の表示装置102が接続されている。LANアナライザ1は、ネットワーク上のパケットを取り込んで保持するキャプチャー部12と、IPアドレス記憶部13と、データ判別部14と、プロトコル検査部15と、データ取得制御部16と、データベース17と、表示制御部18とを、その内部機能として備える。これらの内部機能は、プロセッサが所定のプログラムを読み込んで、それを実行することにより実現される。   As shown in FIG. 2A, the LAN analyzer 1 is connected to an input device 101 such as a keyboard and a display device 102 such as a CRT and a liquid crystal display. The LAN analyzer 1 includes a capture unit 12 that captures and holds packets on the network, an IP address storage unit 13, a data determination unit 14, a protocol inspection unit 15, a data acquisition control unit 16, a database 17, and a display. The control unit 18 is provided as its internal function. These internal functions are realized by a processor reading a predetermined program and executing it.

キャプチャー部12は、ネットワークからデータを取り込むデータ取込部121と、取り込んだデータを保持するデータ保持部122とを有する。データ取込部121は、ネットワーク上のパケットを取り込み、このパケットに含まれる一部または全部の情報をデータ保持部122へ格納する。データ保持部122は、データ取込部121が取り込んだパケットに含まれる情報をログとして保持する。データ保持部122は、例えば、一定の容量を持つサイクリックバッファで構成される。つまり、例えば100メガバイト程度の容量を持ち、パケットを順次記憶していき、全領域にデータが記憶された状態になると、時間的に最も古いデータに上書きして記憶していく。   The capture unit 12 includes a data capture unit 121 that captures data from the network, and a data storage unit 122 that stores the captured data. The data capturing unit 121 captures a packet on the network and stores part or all of the information included in the packet in the data holding unit 122. The data holding unit 122 holds information included in the packet taken in by the data taking unit 121 as a log. The data holding unit 122 is configured by a cyclic buffer having a certain capacity, for example. That is, for example, it has a capacity of about 100 megabytes, and packets are sequentially stored. When data is stored in all areas, the oldest data in time is overwritten and stored.

データ保持部122に格納されているログデータは、データベース17へコピーすることができる。これにより、データ保持部122にデータが上書きされてデータが消失することを防止できる。例えば、後述するように、キャプチャーが停止されたときのデータ保持部122の内容をデータベース17へコピーして確保しておけば、保守担当者がこれをエラー解析などに利用することができ、かつ、直ちにキャプチャーを再開できる。   The log data stored in the data holding unit 122 can be copied to the database 17. As a result, data can be prevented from being overwritten by data being overwritten in the data holding unit 122. For example, as will be described later, if the content of the data holding unit 122 when the capture is stopped is copied and secured in the database 17, the maintenance staff can use it for error analysis and the like, and , You can resume capture immediately.

IPアドレス記憶部13には、自己のIPアドレス、同じLANに属するテスト用コンピュータ3に設定されたIPアドレス、別セグメントのLANに属するLANアナライザ1のIPアドレス、および監視端末4のIPアドレスが記憶されている。例えば、LANアナライザ1aのIPアドレス記憶部13には、自己のIPアドレス80b、テスト用コンピュータ3aのIPアドレス80c、LANアナライザ1bのIPアドレス80eおよび監視端末4のIPアドレス80fが記憶されている。   The IP address storage unit 13 stores its own IP address, the IP address set in the test computer 3 belonging to the same LAN, the IP address of the LAN analyzer 1 belonging to the LAN of another segment, and the IP address of the monitoring terminal 4 Has been. For example, the IP address storage unit 13 of the LAN analyzer 1a stores its own IP address 80b, the IP address 80c of the test computer 3a, the IP address 80e of the LAN analyzer 1b, and the IP address 80f of the monitoring terminal 4.

データ判別部14は、キャプチャー部12が取り込んだパケットが特定のパケットであるかどうかを判別する。判別の結果、特定のパケットである場合は、その旨をデータ取得制御部16へ通知する。この特定のパケットとは、例えば、後述するように、ホストコンピュータ2でエラー、あるいは警告に相当するような所定の事象が発生したことを通知するためのパケット(APエラー通知)であってもよいし、あるいは、別セグメントのLANアナライザ1がキャプチャーを停止したことを通知するためのパケット(キャプチャー停止通知)であってもよい。特定のパケットであるかは、例えば、取り込んだパケットの送信先のIPアドレスがIPアドレス記憶部13に記憶されているIPアドレスと一致するかどうかで判別しても良い。例えば、LANアナライザ1aにおけるAPエラー通知の判定は、取り込んだパケットの送信先IPアドレスが、IPアドレス80cまたは自己のIPアドレス80bであるかにより行う。また、LANアナライザ1aにおけるキャプチャー停止通知の判定は、発信元IPアドレスがLANアナライザ1bのIPアドレス80eであるかにより行う。いずれの場合も、さらに、取り込んだパケットがPingコマンドであるかどうかを併せて判別してもよい。   The data determination unit 14 determines whether or not the packet captured by the capture unit 12 is a specific packet. If the packet is a specific packet as a result of determination, the fact is notified to the data acquisition control unit 16. The specific packet may be, for example, a packet (AP error notification) for notifying that a predetermined event corresponding to an error or warning has occurred in the host computer 2, as will be described later. Alternatively, it may be a packet (capture stop notification) for notifying that the LAN analyzer 1 of another segment has stopped capturing. Whether the packet is a specific packet may be determined, for example, based on whether or not the destination IP address of the fetched packet matches the IP address stored in the IP address storage unit 13. For example, the determination of the AP error notification in the LAN analyzer 1a is performed based on whether the destination IP address of the captured packet is the IP address 80c or the own IP address 80b. The determination of the capture stop notification in the LAN analyzer 1a is made based on whether the source IP address is the IP address 80e of the LAN analyzer 1b. In either case, it may be further determined whether or not the captured packet is a Ping command.

プロトコル検査部15は、ネットワーク8から取り込んだパケットにプロトコル異常があるかを判定する。例えば、プロトコル検査部15は、プロトコルの下位階層の異常を検出する。プロトコルの異常があったときは、データ取得制御部16へその旨を通知する。   The protocol inspection unit 15 determines whether a packet taken in from the network 8 has a protocol abnormality. For example, the protocol inspection unit 15 detects an abnormality in a lower layer of the protocol. If there is an abnormality in the protocol, the data acquisition control unit 16 is notified accordingly.

データ取得制御部16は、キャプチャー部12が行うキャプチャーを停止させるなど、キャプチャーの制御を行う。例えば、データ判別部14から、特定のパケットを受信したことの通知を受けたり、プロトコル検査部15からプロトコル異常の通知を受けたりすると、キャプチャー部12に対してキャプチャーを停止させるように指示する。キャプチャーの停止とは、例えば、その特定のパケットより後のパケットを保持しないようにすることである。つまり、特定のパケットより後にネットワーク上を伝送されてくるパケットは、データ取込部121が取り込まないように制限してもよいし、特定のパケットより後にネットワーク上を伝送されてきて、データ取込部121が取り込んだパケットについては、データ保持部122へ書き込まないようにしてもよい。   The data acquisition control unit 16 performs capture control such as stopping the capture performed by the capture unit 12. For example, when a notification that a specific packet has been received is received from the data determination unit 14 or a protocol abnormality notification is received from the protocol inspection unit 15, the capture unit 12 is instructed to stop capturing. The stop of the capture is, for example, not to hold a packet after the specific packet. That is, a packet that is transmitted on the network after a specific packet may be restricted so that the data capturing unit 121 does not capture it, or is transmitted on the network after a specific packet and the data capture is performed. The packet captured by the unit 121 may not be written to the data holding unit 122.

こうすることで、特定のパケットを受信した以降、データ保持部122の記憶内容が更新されて、書きかえられてしまうことを回避できる。その結果、特定のパケットを受信する直前にネットワーク上に存在したパケットに関する情報がデータ保持部122に残って保持され続け、上書きされてしまうことがない。   By doing so, it is possible to avoid the contents stored in the data holding unit 122 being updated and rewritten after receiving a specific packet. As a result, information regarding the packet existing on the network immediately before receiving the specific packet remains in the data holding unit 122 and is not overwritten.

また、データ取得制御部16は、上述のようにしてキャプチャー部12にキャプチャーを停止させると、これを別セグメントのLANアナライザ1、あるいは、監視端末4など、他の装置へ通知するためのパケットを生成して、送信する。例えば、LANアナライザ1aのデータ取得制御部16は、IPアドレス記憶部13を参照して、LANアナライザ1bおよび監視端末4へキャプチャー停止を通知するためのパケットを生成し、ネットワーク8aへ出力する。   In addition, when the data acquisition control unit 16 causes the capture unit 12 to stop capturing as described above, the data acquisition control unit 16 sends a packet for notifying other devices such as the LAN analyzer 1 or the monitoring terminal 4 of another segment. Generate and send. For example, the data acquisition control unit 16 of the LAN analyzer 1a refers to the IP address storage unit 13, generates a packet for notifying the LAN analyzer 1b and the monitoring terminal 4 of the capture stop, and outputs the packet to the network 8a.

また、別セグメントのLANアナライザ1からのキャプチャー停止通知を受けてキャプチャーを停止させたときは、そのキャプチャー停止通知の送信元のLANアナライザ1に対してキャプチャー停止完了を通知するためのリプライを返しても良い。   When the capture is stopped by receiving the capture stop notification from the LAN analyzer 1 of another segment, a reply for notifying the capture stop completion to the LAN analyzer 1 that sent the capture stop notification is returned. Also good.

さらに、データ取得制御部16は、キャプチャーが停止しているときに、データ保持部122に保持されているログデータをデータベース17へコピーする。データベース17へのコピーが完了すると、データ取得制御部16はキャプチャー部12に対して、キャプチャーを再開するよう指示しても良い。   Furthermore, the data acquisition control unit 16 copies the log data held in the data holding unit 122 to the database 17 when the capture is stopped. When copying to the database 17 is completed, the data acquisition control unit 16 may instruct the capture unit 12 to resume capture.

また、データ取得制御部16は、データ保持部122に保持されているログデータを監視端末4へ送信する。ここで、監視端末4へ送信するデータは、データ保持部122に保持されている全データであっても良いし、一部のデータ(例えば、取り込んだ日時が新しいものから所定時間内のもの)であってもよい。このとき、データ保持部122からデータベース17へコピーされたデータを用いて転送しても良い。   In addition, the data acquisition control unit 16 transmits the log data held in the data holding unit 122 to the monitoring terminal 4. Here, the data to be transmitted to the monitoring terminal 4 may be all the data held in the data holding unit 122, or a part of the data (for example, the date and time when the date was taken is within a predetermined time). It may be. At this time, the data copied from the data holding unit 122 to the database 17 may be used for transfer.

監視端末4がログデータを受信すると、これを報知するために図示しない表示装置にポップアップウィンドウでエラーメッセージを表示したり、警報音を発したりしても良い。また、ネットワークの保守担当者は、監視端末4で受信したログデータを図示しない表示装置、プリンタなどへ出力して、エラーの原因解析に利用できる。   When the monitoring terminal 4 receives the log data, an error message may be displayed on a display device (not shown) in a pop-up window or an alarm sound may be generated to notify the log data. Further, a network maintenance person can output log data received by the monitoring terminal 4 to a display device, a printer, or the like (not shown) and use it for error cause analysis.

入出力制御部18は、入力装置101および表示装置102の制御を行う。例えば、入力装置101から入力を受け付け、表示装置102にデータ保持部122に保持しているログデータを表示させる。   The input / output control unit 18 controls the input device 101 and the display device 102. For example, an input is received from the input device 101, and the log data held in the data holding unit 122 is displayed on the display device 102.

次に、ホストコンピュータ2について説明する。ホストコンピュータ2aおよびホストコンピュータ2bには、それぞれIPアドレス80a,80dが割り振られていて、相互に通信を行い、所定のアプリケーションを実行することができる。   Next, the host computer 2 will be described. The host computer 2a and the host computer 2b are assigned IP addresses 80a and 80d, respectively, and can communicate with each other and execute a predetermined application.

ホストコンピュータ2の詳細な構成を図2(b)に示す。同図に示すように、ホストコンピュータ2は、通信制御部21と、1以上のデータ処理部22と、データ処理部22でのエラー発生を検出するエラー検出部23と、IPアドレス記憶部24を、その内部機能として備える。これらの内部機能は、プロセッサが所定のプログラムを読み込んで、それを実行することにより実現される。   A detailed configuration of the host computer 2 is shown in FIG. As shown in the figure, the host computer 2 includes a communication control unit 21, one or more data processing units 22, an error detection unit 23 that detects an error in the data processing unit 22, and an IP address storage unit 24. As an internal function. These internal functions are realized by a processor reading a predetermined program and executing it.

通信制御部21は、ネットワーク上の他の装置との通信を制御する。例えば、LAN8上のパケットを取得し、自コンピュータ2宛てのパケットを受け付ける。また、ネットワーク上の他の装置へ送信するために、パケットを生成して、LAN8へ出力する。   The communication control unit 21 controls communication with other devices on the network. For example, a packet on the LAN 8 is acquired and a packet addressed to the own computer 2 is accepted. In addition, a packet is generated and transmitted to the LAN 8 for transmission to other devices on the network.

データ処理部22は、通信制御部21が受け付けたパケットが示す情報に基づいて、ユーザが定義した所定のアプリケーション処理を行う。   The data processing unit 22 performs predetermined application processing defined by the user based on information indicated by the packet received by the communication control unit 21.

エラー検出部23は、データ処理部22であらかじめ定められた事象が発生したかどうかを監視し、当該事象が発生するとそれを検出する。エラー検出部23が検出すべき事象は、ユーザが任意に指定することができる。たとえば、データ処理部22における処理の異常終了、他の装置との通信処理におけるタイムアウト等の通信不良、プロトコルの上位階層でのエラー等を検出するようにしてもよい。さらに、いわゆる警告のような軽微な不具合をエラーとして検出するようにしてもよい。   The error detection unit 23 monitors whether or not a predetermined event has occurred in the data processing unit 22, and detects the occurrence of the event. An event to be detected by the error detection unit 23 can be arbitrarily designated by the user. For example, an abnormal termination of processing in the data processing unit 22, a communication failure such as a timeout in communication processing with another device, an error in an upper layer of the protocol, or the like may be detected. Furthermore, minor problems such as so-called warnings may be detected as errors.

さらに、エラー検出部23がエラーを検出すると、IPアドレス記憶部24に記憶されているIPアドレスの装置に対してAPエラーの検出を通知する。例えば、IPアドレス記憶部24に記憶されているIPアドレスへ宛てて、APエラー通知としてPingコマンドを発行するように通信制御部21へ指示する。   Further, when the error detection unit 23 detects an error, it notifies the device of the IP address stored in the IP address storage unit 24 of the detection of the AP error. For example, the communication control unit 21 is instructed to issue a Ping command as an AP error notification to the IP address stored in the IP address storage unit 24.

IPアドレス記憶部24は、同一セグメントおよび別セグメントのテスト用コンピュータ3あるいはLANアナライザ1に設定されたIPアドレスを記憶する。例えば、ホストコンピュータ2aのIPアドレス記憶部24には、テスト用コンピュータ3aのIPアドレス80cと、LANアナライザ1aのIPアドレス80bとが記憶される。ホストコンピュータ2bのIPアドレス記憶部24には、LANアナライザ1bのIPアドレス80eが記憶される。   The IP address storage unit 24 stores IP addresses set in the test computer 3 or the LAN analyzer 1 of the same segment and different segments. For example, the IP address storage unit 24 of the host computer 2a stores the IP address 80c of the test computer 3a and the IP address 80b of the LAN analyzer 1a. The IP address storage unit 24 of the host computer 2b stores the IP address 80e of the LAN analyzer 1b.

テスト用コンピュータ3aは、ネットワークトラブルの解析用に設置されるコンピュータである。したがって、通常時には設置する必要はない。各テスト用コンピュータ3aには、それぞれIPアドレス80cが割り振られている。テスト用コンピュータ3は、IPアドレスを割り振って、ネットワーク8に接続できる装置であればなんでもよい。   The test computer 3a is a computer installed for analyzing network troubles. Therefore, it is not necessary to install it during normal times. Each test computer 3a is assigned an IP address 80c. The test computer 3 may be any device that can be connected to the network 8 by assigning an IP address.

次に、LANアナライザ1の処理手順について、図3のフローチャートを用いて説明する。   Next, the processing procedure of the LAN analyzer 1 will be described using the flowchart of FIG.

まず、LANアナライザ1が動作を開始すると、キャプチャー部12がネットワーク8上のパケットを取り込み、データ保持部122へ格納する(S11)。   First, when the LAN analyzer 1 starts operation, the capture unit 12 captures a packet on the network 8 and stores it in the data holding unit 122 (S11).

次に、プロトコル検査部15は、取り込んだパケットを解析し、プロトコルに異常がないか検査する(S12)。また、データ判別部14は、取り込んだパケットがホストコンピュータ2からのAPエラー通知であったかの判定(S13)、および、別セグメントのLANアナライザ1からのキャプチャー停止通知であったかを判定する(S14)。なお、ステップS12〜S14は、これ以外の順序で判定を行ってもよい。また、ステップS12〜S14の処理は、ステップS11のデータ保持部122へのデータ格納前に行ってもよい。   Next, the protocol inspection unit 15 analyzes the captured packet and inspects whether there is an abnormality in the protocol (S12). Further, the data determination unit 14 determines whether the captured packet is an AP error notification from the host computer 2 (S13), and determines whether it is a capture stop notification from the LAN analyzer 1 of another segment (S14). Steps S12 to S14 may be determined in an order other than this. Moreover, you may perform the process of step S12-S14 before the data storage to the data holding part 122 of step S11.

ステップS12〜S14のいずれかにも該当しない場合は、ステップS11へ戻る。一方、ステップS12〜S14のいずれかに該当する場合は、データ取得制御部16の指示に基づき、キャプチャー部12はキャプチャーを停止する(S15)。   If none of Steps S12 to S14 is applicable, the process returns to Step S11. On the other hand, if any of Steps S12 to S14 is applicable, the capture unit 12 stops capturing based on an instruction from the data acquisition control unit 16 (S15).

キャプチャーが停止すると、データ取得制御部16がキャプチャー停止通知パケットを生成し、他のLANに属するLANアナライザ1へ送信する(S16)。   When the capture is stopped, the data acquisition control unit 16 generates a capture stop notification packet and transmits it to the LAN analyzer 1 belonging to another LAN (S16).

次に、データ保持部122に格納されているログデータがデータベース17へ格納され(S17)、監視端末4へ転送される(S18)。   Next, the log data stored in the data holding unit 122 is stored in the database 17 (S17) and transferred to the monitoring terminal 4 (S18).

これにより、WANにおいて、あるセグメントのLANアナライザ1がエラーなどを検知してキャプチャーを停止すると、別セグメントのLANアナライザのキャプチャーも停止させることができる。この結果、あるLANアナライザ1がエラーを検知してキャプチャーを停止させたときに、そのエラーの原因が別セグメントのホストコンピュータ2から受信したデータにあるようなときでも、別セグメントのLANアナライザ1のログを確保できるので、その原因究明が容易になる。   Thereby, in the WAN, when the LAN analyzer 1 of a certain segment detects an error or the like and stops the capture, the capture of the LAN analyzer of another segment can also be stopped. As a result, when a certain LAN analyzer 1 detects an error and stops the capture, even if the cause of the error is in the data received from the host computer 2 in another segment, the LAN analyzer 1 in another segment Since the log can be secured, the cause can be easily investigated.

上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。   The above-described embodiments of the present invention are examples for explaining the present invention, and are not intended to limit the scope of the present invention only to those embodiments. Those skilled in the art can implement the present invention in various other modes without departing from the gist of the present invention.

本発明の一実施形態に係るネットワークシステムの構成図である。1 is a configuration diagram of a network system according to an embodiment of the present invention. LANアナライザおよびホストコンピュータの詳細な構成図である。It is a detailed block diagram of a LAN analyzer and a host computer. LANアナライザの処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of a LAN analyzer.

符号の説明Explanation of symbols

1…LANアナライザ、2…ホストコンピュータ、4…監視端末、8…ネットワーク、9…ゲートウェイ、12…キャプチャー部、16…データ取得制御部。
DESCRIPTION OF SYMBOLS 1 ... LAN analyzer, 2 ... Host computer, 4 ... Monitoring terminal, 8 ... Network, 9 ... Gateway, 12 ... Capture part, 16 ... Data acquisition control part.

Claims (6)

第1のネットワークに接続された第1のネットワーク監視装置と、第2のネットワークに接続された第2のネットワーク監視装置とを備えたネットワーク監視システムであって、
第1のネットワーク監視装置は、
第1の記憶手段と、
第1のネットワーク上のパケットを取り込み、当該取り込んだパケットに含まれている情報を第1の記憶手段に格納する第1のパケット取り込み手段と、
前記第1の取り込み手段が前記第1の記憶手段へのパケットに含まれている情報の格納を停止したとき、第2のネットワーク監視装置に対して所定のパケットを出力する手段と、を備え、
第2のネットワーク監視装置は、
第2の記憶手段と、
第2のネットワーク上のパケットを取り込み、当該取り込んだパケットに含まれている情報を第2の記憶手段に格納する第2のパケット取り込み手段と、を備え、
第1のネットワーク監視装置から前記所定のパケットを受信すると、第2の取り込み手段は、前記第2の記憶手段へのパケットに含まれている情報の格納を停止するネットワーク監視システム。 A network monitoring system comprising a first network monitoring device connected to a first network and a second network monitoring device connected to a second network,
The first network monitoring device
First storage means;
First packet capturing means for capturing a packet on the first network and storing information contained in the captured packet in the first storage means;
Means for outputting a predetermined packet to the second network monitoring device when the first capturing means stops storing information contained in the packet in the first storage means;
The second network monitoring device
A second storage means;
A second packet capturing means for capturing a packet on the second network and storing information contained in the captured packet in a second storage means;
When the predetermined packet is received from the first network monitoring device, the second capturing unit stops the storage of information included in the packet in the second storage unit. 第2のネットワーク監視装置は、
前記第2の取り込み手段が前記第2の記憶手段へのパケットの格納を停止したとき、第1のネットワーク監視装置に対してパケットの格納を停止したことを示すパケットを出力する手段を、さらに備える請求項1記載のネットワーク監視システム。 The second network monitoring device
And means for outputting a packet indicating that storage of the packet is stopped to the first network monitoring device when the second fetching unit stops storing the packet in the second storage unit. The network monitoring system according to claim 1. 第1のネットワーク監視装置は、
データベースと、
前記第1の取り込み手段が前記第1の記憶手段へのパケットの格納を停止したとき、第1の記憶手段に格納されている前記パケットに含まれている情報を、前記データベースへ格納する手段と、をさらに備える請求項1記載のネットワーク監視システム。 The first network monitoring device
A database,
Means for storing, in the database, information contained in the packet stored in the first storage means when the first capturing means stops storing the packet in the first storage means; The network monitoring system according to claim 1, further comprising: ネットワーク監視装置であって、
記憶手段と、
ネットワーク上のパケットを取り込み、当該取り込んだパケットに含まれている情報を前記記憶手段に格納するキャプチャーを行うキャプチャー手段と、
前記キャプチャーを停止したとき、前記ネットワークとは別セグメントのネットワークに属する他のネットワーク監視装置に対して、前記キャプチャーの停止を通知するためのパケットを送信する手段と、を備えるネットワーク監視装置。 A network monitoring device,
Storage means;
Capture means for capturing a packet on the network, and capturing information stored in the storage means in the captured packet;
A network monitoring device comprising: means for transmitting a packet for notifying the stop of the capture to another network monitoring device belonging to a network different from the network when the capture is stopped. ネットワーク監視装置であって、
記憶手段と、
ネットワーク上のパケットを取り込み、当該取り込んだパケットに含まれている情報を前記記憶手段に格納するキャプチャーを行うキャプチャー手段と、を備え、
前記ネットワークとは別セグメントのネットワークに属する他のネットワーク監視装置から、前記他のネットワーク監視装置でのキャプチャーが停止したことを示すパケットを受信すると、キャプチャー手段はキャプチャーを停止するネットワーク監視装置。 A network monitoring device,
Storage means;
Capture means for capturing a packet on a network and performing capture for storing information contained in the captured packet in the storage means;
The network monitoring device, when receiving a packet indicating that the capture in the other network monitoring device is stopped from another network monitoring device belonging to a network in a different segment from the network, the capture unit stops the capture. ネットワーク監視装置が、
ネットワーク上のパケットを取り込んで、当該取り込んだパケットに含まれている情報を記憶手段に格納するキャプチャーを停止したとき、
前記ネットワークとは別セグメントのネットワークに属する他のネットワーク監視装置に対して、前記キャプチャーの停止を通知するためのパケットを送信するキャプチャーの停止を通知する方法。
Network monitoring device
When capturing a packet on the network and stopping the capture that stores the information contained in the captured packet in the storage means,
A method of notifying the stop of a capture, which transmits a packet for notifying the stop of the capture, to another network monitoring device belonging to a network of a segment different from the network.
JP2004103671A 2004-03-31 2004-03-31 Network monitoring system and network monitoring apparatus Pending JP2005294974A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004103671A JP2005294974A (en) 2004-03-31 2004-03-31 Network monitoring system and network monitoring apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004103671A JP2005294974A (en) 2004-03-31 2004-03-31 Network monitoring system and network monitoring apparatus

Publications (1)

Publication Number Publication Date
JP2005294974A true JP2005294974A (en) 2005-10-20

Family

ID=35327463

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004103671A Pending JP2005294974A (en) 2004-03-31 2004-03-31 Network monitoring system and network monitoring apparatus

Country Status (1)

Country Link
JP (1) JP2005294974A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015093345A1 (en) 2013-12-17 2015-06-25 ソニー株式会社 Communication apparatus, packet monitoring method, and computer program
US9548909B2 (en) 2013-12-17 2017-01-17 Sony Corporation Communication device, packet monitoring method, and computer program
US10348580B2 (en) 2013-12-17 2019-07-09 Sony Corporation Communication device, packet monitoring method, communication method, and computer program

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015093345A1 (en) 2013-12-17 2015-06-25 ソニー株式会社 Communication apparatus, packet monitoring method, and computer program
US9548909B2 (en) 2013-12-17 2017-01-17 Sony Corporation Communication device, packet monitoring method, and computer program
US10084671B2 (en) 2013-12-17 2018-09-25 Sony Corporation Communication device and packet monitoring method
US10348580B2 (en) 2013-12-17 2019-07-09 Sony Corporation Communication device, packet monitoring method, communication method, and computer program

Similar Documents

Publication Publication Date Title
JP5943861B2 (en) Remote debugging system
US7484244B2 (en) Apparatus, method, and system for virus detection
JP2013542477A (en) Method and apparatus for optical alarm recognition
CN112333044B (en) Shunting equipment performance test method, device and system, electronic equipment and medium
US7506214B2 (en) Application for diagnosing and reporting status of an adapter
US10296746B2 (en) Information processing device, filtering system, and filtering method
JP3474155B2 (en) Network system and network monitoring method
JP2005294974A (en) Network monitoring system and network monitoring apparatus
JP2005294973A (en) Network monitoring system and network monitoring method
US8880957B2 (en) Facilitating processing in a communications environment using stop signaling
JP2002064492A (en) Apparatus and method for monitoring network
JP5655533B2 (en) Information processing apparatus control method, information processing apparatus, and information processing apparatus control program
JP2008005118A (en) Network monitor system
JP2006332787A (en) Monitoring system, monitoring terminal, terminal to be monitored, life-and-death monitoring program, and life-and-death monitoring response program
JP4992573B2 (en) Layer 2 switch, communication device, data section error detection method used therefor, and program thereof
CN111381836B (en) Application deployment environment switching method and device
US20100050028A1 (en) Network device and method for simultaneously calculating network throughput and packet error rate
US20050198314A1 (en) Method and apparatus for characterizing a network connection
JP2002182951A (en) Information processing apparatus maintenance method and information processing apparatus
JP4913002B2 (en) Web application monitoring device
JP2001331298A (en) Picture forming device
JP2642084B2 (en) Multi-protocol network monitoring and diagnostic system
JP2009038554A (en) Network communication apparatus
JPH071800A (en) Printer error information output method
KR20040009225A (en) Method of network packet checking by kernel hooking

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060307

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060627