JP2018106492A - Event information visualization device, program and method - Google Patents
Event information visualization device, program and method Download PDFInfo
- Publication number
- JP2018106492A JP2018106492A JP2016253199A JP2016253199A JP2018106492A JP 2018106492 A JP2018106492 A JP 2018106492A JP 2016253199 A JP2016253199 A JP 2016253199A JP 2016253199 A JP2016253199 A JP 2016253199A JP 2018106492 A JP2018106492 A JP 2018106492A
- Authority
- JP
- Japan
- Prior art keywords
- event information
- information
- event
- output
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012800 visualization Methods 0.000 title claims description 74
- 238000000034 method Methods 0.000 title claims description 32
- 238000012545 processing Methods 0.000 claims abstract description 60
- 230000010365 information processing Effects 0.000 claims abstract description 54
- 239000000284 extract Substances 0.000 claims description 13
- 238000007794 visualization technique Methods 0.000 claims description 5
- 238000009825 accumulation Methods 0.000 claims 2
- 238000012544 monitoring process Methods 0.000 description 88
- 238000004891 communication Methods 0.000 description 29
- 239000000523 sample Substances 0.000 description 27
- 230000004044 response Effects 0.000 description 15
- 230000008569 process Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 238000013507 mapping Methods 0.000 description 7
- 238000000605 extraction Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 230000000877 morphologic effect Effects 0.000 description 4
- 238000011084 recovery Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000013145 classification model Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000013024 troubleshooting Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000009118 appropriate response Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】全てのイベント情報の中から所定のイベント情報のみを抽出・出力することにより、所望のイベント情報を可視化する。【解決手段】データシステム10のマネージャ・サーバ13から出力されるイベント情報を受信するイベント情報受信手段21と、受信されたイベント情報を加工するイベント情報加工手段22と、加工されたイベント情報を蓄積するイベント情報蓄積手段23と、蓄積されたイベント情報のうち、所定のイベント情報を抽出して出力するイベント情報出力手段24を備え、イベント情報加工手段は22、イベント情報受信手段21で受信されるイベント情報に含まれる属性情報に基づいて、当該イベント情報に対して一又は二以上のタグ情報を付与し、イベント情報出力手段24は、イベント情報蓄積手段23に蓄積されたイベント情報の中から、タグ情報に基づいて所定のイベント情報を抽出する。【選択図】図1By extracting and outputting only predetermined event information from all event information, desired event information is visualized. Event information receiving means for receiving event information output from a manager server of a data system, event information processing means for processing the received event information, and storing the processed event information. Event information accumulating means 23 and event information output means 24 for extracting and outputting predetermined event information from the accumulated event information. The event information processing means 22 is received by the event information receiving means 21. Based on the attribute information included in the event information, one or more tag information is attached to the event information, and the event information output unit 24 is configured to select the event information from the event information stored in the event information storage unit 23. Predetermined event information is extracted based on the tag information. [Selection] Figure 1
Description
本発明は、例えば、業務アプリケーションやシステム監視ツール,インシデント管理ツール,コミュニケーションツール(メール・チャット・SNS等)などの、各種機器,サービス,データシステム等から生成・出力される、発行時刻が記録されているイベント情報を蓄積・分類して、所定のイベント情報のみを抽出・出力する、イベント情報可視化装置とそれに用いられるプログラム及び方法に関する。 In the present invention, for example, issue times generated and output from various devices, services, data systems, etc. such as business applications, system monitoring tools, incident management tools, communication tools (e.g., mail, chat, SNS) are recorded. The present invention relates to an event information visualization apparatus, a program and a method used therefor, which accumulate and classify event information and extract and output only predetermined event information.
一般に、コンピュータで構成される各種機器やサービス,データシステム、例えば、業務アプリケーションやシステム監視ツール,インシデント管理ツール,コミュニケーションツール(メール・チャット・SNS等)などでは、機器やサービス,システムの運用・稼働に伴って、各種のイベント情報が生成・出力される。
ここで、イベント情報とは、例えばコンピュータ装置や各システム機器等から発生するイベント(例えばシステムのエラー等)や、アプリケーションのログ情報,エンジニアの対応履歴やコミュニケーション履歴などの、発行時刻が記録された情報をいう。
In general, various devices, services, and data systems composed of computers, such as business applications, system monitoring tools, incident management tools, and communication tools (email, chat, SNS, etc.), operate and operate devices, services, and systems. As a result, various event information is generated and output.
Here, the event information includes, for example, events (e.g., system errors) generated from computer devices, system devices, etc., application log information, engineer response history, communication history, etc. Information.
このようなイベント情報は、例えばシステムの障害対応などにおいて、各担当者が原因究明とワークアラウンドの処置を実施する際に参照され、早期の障害復旧等のために用いられるようになる。
ところが、このようなイベント情報は、システム,機器等が動作・運用されている限り、時々刻々と生成・出力されるため、大量のデータに埋もれてしまい、必要なイベント情報を正確・迅速に識別して参照することが困難になるという問題があった。
Such event information is referred to when each person in charge conducts a cause investigation and a workaround process in response to a failure of the system, for example, and is used for early failure recovery and the like.
However, such event information is generated and output from moment to moment as long as the system, equipment, etc. is operating and operating, so it is buried in a large amount of data, and the necessary event information can be identified accurately and quickly. There is a problem that it becomes difficult to refer to.
特に、企業や官公庁,公共団体などの多くの組織・団体では、業務の運営等に必要となる膨大な情報がデータシステムとして管理・運用されており、例えば、銀行のATMシステムや証券会社の市場売買システム、コンビニエンスストア等の商品流通システム、複数の企業等のデータシステムの運用を請け負う情報システム企業(所謂システム・インテグレータ)のサーバシステムなど、日々絶え間なくデータシステムが稼働・運用されている。このようなデータシステムからは、常時大量のデータが生成・出力されている。
このため、そのような大量のデータの中から、各担当者等が自らに必要なイベント情報を正確に抽出・識別して利用することは、きわめて重要かつ困難な課題であった。
In particular, many organizations and organizations such as corporations, government offices, and public organizations manage and operate huge amounts of information necessary for business operations as data systems. For example, bank ATM systems and securities company markets Data systems are continuously operated and operated on a daily basis, such as a trading system, a merchandise distribution system such as a convenience store, and a server system of an information system company (so-called system integrator) that undertakes operation of a data system of a plurality of companies. A large amount of data is always generated and output from such a data system.
For this reason, it has been an extremely important and difficult task for each person in charge to accurately extract and identify event information necessary for each person from such a large amount of data.
このようなイベント情報における課題に対して、従来は以下のような対策が取られていた。
例えば、システム機器やアプリケーションは、自らが通知するべきイベント情報について、イベントの発生時刻を付加して出力・記録しており、それらのデータを時系列や項目別にソートして表示することが一般的に行われている。
また、複数のサーバ・機器等から出力されるログ情報を収集して、一つに取りまとめて表示することも一般に行われている。
さらに、インシデント管理ツールなどでは、各イベントに対して担当者が対応内容を画面から入力することで、対応状況などを記録・確認できるようになっている。
Conventionally, the following countermeasures have been taken against such problems in event information.
For example, system devices and applications output and record event information that should be notified by adding the event occurrence time, and it is common to sort and display such data by time series and items Has been done.
In addition, log information output from a plurality of servers / devices is generally collected and displayed together.
Furthermore, in the incident management tool or the like, the person in charge of each event can record and confirm the response status by inputting the response content from the screen.
しかしながら、このような従来技術は、サーバ・機器等から出力されるログなどの全イベント情報を、ソートしたりまとめたりするだけであり、特定の担当者に対してその担当者が参照する必要があるイベント情報のみを可視化するようなことはできなかった。そのため、担当者は条件を入力して自分が必要なイベント情報のみを抽出する作業を行うことが求められた。
すなわち、コンピュータシステムにおいては、各システムごとに記録される情報の粒度に差があるため、これらの情報を単純に一つに取りまとめて表示してしまうと、システムの各担当者の職域で不要な情報が画面上に混在してしまい、結果として状況が即座に把握できないことになってしまっていた。
However, such conventional technology only sorts and summarizes all event information such as logs output from servers and devices, and it is necessary for the person in charge to refer to a specific person in charge. It was not possible to visualize only certain event information. For this reason, the person in charge was required to enter conditions and extract only the event information that he needed.
In other words, in the computer system, there is a difference in the granularity of information recorded for each system, so if these information are simply displayed together, they are not necessary for the work area of each person in charge of the system. Information was mixed on the screen, and as a result, the situation could not be grasped immediately.
このような従来技術に対して、例えば特許文献1には、発生しているイベントの情報について、自動で単位時間毎に区切って集計して表示することで、イベントの発生状況の可視化を行うことが提案されている。
また、例えば特許文献2には、システムで発生しているイベントの情報について、自動で項目別に集計し、件数と詳細を分けて表示することで、イベントの発生状況の可視化を行うことが提案されている。
In contrast to such a conventional technique, for example, in
In addition, for example,
しかしながら、上記のような特許文献1,2で提案されている、データを単位時間や項目で件数として取りまとめて表示する手法は、データ件数に基づく事後のイベント分析や改善の際には有効であるが、リアルタイムで迅速な解決が求められる障害対応などには活用できなかった。
すなわち、データシステム等においてエラーや障害が発生した場合には、エラー等のイベントから何が起きたかを即座に判断し、速やかな解決方法の立案が求められる。このような障害対応の現場では、「ぱっと見て状況が把握できる」ことが最大のニーズであり、単にデータを単位時間や項目で件数として取りまとめて表示するだけの特許文献1,2の手法では、そのようなニーズに応えることはできなかった。
However, the method of collecting and displaying the data as the number of cases in unit time and items as proposed in
In other words, when an error or failure occurs in a data system or the like, it is necessary to immediately determine what has occurred from an event such as an error, and to quickly plan a solution. In the field of dealing with such troubles, the biggest need is to “get a quick glance at the situation”. With the methods of
本発明は、以上のような従来の技術が有する課題を解決するために提案されたものであり、各種機器,サービス,データシステム等から生成・出力されるイベント情報を、イベント情報に含まれる属性情報に基づいて蓄積・分類することにより、全てのイベント情報の中から所定のイベント情報のみを抽出・出力し、所望のイベント情報を可視化して、障害発生などリアルタイムな対応が求められる事象にも、迅速かつ正確に対応することができるイベント情報可視化装置と、それに用いられるプログラム及び方法の提供を目的とする。 The present invention has been proposed in order to solve the above-described problems of the prior art, and event information generated and output from various devices, services, data systems, and the like is attributed in the event information. By storing and classifying based on information, only predetermined event information is extracted and output from all event information, desired event information is visualized, and even for events that require real-time response such as failure occurrence It is an object of the present invention to provide an event information visualization apparatus that can respond quickly and accurately, and a program and method used therefor.
上記目的を達成するため、本発明のイベント情報可視化装置は、イベント発行装置から出力される、時刻情報を有する所定のイベント情報を受信して、受信した複数のイベント情報の中から所定のイベント情報を抽出して可視化する情報処理装置であって、前記イベント発行装置から出力されるイベント情報を受信するイベント情報受信手段と、前記イベント情報受信手段で受信されたイベント情報を加工するイベント情報加工手段と、前記イベント情報加工手段で加工されたイベント情報を蓄積するイベント情報蓄積手段と、前記イベント情報蓄積手段に蓄積されたイベント情報のうち、所定のイベント情報を抽出して出力するイベント情報出力手段と、を備え、前記イベント情報加工手段は、前記イベント情報受信手段で受信されるイベント情報に含まれる属性情報に基づいて、当該イベント情報に対して一又は二以上のタグ情報を付与し、前記イベント情報出力手段は、前記イベント情報蓄積手段に蓄積されたイベント情報の中から、前記タグ情報に基づいて所定のイベント情報を抽出する構成としてある。 In order to achieve the above object, an event information visualization apparatus according to the present invention receives predetermined event information having time information output from an event issuing apparatus, and receives predetermined event information from a plurality of received event information. An information processing device for extracting and visualizing event information, event information receiving means for receiving event information output from the event issuing device, and event information processing means for processing event information received by the event information receiving means Event information storage means for storing event information processed by the event information processing means, and event information output means for extracting and outputting predetermined event information from the event information stored in the event information storage means And the event information processing means is an event received by the event information receiving means. Based on the attribute information included in the event information, one or more tag information is given to the event information, and the event information output unit is configured to select the event information from the event information stored in the event information storage unit. Predetermined event information is extracted based on the tag information.
また、本発明は、上記のような本発明にイベント情報可視化装置で実行されるイベント情報可視化プログラムとして構成することができる。
さらに、本発明は、上記のような本発明に係るイベント情報可視化装置及びプログラムによって実施可能なイベント情報可視化方法として構成することもできる。
Further, the present invention can be configured as an event information visualization program that is executed by the event information visualization apparatus according to the present invention as described above.
Furthermore, the present invention can also be configured as an event information visualization method that can be implemented by the event information visualization apparatus and program according to the present invention as described above.
本発明によれば、各種機器,サービス,データシステム等から生成・出力されるイベント情報を、イベント情報に含まれる属性情報に基づいて蓄積・分類することにより、全てのイベント情報の中から所定のイベント情報のみを抽出・出力することができる。
これにより、各ユーザー,担当者ごとに、所望のイベント情報を可視化して、障害発生などリアルタイムな対応が求められる事象にも、迅速かつ正確に対応することが可能となる。
したがって、例えば大量の情報を大規模システムで管理・運用するための膨大な数の業務サーバを備えるデータシステムであっても、有用なイベント情報のみを参照して正確かつ迅速な障害復旧等が可能となり、信頼性の高いシステムの管理・運用が行えるようになる。
According to the present invention, event information generated / output from various devices, services, data systems, etc. is accumulated / classified based on attribute information included in event information, so that predetermined event information can be selected from all event information. Only event information can be extracted and output.
This makes it possible to visualize desired event information for each user and person in charge, and to quickly and accurately respond to an event that requires real-time response, such as the occurrence of a failure.
Therefore, for example, even a data system with a huge number of business servers for managing and operating a large amount of information in a large-scale system can accurately and quickly recover from a failure by referring only to useful event information. Thus, it becomes possible to manage and operate a highly reliable system.
以下、本発明に係るイベント情報可視化装置の実施形態について、図面を参照しつつ説明する。
ここで、以下に示す本発明のイベント情報可視化装置は、プログラム(ソフトウェア)の命令によりコンピュータで実行される処理,手段,機能によって実現される。プログラムは、コンピュータの各構成要素に指令を送り、以下に示す本発明に係る所定の処理や機能等を行わせることができる。すなわち、本発明における各処理や手段,機能は、プログラムとコンピュータとが協働した具体的手段によって実現される。
Hereinafter, embodiments of an event information visualization apparatus according to the present invention will be described with reference to the drawings.
Here, the event information visualization apparatus of the present invention described below is realized by processing, means, and functions executed by a computer in accordance with instructions of a program (software). The program can send commands to each component of the computer to perform the following predetermined processing and functions according to the present invention. That is, each process, means, and function in the present invention are realized by specific means in which a program and a computer cooperate.
なお、プログラムの全部又は一部は、例えば、磁気ディスク,光ディスク,半導体メモリ,その他任意のコンピュータで読取り可能な記録媒体により提供され、記録媒体から読み出されたプログラムがコンピュータにインストールされて実行される。また、プログラムは、記録媒体を介さず、通信回線を通じて直接にコンピュータにロードし実行することもできる。また、本発明に係るイベント情報可視化装置は、単一の情報処理装置(例えば一台のパーソナルコンピュータ等)で構成することもでき、複数の情報処理装置(例えば複数台のサーバコンピュータ群等)で構成することもできる。 Note that all or part of the program is provided by, for example, a magnetic disk, optical disk, semiconductor memory, or any other computer-readable recording medium, and the program read from the recording medium is installed in the computer and executed. The The program can also be loaded and executed directly on a computer through a communication line without using a recording medium. In addition, the event information visualization apparatus according to the present invention can be configured by a single information processing apparatus (for example, a single personal computer), or a plurality of information processing apparatuses (for example, a plurality of server computer groups). It can also be configured.
[システム構成]
図1に、本発明の一実施形態に係るイベント情報可視化装置20を備えたデータシステム10の構成を模式的に示す。
同図に示すように、本発明の一実施形態に係るデータシステム10は、監視対象となる一又は二以上の監視対象装置11(業務サーバ11a〜11n)と、監視対象装置11を監視する監視サーバ12(プローブ12a〜12n)と、監視サーバ12が複数接続され、各監視サーバ12を介して監視対象装置11を含むデータシステム全体を監視するマネージャ・サーバ13を備えて構成されている。
そして、マネージャ・サーバ13には、本実施形態に係るイベント情報可視化装置20が接続され、さらに、イベント情報可視化装置20には、担当者端末30が接続されている。
[System configuration]
FIG. 1 schematically shows a configuration of a data system 10 including an event
As shown in the figure, a data system 10 according to an embodiment of the present invention includes one or more monitoring target devices 11 (business servers 11a to 11n) to be monitored and monitoring for monitoring the monitoring target device 11. A plurality of servers 12 (probes 12a to 12n) and monitoring servers 12 are connected, and a
The
マネージャ・サーバ13には、監視サーバ12を経由して監視対象装置11及び監視サーバ12の稼動・運用の状態等を示す監視情報が入力され、それらの情報が、マネージャ・サーバ13からのイベント情報として出力されて、イベント情報可視化装置20に入力・蓄積される。
そして、イベント情報可視化装置20に蓄積されたイベント情報は、担当者端末30において出力・表示される。これによって、各担当者は、自ら操作する担当者端末30において、必要となるイベント情報のみが可視化された情報を閲覧・参照できるようになる。
以上のようなデータシステム10を構成する監視対象装置11,監視サーバ12,マネージャ・サーバ13と、イベント情報可視化装置20、及び担当者端末30は、例えばインターネットや社内LANなどのネットワークを介してデータ通信可能に接続されている。
The
Then, the event information accumulated in the event
The monitoring target device 11, the monitoring server 12, the
[データシステム]
データシステム10は、監視対象装置11・監視サーバ12・マネージャ・サーバ13を備えており、時刻情報(発行時刻)を有する所定のイベント情報を出力・発行する、本発明に係るイベント発行装置を構成している。
監視対象装置11は、監視サーバ12を介してマネージャ・サーバ13の監視対象となる装置である。この監視対象装置11は、例えば企業等の業務に使用されるデータシステム(業務システム)が実装・運用される業務サーバとも呼ばれる、一又は二以上の情報処理装置によって構成されている。
具体的には、監視対象装置11は、図1に示すように、複数の業務サーバ11a〜11n(業務サーバA11a,業務サーバB11b,業務サーバC11c・・・業務サーバN11n)によって構成され、業務サーバを構成する所定数の情報処理装置群を単位として、各単位を担当する監視サーバ12がそれぞれ接続されて、一つのデータシステムを構成している。
[Data system]
The data system 10 includes a monitoring target device 11, a monitoring server 12, a
The monitoring target device 11 is a device to be monitored by the
Specifically, as shown in FIG. 1, the monitoring target device 11 includes a plurality of business servers 11a to 11n (business server A11a, business server B11b, business server C11c... Business server N11n). The monitoring server 12 in charge of each unit is connected to each other with a predetermined number of information processing apparatus groups constituting the unit as one unit, thereby constituting one data system.
監視サーバ12は、プローブ(プローブノード)とも呼ばれる、データシステムにおいて監視対象となる一又は二以上の監視対象装置11を監視する情報処理装置であって、例えばサーバコンピュータ等によって構成されている。
具体的には、監視サーバ12は、図1に示すように、複数のプローブ12a〜12n(プローブA12a,プローブB12b,プローブC12c・・・プローブN12n)によって構成され、各プローブ12a〜12nが、それぞれ自己が担当する監視対象装置11として、一又は二以上の業務サーバ11a〜11nに接続されて、全体として一つのプローブノードシステムを構成している。この監視サーバ12により、データシステム10を監視する監視システム・通知システム・コミュニケーションシステム・連絡システムなどのシステムが機能・動作するようになっている。
The monitoring server 12 is an information processing apparatus called a probe (probe node) that monitors one or more monitoring target apparatuses 11 to be monitored in the data system, and is configured by, for example, a server computer.
Specifically, as shown in FIG. 1, the monitoring server 12 includes a plurality of probes 12a to 12n (probes A12a, probes B12b, probes C12c... Probe N12n), and the probes 12a to 12n are respectively As the monitoring target device 11 that is in charge of itself, it is connected to one or two or more business servers 11a to 11n to constitute one probe node system as a whole. The monitoring server 12 functions and operates systems such as a monitoring system, a notification system, a communication system, and a communication system that monitor the data system 10.
マネージャ・サーバ13は、監視サーバ12が複数接続され、監視サーバ12を構成する複数の各プローブ12a〜12nの状態を監視する、データシステム10の全体を統括して管理する情報処理装置であって、例えばサーバコンピュータ等によって構成されている。
そして、マネージャ・サーバ13は、監視サーバ12の各プローブ12a〜12nの状態に応じて、障害の発生しているプローブ12a〜12nを検出すると、該当するプローブ12a〜12nの対応・復旧処理等を実行する。例えば、該当するプローブ12a〜12nが担当する監視対象装置11を、他のプローブ12a〜12nの監視対象に切り替える制御などを行う。
このマネージャ・サーバ13は、例えば、業務サーバ11a〜11nで運用される業務システム(データシステム)を提供する情報システム企業が所有するサーバシステム等の情報処理装置によって構成される。
The
Then, when the
The
ここで、現実のデータシステム(業務システム)は、例えば数台のコンピュータで構成される場合から、数百台〜数千台,数万台のサーバシステム群からなる情報処理装置によって構成される場合もあり、いずれの場合にも、企業等の業務・運営に必要とされるアプリケーション・システムや基盤システムなどのデータシステムが業務システムとして実装・運用されるものである。
そして、本実施形態に係るデータシステム10でも、複数の情報処理装置によって構成される業務サーバ11a〜11nが、監視対象装置11として複数の監視サーバ12によって所定数の情報処理装置単位で監視されることで、多数の業務サーバが備えられる場合であっても、監視サーバ12単位で効率的な業務サーバ11a〜11nの監視が行われるようになっている。
Here, an actual data system (business system) is composed of, for example, several computers, or an information processing apparatus composed of several hundred to several thousand and tens of thousands of server systems. In either case, a data system such as an application system or a base system required for business or operation of a company or the like is implemented and operated as a business system.
Also in the data system 10 according to the present embodiment, the business servers 11a to 11n configured by a plurality of information processing apparatuses are monitored as a monitoring target apparatus 11 by a plurality of monitoring servers 12 in units of a predetermined number of information processing apparatuses. Thus, even when a large number of business servers are provided, the business servers 11a to 11n are efficiently monitored by the monitoring server 12 unit.
監視対象装置11となる各業務サーバ11a〜11nからは、業務システムの運用に伴って、アプリケーションログや基盤のログ等のログファイルを含む、時刻情報を備えた出力情報が常時継続的かつ大量に出力される。
この出力情報が、該当する監視対象装置11を担当する監視サーバ12に出力されることで、複数の各業務サーバ11a〜11nの状態が、担当する監視サーバ12単位で監視されることになる。
From the business servers 11a to 11n serving as the monitoring target apparatus 11, output information including time information including a log file such as an application log and a base log is continuously and in large quantities along with the operation of the business system. Is output.
By outputting this output information to the monitoring server 12 in charge of the corresponding monitoring target apparatus 11, the states of the plurality of business servers 11a to 11n are monitored in units of the monitoring server 12 in charge.
監視サーバ12では、自己が担当する監視対象装置11の動作や稼動状態を監視しており、各監視対象装置11における異常やエラー等の発生が、各監視サーバ12単位で効率的に行われるようになっている。
具体的には、監視サーバ12は、監視対象となる監視対象装置11から出力されるアプリケーションログや基盤のログ等のログファイルを出力情報として常時継続的に受信している。この出力情報によって、監視サーバ12を構成する複数の各プローブ12a〜12nは、自己が担当する監視対象装置11の状態を常時監視することができ、例えば、いずれかの監視対象装置11に異常等が発生した場合には、受信した出力情報に基づいてその異常等の発生が検知される。
The monitoring server 12 monitors the operation and operating state of the monitoring target device 11 that it is in charge of, so that the occurrence of an abnormality, an error, or the like in each monitoring target device 11 is efficiently performed in each monitoring server 12 unit. It has become.
Specifically, the monitoring server 12 continuously receives, as output information, log files such as application logs and infrastructure logs output from the monitoring target device 11 to be monitored. Based on this output information, each of the plurality of probes 12a to 12n constituting the monitoring server 12 can constantly monitor the state of the monitoring target device 11 that the monitoring server 12 is in charge of. When this occurs, the occurrence of an abnormality or the like is detected based on the received output information.
また、監視サーバ12の各プローブ12a〜12nでは、担当する監視対象装置11を監視している自身(当該プローブ12a〜12n)の状態を示す出力情報として、時刻情報を有する所定のメッセージ情報が生成され、マネージャ・サーバ13に出力・転送されるようになっている。これによって、マネージャ・サーバ13では、監視対象装置11を監視する監視サーバ12のプローブ12a〜12n自体の状態を個々に監視・把握することができる。
そして、複数の監視サーバ12を束ねるマネージャ・サーバ13には、複数の各監視サーバ12から、監視対象装置11及び監視サーバ12の稼動・運用の状態等を示す監視情報が入力され、データシステム10の全体の運用・稼働状態が監視されることになる。
In addition, in each of the probes 12a to 12n of the monitoring server 12, predetermined message information having time information is generated as output information indicating the state of the monitoring target device 11 in charge (the probe 12a to 12n). And output / transferred to the
The
したがって、データシステム10の運用・管理を行う担当者は、マネージャ・サーバ13からの出力情報を監視することで、データシステム10の全体の監視を行うことができる。例えば特定の監視サーバ12や監視対象装置11に障害等が発生した場合には、マネージャ・サーバ13からの出力情報に基づいて、該当する監視サーバ12や監視対象装置11の障害対応・復旧作業等を行うことができる。
そして、このマネージャ・サーバ13からの出力情報が、本実施形態に係る時刻情報を有するイベント情報として、イベント情報可視化装置20に入力・蓄積され、所定の加工・可視化処理が行われるようになっている。
Therefore, the person in charge who operates and manages the data system 10 can monitor the entire data system 10 by monitoring the output information from the
The output information from the
[イベント情報可視化装置]
イベント情報可視化装置20は、上述したデータシステム10のマネージャ・サーバ13から出力される、時刻情報を有する所定のイベント情報を受信して、受信した複数のイベント情報の中から所定のイベント情報を抽出して、担当者端末30に出力・参照させる情報処理装置であり、本発明に係るイベント情報可視化装置を構成している。
具体的には、イベント情報可視化装置20は、上述したデータシステム10と同様に、例えば自社のデータシステムを運用する企業等が所有するコンピュータシステムや、複数の企業等のデータシステムの運用を業務として請け負う情報システム企業(システム・インテグレータ)に備えられる大規模なサーバシステム群等によって構成することができる。
[Event information visualization device]
The event
More specifically, the event
そして、このようなイベント情報可視化装置20は、監視・管理の対象となるデータシステム10から出力されるイベント情報を定期又は不定期に受信し、所定の加工処理を行って蓄積するようになっており、データシステム10に障害等が発生すると、加工・蓄積されたイベント情報を読み出して、担当者毎に必要なイベント情報のみを抽出して、該当する担当者が操作・閲覧する担当者端末30に出力・転送するようになっている。
具体的には、本実施形態に係るイベント情報可視化装置20は、図1に示すように、イベント情報受信手段21,イベント情報加工手段22,イベント情報蓄積手段23,イベント情報出力手段24として機能するように構成・制御される。
The event
Specifically, the event
イベント情報受信手段21は、イベント発行装置を構成するデータシステム10(マネージャ・サーバ13)から出力されるイベント情報を受信する手段であり、本発明に係るイベント情報受信手段を構成している。
イベント情報加工手段22は、イベント情報受信手段21で受信されたイベント情報を加工する手段であり、本発明に係るイベント情報加工手段を構成している。
The event information receiving means 21 is means for receiving event information output from the data system 10 (manager server 13) constituting the event issuing device, and constitutes the event information receiving means according to the present invention.
The event information processing means 22 is means for processing the event information received by the event information receiving means 21, and constitutes an event information processing means according to the present invention.
具体的には、イベント情報加工手段22は、イベント情報受信手段21で受信されるイベント情報に含まれる属性情報に基づいて、当該イベント情報に対して一又は二以上のタグ情報を付与する。
特に、イベント情報加工手段22は、イベント情報蓄積手段23に予め設定・記憶される所定のルール情報に基づいて、イベント情報に対してタグ情報を付与するようになっている。
また、イベント情報加工手段22は、イベント情報蓄積手段23に設定・記憶されるルール情報に基づいて、イベント情報を分割し、当該分割された情報に基づいて、後述する所定のタグ情報を付与するようになっている。
このイベント情報加工手段22による、イベント情報の分割・加工・タグ付けの具体的な内容については、図2〜4を参照しつつ後述する。
Specifically, the event
In particular, the event information processing means 22 adds tag information to the event information based on predetermined rule information preset and stored in the event information storage means 23.
Further, the event information processing means 22 divides the event information based on the rule information set / stored in the event information storage means 23, and gives predetermined tag information to be described later based on the divided information. It is like that.
The specific contents of event information division / processing / tagging by the event information processing means 22 will be described later with reference to FIGS.
イベント情報蓄積手段23は、上述したイベント情報加工手段22で加工されたイベント情報を蓄積する手段であり、本発明に係るイベント情報蓄積手段を構成している。
また、イベント情報蓄積手段23は、イベント情報加工手段22で用いられる、予め定められた所定のルール情報などの必要な情報を記憶するようになっている。
このイベント情報蓄積手段23に記憶される加工済みのイベント情報、及び加工処理用のルール情報等の詳細については、図2〜4を参照しつつ後述する。
The event information storage means 23 is means for storing the event information processed by the event information processing means 22 described above, and constitutes the event information storage means according to the present invention.
The event information storage means 23 stores necessary information such as predetermined rule information used in the event information processing means 22.
Details of the processed event information stored in the event
イベント情報出力手段24は、イベント情報蓄積手段23に蓄積されたイベント情報のうち、所定のイベント情報を抽出して出力する手段であり、本発明に係るイベント情報出力手段を構成している。
具体的には、イベント情報出力手段24は、例えば担当者端末30からのアクセス・閲覧要求等に応じて、イベント情報蓄積手段23に蓄積されたイベント情報の中から、上述したタグ情報に基づいて所定のイベント情報を抽出する。
特に、イベント情報出力手段24は、上述したタグ情報に基づいて、所定のユーザー単位でイベント情報を抽出する。そして、抽出された複数のイベント情報を、当該イベント情報が有する時刻情報に基づいて、時刻順に配列された時系列に出力するようになっている。なお、時系列に出力する際、時刻順は昇順でも降順でも良い。
The event
Specifically, the event information output means 24 is based on the above-described tag information from the event information stored in the event information storage means 23 in response to an access / browsing request from the person-in-charge terminal 30, for example. Predetermined event information is extracted.
In particular, the event
このイベント情報出力手段24により抽出・出力されるイベント情報は、閲覧要求等があった担当者端末30に入力され、担当者端末30に接続された表示手段を介して出力・表示され、該当する担当者・ユーザー等が閲覧・参照できるようになる。
なお、担当者端末30からのアクセス・閲覧要求は、例えば所定のユーザーIDやパスワードなどのユーザー認証処理を経ることで行われ、これによって、ユーザーの認証情報等に基づいて、イベント情報可視化装置20においてイベント情報を抽出するためのユーザー情報(ユーザーID,ユーザー名,職域,担当システムなど)が識別・参照できるようなる。
イベント情報出力手段24から出力され、担当者端末30において閲覧・表示される加工済みのイベント情報の詳細については、図6,7を参照しつつ後述する。
The event information extracted / output by the event information output means 24 is input to the person-in-charge terminal 30 that has been requested to browse, and is output / displayed via the display means connected to the person-in-charge terminal 30. Persons in charge, users, etc. will be able to browse and reference.
The access / browsing request from the person-in-charge terminal 30 is performed, for example, through user authentication processing such as a predetermined user ID and password, and thereby the event
Details of the processed event information output from the event information output means 24 and viewed and displayed on the person-in-charge terminal 30 will be described later with reference to FIGS.
以上のように、イベント情報可視化装置20の制御により、データシステム10からイベント情報可視化装置20に転送されたイベント情報は、イベント情報に含まれる属性情報とルール設定に基づいて、加工・タグ付け処理が実行され、担当者毎に抽出・選別された加工済みのイベント情報として、担当者端末30に出力されるようになる。
これによって、各担当者が、自ら必要なイベント情報のみを閲覧・参照できるようになり、不要・無用な大量のデータに埋もれることなく、各担当者が必要なイベント情報のみを参照できるようになる。
このイベント情報可視化装置20の各手段21〜24によって実行されるイベント情報の加工・抽出・出力処理の詳細については、図8を参照しつつ後述する。
As described above, the event information transferred from the data system 10 to the event
As a result, each person in charge can view and reference only the necessary event information, and each person in charge can see only the necessary event information without being buried in a large amount of unnecessary and unnecessary data. .
Details of event information processing / extraction / output processing executed by each means 21 to 24 of the event
[担当者端末]
担当者端末30は、上述したイベント情報可視化装置20から出力される、各担当者別に加工・抽出されたイベント情報を受信して、例えば液晶ディスプレイ等の表示手段を介して閲覧可能にイベント情報を出力・表示させるための情報処理装置である。この担当者端末30は、例えばパーソナルコンピュータやサーバ装置,携帯電話,スマートフォン,タブレット等によって構成することができる。
また、この担当者端末30は、イベント情報可視化装置20から受信したイベント情報を装置上に配置・保持し、WEB等の技術によって他の端末装置等において閲覧・参照可能に表示させることもできる。例えば、ユーザーが頭部に装置する、AR(拡張現実)機能を実装したHMD(ヘッドマウントディスプレイ)において、前述のイベント情報を閲覧・参照可能に表示させても良い。
なお、図1では、一つの担当者端末30のみを表しているが、担当者・ユーザー等の数に応じて複数の担当者端末30を備えることができる。
[Responsible terminal]
The person-in-charge terminal 30 receives the event information output from the event
Further, the person-in-charge terminal 30 can arrange and hold the event information received from the event
In FIG. 1, only one person-in-charge terminal 30 is shown, but a plurality of person-in-charge terminals 30 can be provided according to the number of persons in charge, users, and the like.
また、本実施形態に係る担当者端末30は、後述するように、イベント情報可視化装置20から転送される担当者別のイベント情報を受信して表示・出力させることができる。
また、担当者端末30は、イベント情報可視化装置20で実行されるイベント情報の分割・加工・タグ付け処理のためのルール情報を、担当者端末30からイベント情報可視化装置20に対して入力・設定することができるようになっている。
ここで、担当者端末30を操作する担当者は、データシステム10の運用・管理を行っている担当者であり、例えば、稼働中のデータシステム10に障害が発生した際に、マネージャ・サーバ13から情報を収集して対応を判断、実施する開発担当者や運用担当者であり、職域に応じて責任者やリーダー,エンジニアなどに区分される。また、担当者には、データシステム10のユーザーである顧客側の担当者なども該当する。
In addition, the person-in-charge terminal 30 according to the present embodiment can receive, display, and output event information for each person in charge transferred from the event
In addition, the person-in-charge terminal 30 inputs and sets rule information for event information division / processing / tagging processing executed by the event
Here, the person in charge who operates the person-in-charge terminal 30 is a person in charge who operates and manages the data system 10. For example, when a failure occurs in the operating data system 10, the
これによって、各担当者は、自己の業務内容や担当範囲,職域,職務権限などに応じて、参照・閲覧可能なイベント情報の加工・タグ付けのためのルール設定を行うことができ、担当者の業務内容等にきめ細かく対応したイベント情報の加工・抽出が可能となる。
例えば、担当者は、自ら参照したい情報をタグと属性情報でフィルタリングして、新たな時系列データとして並べ替えることができる。これによって、例えば直近で発生している障害に対して、対処状況などの進捗情報のみを時系列に表示させることで、障害対応に必要なイベント情報のみを可視化して、迅速かつ適切に対応できるようになる。
As a result, each person in charge can set rules for processing and tagging of event information that can be referred to and browsed according to his / her work content, scope, job area, job authority, etc. It is possible to process and extract event information that closely corresponds to the contents of the work.
For example, the person in charge can filter the information he / she wants to refer to by tag and attribute information and rearrange it as new time-series data. In this way, for example, by displaying only the progress information such as the handling status in chronological order for the fault that has occurred most recently, only the event information necessary for handling the fault can be visualized and responded promptly and appropriately. It becomes like this.
このような担当者端末30を備えることによって、例えばデータシステム10において障害等が発生した場合には、上述したイベント情報可視化装置20によって加工・抽出されて転送される担当者別のイベント情報が、担当者端末30や、担当者端末30から転送される他の機器等において表示・出力できるようになり、データシステム10で発生したシステム障害等を解消・復旧する担当者が、障害原因究明等のために、自らが必要となるイベント情報のみを閲覧・参照できるようになる。
また、担当者端末30自体や、担当者端末30に接続される情報処理装置を、例えば担当者が所有するスマートフォンやノートPCなどの携帯可能な小型の端末装置等によって構成することにより、担当者がいつどこにいても、イベント情報可視化装置20を経由してデータシステム10から出力されるイベント情報を閲覧・参照できるようになる。
By providing such a person-in-charge terminal 30, for example, when a failure or the like occurs in the data system 10, event information for each person in charge that is processed, extracted, and transferred by the event
Further, the person in charge by configuring the person-in-charge terminal 30 itself or the information processing apparatus connected to the person-in-charge terminal 30 with a portable small terminal device such as a smartphone or notebook PC owned by the person in charge, for example, The event information output from the data system 10 via the event
なお、担当者端末30は、イベント情報可視化装置20から転送される加工済みのイベント情報を閲覧可能に出力・表示できる限り、単一の装置(例えば一台のPC)によって構成することもでき、また、3台以上の装置(例えば一台の担当者端末30のPCと、それに接続される複数台の携帯端末など)によって構成することも可能である。
この担当者端末30におけるイベント情報のルール設定及び閲覧・表示処理の詳細についても、図2〜8を参照して後述する。
The person-in-charge terminal 30 can also be configured by a single device (for example, one PC) as long as the processed event information transferred from the event
Details of event information rule setting and browsing / display processing in the person-in-charge terminal 30 will also be described later with reference to FIGS.
[イベント情報]
次に、データシステム10からイベント情報可視化装置20に出力され、イベント情報可視化装置20において所定の加工・抽出処理が実行されて、担当者端末30において表示・閲覧されるイベント情報について、図2〜7を参照して説明する。
イベント情報とは、上述のとおり、コンピュータ装置や各システム機器等から発生するイベント(例えばシステムのエラー等)や、アプリケーションのログ情報,エンジニアの対応履歴やコミュニケーション履歴などの情報で、発行時刻を示す時刻情報を有する情報をいう。
本実施形態では、データシステム10を構成する監視対象装置(業務サーバ)11・監視サーバ(プローブ)12で生成・出力され、マネージャ・サーバ13から出力される各種の出力情報、例えば監視対象装置11から出力されるアプリケーションログや基盤のログ等のログファイルを含む出力情報、監視サーバ12から出力されるプローブ12a〜12nの状態を示すメッセージ情報などの出力情報が、イベント情報としてイベント情報可視化装置20に入力される。
[event information]
Next, the event information that is output from the data system 10 to the event
As described above, event information is an event (for example, a system error) generated from a computer device or each system device, information such as application log information, engineer response history, communication history, and the like, indicating the issue time. This refers to information having time information.
In the present embodiment, various output information generated and output from the monitoring server (business server) 11 and monitoring server (probe) 12 constituting the data system 10 and output from the
具体的には、本実施形態のイベント情報可視化装置20に入力されるイベント情報としては、例えば図2に示すような情報がある。
同図に示す情報は、それぞれデータシステム10から出力される情報であり、それぞれイベントの発生日付や発生元、イベント内容を示すメッセージ情報などの属性情報が含まれる。
図2(a)は、データシステム10の監視システムからの出力情報であり、データシステム10についての稼動・運用状況などを示す監視情報として生成・出力される。この監視システムの出力情報には、時刻情報を含む発生日付・メッセージID・発生元・システムID・内容などの情報が含まれている。
Specifically, the event information input to the event
The information shown in the figure is information output from the data system 10 and includes attribute information such as event occurrence date and origin, and message information indicating event contents.
FIG. 2A shows output information from the monitoring system of the data system 10, which is generated and output as monitoring information indicating the operation / operation status of the data system 10. The output information of the monitoring system includes information such as date of occurrence, message ID, source of occurrence, system ID, and contents including time information.
図2(b)は、データシステム10の通知システムからの出力情報であり、データシステム10内の担当者間での障害対応や対処状況等の通知情報として生成・出力される。この通知システムの出力情報には、時刻情報を含む発生日付・処理結果・担当者・内容・システムIDなどの情報が含まれている。
図2(c)は、データシステム10のコミュニケーションシステムからの出力情報であり、データシステム10内の担当者間でコミュニケーション情報として生成・出力される。このコミュニケーションシステムの出力情報には、時刻情報を発生日付・システムID・ユーザーID・宛先・内容などの情報が含まれている。
図2(d)は、データシステム10の連絡システムからの出力情報であり、データシステム10外の顧客に対する連絡情報として生成・出力される。この連絡システムの出力情報には、時刻情報を含む発生日付・システムID・連絡先企業・内容などの情報が含まれている。
FIG. 2B shows output information from the notification system of the data system 10, which is generated and output as notification information such as failure handling and handling status among persons in charge in the data system 10. The output information of the notification system includes information such as the occurrence date, processing result, person in charge, contents, and system ID including time information.
FIG. 2C shows output information from the communication system of the data system 10, which is generated and output as communication information between persons in charge in the data system 10. The output information of the communication system includes time information such as an occurrence date, system ID, user ID, destination, and contents.
FIG. 2D shows output information from the contact system of the data system 10, which is generated and output as contact information for customers outside the data system 10. The output information of this contact system includes information such as the occurrence date, system ID, contact company, and contents including time information.
このように、データシステム10から出力されるイベント情報には、それぞれイベントの発生時刻を含む発生日付や発生元、イベント内容を示すメッセージ情報などの複数の属性情報が含まれている。
一方、それらのイベント情報は、データシステム10の各システムにおいてそれぞれ随時のタイミングで出力され、かつ、各情報のフォーマットや含まれる属性情報も、発生するシステムごとに異なっている。
そこで、本実施形態のイベント情報可視化装置20では、イベント情報受信手段21によりデータシステム10(マネージャ・サーバ13)からイベント情報を受信すると、イベント情報加工手段22において、受信されたイベント情報を加工して、フォーマットの統一と属性情報の抽出とそれに基づく所定のタグ付け処理が実行されるようになっている。
As described above, the event information output from the data system 10 includes a plurality of pieces of attribute information such as an occurrence date and an occurrence source each including an event occurrence time, and message information indicating event contents.
On the other hand, such event information is output at any time in each system of the data system 10, and the format of each information and the attribute information included therein are different for each system in which it occurs.
Therefore, in the event
具体的には、イベント情報加工手段22では、図2に示すようなイベント情報がイベント情報受信手段21で受信されると、各イベント情報を分割し、当該イベント情報に含まれる属性情報を抽出する。
上記のとおり、イベント情報可視化装置20で受信されるイベント情報には、それぞれ複数の属性情報が含まれている。イベント情報可視化装置20では、このようなイベント情報に含まれる属性情報について、所定のルール情報に基づいて分割処理が実行される。
具体的には、本実施形態では、イベント情報を分割するためのルール情報として、図3(a)に示すようなマッピング情報が設定・記憶されるようになっている。
このようなイベント情報に含まれる属性情報のマッピングを示す情報は、イベント情報可視化装置20の記憶手段、例えばイベント情報蓄積手段23に予め設定・記憶されるようになっている。
Specifically, when event information as shown in FIG. 2 is received by the event information receiving means 21, the event information processing means 22 divides each event information and extracts attribute information included in the event information. .
As described above, the event information received by the event
Specifically, in the present embodiment, mapping information as shown in FIG. 3A is set and stored as rule information for dividing event information.
Information indicating the mapping of the attribute information included in such event information is set and stored in advance in storage means of the event
そして、以上のようなイベント情報のマッピングに基づいて、イベント情報加工手段22により、各イベント情報が分割処理される。
具体的には、図2(a)に示す監視システムの出力情報の場合には、発生日付・メッセージID・発生元・システムID・内容の各属性情報に分割することができる。
同様に、図2(b)に示す通知システムの出力情報の場合には、発生日付・処理結果・担当者・内容・システムIDの各属性情報に分割することができる。
図2(c)のコミュニケーションシステムの出力情報の場合には、発生日付・システムID・ユーザーID・宛先・内容の各属性情報に分割することができる。
図2(d)の連絡システムの出力情報の場合には、発生日付・システムID・連絡先企業・内容の各属性情報に分割することができる。
Based on the event information mapping as described above, each event information is divided by the event information processing means 22.
Specifically, in the case of the output information of the monitoring system shown in FIG. 2A, it can be divided into attribute information of occurrence date / message ID / generation source / system ID / content.
Similarly, in the case of the output information of the notification system shown in FIG. 2B, it can be divided into attribute information of occurrence date, processing result, person in charge, contents, and system ID.
In the case of the output information of the communication system of FIG. 2C, it can be divided into attribute information of occurrence date, system ID, user ID, destination, and contents.
In the case of the output information of the contact system in FIG. 2D, it can be divided into attribute information of occurrence date, system ID, contact company, and contents.
ここで、上記のようなイベント情報の属性情報の分割・抽出は、上述したマッピング情報(図3(a)参照)に基づいて、イベント情報に含まれるテキスト情報やメッセージ情報、すなわち、発生日付・メッセージID・発生元・システムID・内容・処理結果・担当者・ユーザーID・宛先・連絡先企業などの情報を、形態素解析してキーワード分解したものを属性として、分割・抽出することができる。
なお、「形態素解析」とは、自然言語で書かれた文を形態素(言語で意味を持つ最小単位)に分割する、コンピュータによる自然言語処理技術である。このような形態素解析については、公知の技術を用いることができ、本実施形態では、イベント情報可視化装置20が当該機能を備えたサーバコンピュータにより構成されることで実現できるものである。
Here, the division / extraction of the attribute information of the event information as described above is based on the above-described mapping information (see FIG. 3A), text information and message information included in the event information, that is, the occurrence date / Information such as message ID, source, system ID, content, processing result, person in charge, user ID, destination, contact company, etc., can be divided and extracted using morphological analysis and keyword decomposition as attributes.
“Morphological analysis” is a natural language processing technique by a computer that divides a sentence written in a natural language into morphemes (the smallest unit having meaning in a language). For such morphological analysis, a known technique can be used. In the present embodiment, the event
そして、イベント情報加工手段22では、上記のように分割・抽出された属性情報に基づいて、イベント情報のフォーマット統一処理及びタグ付け処理が実行される。
本実施形態では、イベント情報加工手段22は、予め設定された所定のルール情報に基づいて、イベント情報のフォーマット統一処理とタグ付け処理を実行するようになっている。
図3(b)は、分割・抽出された属性情報に基づくイベント情報の加工及びタグ付けのルール情報の一例である。同図に示す例では、ルール情報により処理順序・条件・処理内容が予め設定され、そのルールに基づいて処理が実行される。
なお、以下に示すようなルール情報は、イベント情報可視化装置20の記憶手段、例えばイベント情報蓄積手段23に予め設定・記憶されるようになっている。
The event information processing means 22 executes event information format unification processing and tagging processing based on the attribute information divided and extracted as described above.
In the present embodiment, the event
FIG. 3B is an example of event information processing and tagging rule information based on the attribute information divided and extracted. In the example shown in the figure, the processing order / condition / processing content is set in advance by the rule information, and the processing is executed based on the rule.
Note that the rule information as shown below is set and stored in advance in storage means of the event
具体的には、図3(b)に示すルール情報に従い、「処理順序:1〜7」の順で、設定された「条件」に該当するイベント情報に対して、「処理内容」に規定されたフォーマット統一・タグ付けの処理が行われる。
処理順序「1」では、条件「システム=監視システムandメッセージIDがSLAで始まる」イベント情報について、処理内容「タグ:区分にサービス報告を付加」する処理が実行される。
処理順序「2」では、条件「システム=監視システムandメッセージIDがSLAで始まらない」イベント情報について、処理内容「タグ:区分にシステム報告を付加」する処理が実行される。
Specifically, in accordance with the rule information shown in FIG. 3B, in the order of “processing order: 1 to 7”, the event information corresponding to the set “condition” is defined in “processing content”. Format unification and tagging are performed.
In the processing order “1”, processing for “adding a service report to a tag: classification” is executed for event information with the condition “system = monitoring system and message ID starts with SLA”.
In the processing order “2”, processing for “adding a system report to a tag: classification” is executed for event information with the condition “system = monitoring system and message ID does not start with SLA”.
処理順序「3」では、条件「システム=コミュニケーションシステム」のイベント情報について、処理内容「発生元をユーザーIDから取得した名字(CHAT)に変更」する処理が実行される。
処理順序「4」では、条件「システム=コミュニケーションシステムand宛先=ALL」のイベント情報について、処理内容「タグ:区分に内部連絡を付加」する処理が実行される。
処理順序「5」では、条件「システム=コミュニケーションシステムand宛先=ALL」のイベント情報について、処理内容「タグ:区分に内部報告を付加」する処理が実行される。
In the processing order “3”, a process of “changing the generation source to the last name (CHAT) acquired from the user ID” for the event information of the condition “system = communication system” is executed.
In the processing order “4”, processing for “adding internal communication to a tag: classification” is executed for event information of the condition “system = communication system and destination = ALL”.
In the processing order “5”, processing for “adding an internal report to a tag: classification” is executed for event information of the condition “system = communication system and destination = ALL”.
処理順序「6」では、条件「システム=連絡システム」のイベント情報について、処理内容「タグ:区分に顧客連絡を付加」する処理が実行される。
処理順序「7」では、条件「システムIDが存在する」イベント情報について、処理内容「タグ:システムにして生むIDから取得したシステム名を付加」する処理が実行される。
以下、ルール情報が存在すれば、それに従って同様のフォーマット統一・タグ付加の処理が実行される。
In the processing order “6”, processing for “adding customer contact to a tag: classification” is executed for event information of the condition “system = contact system”.
In the processing order “7”, processing for “adding a system name acquired from an ID generated in the system” is executed for the event information for the condition “system ID exists”.
Hereinafter, if there is rule information, the same format unification / tag addition processing is executed accordingly.
このようにして、イベント情報加工手段22では、設定されたルール情報に基づいて、該当するイベント情報に対する加工処理(属性情報の分割・フォーマット統一化・タグ情報付与)が実行される。
これによって、データシステム10から出力される、フォーマットや属性情報の異なる複数のイベント情報が、フォーマットが統一され、属性情報に応じて所定のタグ情報が付加された加工処理されたイベント情報として生成されることになる。
In this manner, the event information processing means 22 executes processing (division of attribute information, format unification, tag information addition) for the corresponding event information based on the set rule information.
As a result, a plurality of event information having different formats and attribute information output from the data system 10 is generated as processed event information in which the format is unified and predetermined tag information is added according to the attribute information. Will be.
図4に、イベント情報加工手段22によって加工処理されたイベント情報の一例を示す。
同図に示すように、加工処理されたイベント情報は、図2に示したフォーマット・属性情報が異なるイベント情報が、フォーマットが統一され、かつ、属性情報に応じたタグ情報が付加されたイベント情報として、複数のシステムで発生したイベント情報が、発生時刻順の時系列に配列された時系列データとして生成・蓄積されるようになっている。
同図に示す例では、複数のイベント情報が、発生時刻・発生元・内容・タグ情報(区分・システム)の各項目のフォーマットが統一されたデータとして、時系列に配列されている。
FIG. 4 shows an example of event information processed by the event information processing means 22.
As shown in the figure, the processed event information includes event information with different format / attribute information shown in FIG. 2, event information in which the format is unified and tag information corresponding to the attribute information is added. As described above, event information generated in a plurality of systems is generated and stored as time series data arranged in time series in the order of occurrence time.
In the example shown in the figure, a plurality of pieces of event information are arranged in time series as data in which the format of each item of occurrence time, generation source, content, and tag information (classification / system) is unified.
また、タグ情報として、「区分」と「システム」の複数(二種類)が指定・付加されている。
タグ「区分」では、イベント情報の内容について、「システム報告・システム連絡・内部連絡・サービス報告・内部報告・顧客連絡」を識別するタグが付加されている。
タグ「システム」では、イベント情報が出力される対象システム名を識別するタグが付加されるようになっている。
なお、タグは、図4に示す二種類の場合に限らず、例えばイベント情報の内容やデータシステム10の構成等に応じて、一種類又は三種類以上のタグが設定されることがある。
また、タグは、本実施形態ではイベント情報加工手段22によって自動的に抽出・付与されるようになっているが、上述したように、例えば担当者端末30からの入力操作に応じて、担当者等がタグを指定・追加・変更等を行うこともできる。
As tag information, a plurality (two types) of “classification” and “system” are designated and added.
In the tag “category”, a tag for identifying “system report / system contact / internal contact / service report / internal report / customer contact” is added to the content of the event information.
In the tag “system”, a tag for identifying a target system name to which event information is output is added.
Note that the tags are not limited to the two types shown in FIG. 4, and one type or three or more types of tags may be set depending on the content of the event information, the configuration of the data system 10, and the like.
Further, in the present embodiment, the tag is automatically extracted and assigned by the event information processing means 22, but as described above, for example, in response to an input operation from the person-in-charge terminal 30, the person in charge Etc. can also specify / add / change tags.
以上のように加工処理されたイベント情報は、イベント情報可視化装置20のイベント情報蓄積手段23に格納・蓄積され、後述するように、イベント情報出力手段24の制御により、担当者別のイベント情報として読み出されて、担当者端末30に出力される。
なお、以上のようなルール情報は、データシステム10の管理者側において、予めイベント情報可視化装置20に対して直接ルール情報を設定・記憶させておくことができ、また、設定後においても、随時ルール情報の追加・変更・更新等することができる。
また、データシステム10の担当者やユーザーなどが、担当者端末30等を介して、イベント情報可視化装置20にルール情報を設定・追加・変更等することもできる。
これによって、ルール情報を機動的かつ柔軟に設定・変更等することが可能となり、例えばデータシステム10の実際の稼動・運用によって初めて判明した事象に対しても、ルール情報を変更・追加等することで対応することができるようになる。
The event information processed as described above is stored / accumulated in the event information storage means 23 of the event
The rule information as described above can be set and stored directly in advance in the event
Further, a person in charge or a user of the data system 10 can set, add, or change rule information in the event
This makes it possible to set and change rule information flexibly and flexibly. For example, it is possible to change or add rule information even for an event that is first found by actual operation or operation of the data system 10, for example. It will be possible to respond with.
さらに、ルール情報は、上述のように形態素解析により分解される属性情報(図3(a)参照)と、発生したイベント情報の連続性/不連続性を属性として、「クラス分類モデル」の機械学習を行うことによって、ルール情報を自動生成することも可能である。
ここで、「機械学習」とは、入力されたデータから有用な規則やルール,判断基準等を抽出し、反復的な学習を繰り返すことで、新たに入力されたデータに対する規則やルール等を自律的に生成して成長する人工知能技術である。また、「クラス分類モデル」とは、対象データをターゲットとなるクラスに割り当てるデータ・マイニング技術である。
これら機械学習・クラス分類モデルについては、公知の技術を用いることができ、本実施形態に係るイベント情報可視化装置20が、それらの機能を備えたサーバコンピュータ等により構成されることで実現することができる。
Further, the rule information includes attribute information (see FIG. 3A) decomposed by morphological analysis as described above, and the continuity / discontinuity of the generated event information as attributes. It is also possible to automatically generate rule information by performing learning.
Here, “machine learning” is to extract useful rules, rules, judgment criteria, etc. from the input data and repeat the iterative learning to make the rules, rules, etc. for the newly input data autonomous. Artificial intelligence technology that generates and grows automatically. The “class classification model” is a data mining technique that assigns target data to a target class.
For these machine learning / class classification models, known techniques can be used, and the event
以上のように加工処理されたイベント情報は、イベント情報蓄積手段23に格納・蓄積された後、イベント情報出力手段24により読み出されて、担当者端末30に出力される。
イベント情報出力手段24では、イベント情報蓄積手段23に蓄積されたイベント情報のうち、所定のイベント情報を抽出して出力するようになっている。
具体的には、イベント情報出力手段24は、イベント情報蓄積手段23に蓄積されたイベント情報の中から、各イベント情報に付加されたタグ情報に基づいて所定のイベント情報を抽出する。
特に、イベント情報出力手段24は、予め設定されたルール情報として、ユーザー単位の表示設定情報に基づいて、イベント情報に付加されたタグ情報に応じた所定のイベント情報をユーザー単位で抽出して、抽出された複数のイベント情報を、時刻順に配列された時系列データとして出力するようになっている。
The event information processed as described above is stored / accumulated in the event
The event information output means 24 extracts predetermined event information from the event information stored in the event information storage means 23 and outputs it.
Specifically, the event
In particular, the event information output means 24 extracts predetermined event information according to tag information added to the event information based on display setting information for each user as rule information set in advance, for each user, The plurality of extracted event information is output as time-series data arranged in time order.
ここで、ユーザー単位のイベント情報の抽出処理を行うためのルール情報となる、表示設定情報の一例を図5に示す。
同図に示す例では、ユーザー名・職域・タグ情報に基づいて、該当するユーザーに対してイベント情報を表示させるか否かの基準が「表示/非表示/不可」で設定されるようになっている。イベント情報出力手段24では、この表示情報に従って、該当する各ユーザーに対して表示させるべきイベント情報の抽出・出力処理が実行される。
なお、以下に示すような表示設定情報は、イベント情報可視化装置20の記憶手段、例えばイベント情報蓄積手段23に予め設定・記憶されるようになっている。
また、表示設定情報は、設定後においても、随時追加・変更・更新等することができ、例えば、データシステム10の担当者やユーザーなどが、担当者端末30等を介して、イベント情報可視化装置20に表示設定情報の追加・変更等を行うことができる。
Here, FIG. 5 shows an example of display setting information that is rule information for performing event information extraction processing for each user.
In the example shown in the figure, based on the user name, job title, and tag information, the criteria for whether or not to display the event information for the corresponding user is set to “display / hidden / impossible”. ing. In the event information output means 24, extraction / output processing of event information to be displayed for each corresponding user is executed according to this display information.
The display setting information as described below is set and stored in advance in the storage means of the event
Further, the display setting information can be added / changed / updated at any time after the setting. For example, a person in charge or a user of the data system 10 can use the event information visualization device via the person-in-charge terminal 30 or the like. 20 can add / change display setting information.
具体的には、図5に示す表示設定情報では、各ユーザー単位で「職域」と「タグ:区分」について、「表示」「非常時」「不可」のいずれかが設定されるようになっている。
例えば「ユーザー:鈴木・職域:顧客」については、「顧客連絡:表示・内部報告:不可・内部連絡:不可・システム連絡:不可・サービス報告:表示・システム報告:不可」と設定されている。
また、「ユーザー:木村・職域:リーダー」については、「顧客連絡:表示・内部報告:表示・内部連絡:表示・システム連絡:表示・サービス報告:表示・システム報告:非表示」と設定されている。
このようにして、タグが付加された各区分に対して、「表示」「非表示」「不可」を設定することで、職域や権限上、見せるべき場合、見せる必要がない場合、見せてはいけない場合を区別して、イベント情報の抽出が行われるようになっている。
Specifically, in the display setting information shown in FIG. 5, “display”, “emergency”, or “impossible” is set for each “user” and “tag: classification” for each user. Yes.
For example, “user: Suzuki, job: customer” is set as “customer contact: display / internal report: disabled / internal contact: disabled / system contact: disabled / service report: displayed / system report: disabled”.
For "User: Kimura / Job: Leader", "Customer contact: Display / Internal report: Display / Internal contact: Display / System contact: Display / Service report: Display / System report: Hide" is set. Yes.
In this way, by setting “display”, “non-display”, “impossible” for each category with a tag attached, if it should be shown for occupation or authority, show it if it does not need to be shown Event information is extracted by distinguishing cases that should not be performed.
このような表示設定情報に基づく、ユーザー単位のイベント情報の出力・表示の一例を図6及び7に示す。
図6は、イベント情報の閲覧者が、「ユーザー:田中・職域:エンジニア」の場合であり、この場合は、表示設定情報は、については、「顧客連絡:不可・内部報告:非表示・内部連絡:表示・システム連絡:表示・サービス報告:非表示・システム報告:表示」と設定されている。
その結果、「エンジニア(田中)」に対しては、データシステム10から出力され加工処理が行われた全イベント情報(図4参照)のうち、「システム報告・システム連絡・内部連絡(田中)」についてのイベント情報のみが時系列に従って出力・表示され、他の「内部報告・サービス報告・内部連絡(他者)」については表示されないようになる。
An example of output / display of event information for each user based on such display setting information is shown in FIGS.
FIG. 6 shows the case where the viewer of the event information is “User: Tanaka / Job title: Engineer”. In this case, the display setting information is “Customer contact: Impossible / Internal report: Hidden / Internal” “Contact: Display / System Contact: Display / Service Report: Hide / System Report: Display” is set.
As a result, for the “engineer (Tanaka)”, “system report / system communication / internal communication (Tanaka)” out of all event information output from the data system 10 and processed (see FIG. 4). Only the event information about is output / displayed according to the time series, and other “internal reports / service reports / internal contacts (others)” are not displayed.
一方、図7は、イベント情報の閲覧者が、「ユーザー:佐藤・職域:責任者」の場合であり、この場合は、表示設定情報は、については、「顧客連絡:表示・内部報告:表示・内部連絡:非表示・システム連絡:非表示・サービス報告:表示・システム報告:非表示」と設定されている。
その結果、「責任者(佐藤)」に対しては、データシステム10から出力され加工処理が行われた全イベント情報(図4参照)のうち、「サービス報告・内部報告・顧客連絡」についてのイベント情報のみが時系列に従って出力・表示され、他の「内部連絡・システム連絡・システム報告」については表示されないようになる。
On the other hand, FIG. 7 shows a case where the viewer of the event information is “user: Sato / job: responsible person”. In this case, the display setting information is “customer contact: display / internal report: display”.・ Internal communication: Hidden ・ System communication: Hidden ・ Service report: Display ・ System report: Hidden ”is set.
As a result, for the “responsible person (Sato)”, the “service report / internal report / customer contact” among all the event information output from the data system 10 and processed (see FIG. 4). Only event information is output / displayed according to the time series, and other “internal communication / system communication / system report” is not displayed.
以上のように、イベント情報出力手段24の制御により、所定のユーザー単位で、イベント情報が抽出され、該当するユーザーに対しては、必要なイベント情報のみが表示され、不要・無用なイベント情報は表示されないようになる。
図6に示すように、ユーザーが「エンジニア」の場合には、「システム報告」や「システム連絡」は障害対応などの業務に必須の情報であり、また、自らの「内部連絡」も必要な情報となる。一方、部下から上司への「内部報告」や、顧客向けの「サービス報告」、他者の「内部連絡」などは、特に必要のない情報となる。このため、「エンジニア」に対しては、システムの実際の障害内容や、自身の対応内容、上司からの指示等のみが表示されるようになる。
As described above, by the control of the event information output means 24, the event information is extracted for each predetermined user, and only necessary event information is displayed for the corresponding user, and unnecessary / unnecessary event information is displayed. It will not be displayed.
As shown in FIG. 6, when the user is an “engineer”, “system report” and “system contact” are essential information for work such as troubleshooting, and their own “internal contact” is also required. Information. On the other hand, “internal reports” from subordinates to superiors, “service reports” for customers, “internal communication” of others, etc. are unnecessary information. For this reason, only the actual failure content of the system, its own response content, instructions from the supervisor, etc. are displayed to the “engineer”.
一方、図7に示すように、ユーザーが「責任者」の場合には、顧客向けの「顧客連絡」や部下や現場担当者からの「内部報告」、顧客への影響等を示す「サービス報告」は、データシステム10の責任者として必須の情報となる。一方、担当者レベルでやり取りされる「内部連絡」や「システム連絡」「システム報告」などは、責任者の立場では特に必要のない情報となる。このため、「責任者」に対しては、サービスに影響があるシステム状況の連絡や、顧客とのやり取り等だけが表示されることになる。
このようにして、イベント情報可視化装置20により、イベント情報がユーザー単位で選別されて出力されることで、各ユーザー(担当者・顧客)が、真に必要となる有用なイベント情報のみを受け取れるようになり、大量のデータに埋もれることなく、有用・必要な情報を迅速かつ的確に閲覧・参照できるようになる。
On the other hand, as shown in FIG. 7, when the user is a “responsible person”, “customer contact” for customers, “internal reports” from subordinates and field staff, “service reports” indicating the impact on customers, etc. "Is essential information for the person in charge of the data system 10. On the other hand, “internal communication”, “system communication”, “system report”, and the like exchanged at the person-in-charge level are information that is not particularly necessary from the standpoint of the person in charge. For this reason, for the “responsible person”, only the notification of the system status affecting the service and the exchange with the customer are displayed.
In this way, the event
[動作]
次に、以上のような構成からなる本実施形態に係るイベント情報可視化装置20の具体的な動作(イベント情報可視化方法)について、図8を参照しつつ説明する。
図8は、本実施形態に係るイベント情報可視化装置20における処理動作(イベント情報の可視化方法)を示すフローチャートである。
[Operation]
Next, a specific operation (event information visualization method) of the event
FIG. 8 is a flowchart showing a processing operation (event information visualization method) in the event
まず、本実施形態に係るデータシステム10においては、監視対象装置11となる各業務サーバ11a〜11nが、業務システムを運用するために継続的に稼動している。
稼動する業務サーバ11a〜11nからは、業務システムの運用に伴って、アプリケーションログや基盤のログ等のログファイルを含む出力情報が継続的に出力されている。
各業務サーバ11a〜11nから出力されるログファイル等の出力情報は、監視サーバ12を構成する各プローブ12a〜12nで受信され、各プローブ12a〜12nにおいて、それぞれ監視対象となる各業務サーバ11a〜11nの状態が常時監視されることになる。
First, in the data system 10 according to the present embodiment, the business servers 11a to 11n serving as the monitoring target devices 11 are continuously operated in order to operate the business system.
Output information including log files such as application logs and infrastructure logs is continuously output from the operating business servers 11a to 11n as the business system is operated.
Output information such as log files output from the business servers 11a to 11n is received by the probes 12a to 12n constituting the monitoring server 12, and the business servers 11a to 11n to be monitored by the probes 12a to 12n, respectively. The state of 11n is constantly monitored.
また、監視サーバ12の各プローブ12a〜12nでは、当該各プローブ12a〜12nの状態を示すメッセージ情報が生成され、それらの情報がマネージャ・サーバ13に出力される。
監視サーバ12を束ねるマネージャ・サーバ13では、監視対象装置11及び監視サーバ12の稼動・運用の状態等を示す監視情報が入力され、データシステム10の全体の運用・稼働状態が監視されることになる。
そして、マネージャ・サーバ13から、データシステム10の全体で生成・発行される各種情報からなるイベント情報が出力され、イベント情報可視化装置20に入力される。
Further, in each of the probes 12 a to 12 n of the monitoring server 12, message information indicating the state of each of the probes 12 a to 12 n is generated and the information is output to the
In the
Then, event information including various information generated and issued in the entire data system 10 is output from the
イベント情報可視化装置20では、まず、イベント情報受信手段21において、上述した、例えば発生日付・メッセージID・発生元・システムID・内容・処理結果・担当者・ユーザーID・宛先・連絡先企業などの属性情報を含むイベント情報(図2参照)が受信される(ステップ01)。
イベント情報受信手段21で受信されたイベント情報は、イベント情報加工手段22に出力され、イベント情報の分割(ステップ02)及び加工・タグ付け(ステップ03)の処理が実行される。
イベント情報の分割・加工・タグ付けの処理は、所定のルール情報(図3(a)及び(b)参照)に基づいて実行され、フォーマット統一及びタグ情報付加が行われた加工済みのイベント情報が生成される(図4参照)。
In the event
The event information received by the event information receiving means 21 is output to the event information processing means 22, and processing of event information division (step 02) and processing / tagging (step 03) is executed.
Event information segmentation, processing, and tagging processing are executed based on predetermined rule information (see FIGS. 3A and 3B), and processed event information that has been subjected to format unification and tag information addition. Is generated (see FIG. 4).
その後、加工済みのイベント情報は、フォーマット統一された時系列データとしてイベント情報蓄積手段23に格納・蓄積される(ステップ04)。
イベント情報蓄積手段23に蓄積された加工済みのイベント情報は、担当者端末30からのアクセス・閲覧請求等に応じて読み出され、該当する担当者端末30のユーザーに対応するイベント情報が抽出される(ステップ05)。
ユーザーに対応したイベント情報は、当該ユーザーに対する「表示/非表示/不可」が設定されたルール情報(図5参照)に基づいて、所定のイベント情報のみが抽出される(図6,7参照)。
なお、担当者端末30からのアクセス・閲覧要求は、例えば所定のユーザーIDやパスワードなどが入力されてユーザー認証処理が行われることで許可・可能となり、イベント情報可視化装置20では、ユーザーの認証情報等に基づいて、イベント情報を抽出するためのユーザーのユーザー名や職域,担当システムなどの情報が識別・参照される。
Thereafter, the processed event information is stored / accumulated in the event
The processed event information stored in the event information storage means 23 is read in response to an access / view request from the person-in-charge terminal 30 and event information corresponding to the user of the person-in-charge terminal 30 is extracted. (Step 05).
Only predetermined event information is extracted from the event information corresponding to the user based on the rule information (see FIG. 5) in which “display / non-display / impossible” is set for the user (see FIGS. 6 and 7). .
The access / browsing request from the person-in-charge terminal 30 can be permitted / permitted, for example, by inputting a predetermined user ID, password, etc., and performing user authentication processing. Based on the above, information such as the user name, job title, and responsible system for extracting event information is identified and referenced.
そして、ユーザー単位で抽出されたイベント情報は、時刻順に配列された時系列データとして配列され、担当者端末30に対して出力・表示される(ステップ06)。
このユーザー単位のイベント情報の表示例は、図6及び7に示すとおりであり、ユーザー単位で抽出されたイベント情報は、該当するユーザーに対して必要なイベント情報のみが表示され、不要・無用なイベント情報は表示されない。
したがって、イベント情報を受信・閲覧する各ユーザー(担当者・顧客)は、自らが真に必要となる有用なイベント情報のみが受け取れるようになり、大量のデータに埋もれることなく、有用・必要な情報のみを確実に閲覧・参照することができる。
Then, the event information extracted for each user is arranged as time series data arranged in order of time, and is output and displayed to the person-in-charge terminal 30 (step 06).
Examples of display of the event information for each user are as shown in FIGS. 6 and 7, and the event information extracted for each user displays only necessary event information for the corresponding user, and is unnecessary / unnecessary. Event information is not displayed.
Therefore, each user (person in charge / customer) who receives / views event information can receive only useful event information that he / she really needs, and it is useful / necessary information without being buried in a large amount of data. You can browse and reference only.
以上説明したように、本実施形態に係るイベント情報可視化装置20によれば、データシステム10から生成・出力されるイベント情報を、イベント情報に含まれる属性情報に基づいて蓄積・分類することにより、全てのイベント情報の中から所定のイベント情報のみを抽出・出力することができる。
これにより、各担当者単位・ユーザー単位で、必要とするイベント情報のみを可視化して、障害対応などの迅速かつ正確な対応が求められる事象に対しても、有用なイベント情報に基づく的確な対応を取ることができるようになる。
As described above, according to the event
As a result, only the necessary event information is visualized for each person in charge and each user, and appropriate responses based on useful event information are available even for events that require a quick and accurate response, such as failure response. Will be able to take.
特に、本実施形態では、データシステム10を構成する各システム機器から発生するイベントやアプリケーションのログ、エンジニアの対応履歴やコミュニケーション履歴について、情報の収集後に発生時刻とイベントの属性情報を元に時系列データとして一元的に保持することができ、保持する際にこれらのイベントの情報の想定参照対象を、ルールを元にタグとして付与することができる。
これによって、例えば障害対応においては、各担当者は原因究明とワークアラウンドの処置を実施することになるが、その際に各職域の担当者は、担当者端末30に表示された時系列データの参照画面から参照することができる。
さらに、ユーザーは、参照したい情報をタグと属性情報でフィルタリングして、新たな時系列データとして並べ替えることも可能となり、これによって、例えば発生した障害に対して対処状況がどのようになっているか等を可視化することができ、正確で迅速な対応が取れるようになる。
In particular, in the present embodiment, the event and application logs generated from each system device constituting the data system 10, the engineer's correspondence history and the communication history are time-series based on the occurrence time and event attribute information after the information is collected. The data can be centrally stored, and when the data is stored, an assumed reference target of information on these events can be given as a tag based on the rule.
Thus, for example, in the case of failure handling, each person in charge carries out the cause investigation and the workaround process. At that time, the person in charge in each job field is responsible for the time-series data displayed on the person-in-charge terminal 30. It can be referred from the reference screen.
In addition, the user can filter the information that he wants to refer to by tag and attribute information and rearrange it as new time-series data. Etc. can be visualized, and an accurate and quick response can be taken.
したがって、本実施形態のイベント情報可視化装置20によれば、数百台〜数千台,数万台オーダーの監視対象装置や監視サーバを備え、継続的に様々な事象が大量に発生している、例えば大企業のデータシステムや、複数企業等の異なるデータを大量に取り扱うデータシステムの運用を業務として請け負う情報システム企業が所有する巨大なサーバシステム群で運用・管理されるシステムにおいても、大量に出力されるデータに埋もれることなく、必要なイベント情報を出力・参照して、障害対応等への適切な対応が可能となり、安定的なシステム運用を実現することができる。
Therefore, according to the event
以上、本発明について、好ましい実施形態を示して説明したが、本発明は、上述した実施形態に限定されるものではなく、本発明の範囲で種々の変更実施が可能であることは言うまでもない。
例えば、上述した実施形態では、イベント情報と、それに対するルール情報、それに基づく加工済みのイベント情報を図2〜7に示したが、それらはイベント情報の一例であり、本発明のイベント情報やルール情報は、特に上述の実施形態のものに限定されない。イベント情報は、例えばデータシステムの対象や目的、システム構成等が異なれば、出力されるイベント情報もそれに応じて異なるものであり、時刻情報を有する情報である限り、どのような出力情報であっても、イベント情報として本発明を適用することができ、イベント情報に応じて、適用すべきマッピングやタグ付け,表示設定などのルール情報も任意に設定変更することができる。その結果、出力される加工済みのイベント情報についても、特に限定されるものではない。
While the present invention has been described with reference to the preferred embodiment, it is needless to say that the present invention is not limited to the above-described embodiment, and various modifications can be made within the scope of the present invention.
For example, in the above-described embodiment, the event information, the rule information for the event information, and the processed event information based on the event information are shown in FIGS. 2 to 7, but these are examples of the event information. The information is not particularly limited to that of the above-described embodiment. Event information, for example, if the target and purpose of the data system, the system configuration, etc. are different, the event information that is output also differs accordingly. However, the present invention can be applied as event information, and rule information such as mapping, tagging, and display settings to be applied can be arbitrarily changed according to the event information. As a result, the processed event information to be output is not particularly limited.
また、上述した実施形態では、所定のルールに基づいてタグ付けがされる内容であったが、ユーザーが端末等でイベント情報を閲覧する際に、任意のタグを端末上で新たに付与できるようにしても良く、同時に、タグ付与の新たなルールを提案としてイベント情報化可視装置に送信できるようにしても良い。
なお、ユーザーが提案する新たなタグ付与ルールについて、ユーザーの職域に応じて、イベント情報化可視装置で適用可能なタイミングを設定しても良い。例えば、責任者の職域に属するユーザーが新たに提案するルールであれば、承認なしに適用し、エンジニアの職域に属するユーザーであれば、所定の承認プロセスを得なければ適用されないようにしても良い。
In the above-described embodiment, the content is tagged based on a predetermined rule. However, when a user browses event information on a terminal or the like, an arbitrary tag can be newly added on the terminal. At the same time, a new rule for tagging may be sent as a proposal to the event information visualization device.
In addition, about the new tag provision rule which a user proposes, you may set the timing applicable with an event information visualization apparatus according to a user's job field. For example, if a rule is newly proposed by a user belonging to the person in charge of the person in charge, it may be applied without approval, and if it is a user belonging to the area of the engineer, it may not be applied unless a predetermined approval process is obtained. .
また、上述した図4での例示では、メッセージに対して全てタグが付与されている例を説明したが、図3のタグ付けのルールではタグが付与されないメッセージも生じることもあり得る。その場合に、タグなしというタグを付与する構成であってもよく、図5のタグ毎の表示設定においても、「タグなし」というタグに対して表示設定を行う構成とすることができる。
このような構成であれば、例えば、リーダーや運用管理者が表示可能とし、表示を見たリーダーや運用管理者が適宜新しいタグを追加したり、新しいタグ付けのルールを追加することもできる。
Moreover, although the example in FIG. 4 mentioned above demonstrated the example to which all the tags are provided with respect to the message, the message to which a tag is not provided may also arise according to the tagging rule of FIG. In that case, a configuration in which a tag “no tag” is assigned may be used, and the display setting for each tag in FIG.
With such a configuration, for example, a reader or an operation manager can display, and the reader or operation manager who has viewed the display can add a new tag as appropriate, or can add a new tagging rule.
また、別の構成として、「タグなし」というタグを設けることに代えて、タグが付与されていないメッセージを誰に対して表示可能又は連絡要とするのかの設定を行う構成であっても良い。この構成の場合でも、タグが付与されていないメッセージを見た担当者が適宜新しいタグを追加したり、新しいタグ付けのルールを追加することもできる。
また、図5のタグの表示設定において、指定期間又は無指定期間における、タグ別のメッセージ件数を補助的に表示することもでき、表示設定する者が補助的に表示されているメッセージ件数を参照しながら表示設定することもできる。
As another configuration, instead of providing a tag “no tag”, a configuration may be set in which a message without a tag can be displayed or contacted. . Even in this configuration, the person in charge who sees a message without a tag can add a new tag or add a new tagging rule.
In addition, in the tag display setting of FIG. 5, the number of messages for each tag in the specified period or non-specified period can be displayed as an auxiliary, and the person who sets the display refers to the number of messages displayed as an auxiliary. Display settings can also be made.
また、上述した実施形態では、イベント発行装置から発行・出力されるイベント情報として、業務サーバを管理するマネージャ・サーバから出力される監視システム・通知システム・コミュニケーションシステム・連絡システムのデータ情報を示しているが、これは本発明のイベント情報可視化装置が対象とするイベント情報の一例であり、イベント情報の種類・内容等は特に限定されるものではない。
すなわち、イベント情報としては、上記以外の他の情報、例えば電子メールやチャット,SNSなどのコミュニケーションツールから生成・出力される情報であっても、発行時刻が記録されているイベント情報として本発明を適用することができる。
In the above-described embodiment, the event information issued / output from the event issuing device shows the data information of the monitoring system / notification system / communication system / contact system output from the manager / server that manages the business server. However, this is an example of event information targeted by the event information visualization apparatus of the present invention, and the type and content of the event information are not particularly limited.
That is, as event information, even if it is information other than the above, for example, information generated / output from a communication tool such as e-mail, chat, and SNS, the present invention is used as event information in which an issue time is recorded. Can be applied.
また、上述した実施形態では、本発明に係るイベント情報可視化装置が適用されるデータシステムとして、複数の管理対象装置において実装・運用される大規模データシステムを想定して説明したが、本発明が適用可能なデータシステムや管理対象装置は、その規模の大小やシステムの内容については特に限定されるものではない。
時刻情報を有するイベント情報が出力され、そのイベント情報に基づいて例えば障害対応などに迅速・的確に対応する要請のあるデータシステムや情報処理装置であれば、システムの規模や内容はどのようなものであっても本発明を適用・実施することができる。
In the above-described embodiments, the data system to which the event information visualization device according to the present invention is applied has been described assuming a large-scale data system implemented and operated in a plurality of managed devices. Applicable data systems and devices to be managed are not particularly limited in terms of size and contents of the system.
What is the scale and content of the system as long as it is a data system or information processing device that outputs event information that includes time information and that is requested to respond promptly and accurately to, for example, troubleshooting based on the event information? Even so, the present invention can be applied and implemented.
本発明は、例えば企業の業務運営等に用いられる業務サーバとそれを監視する監視サーバ等を備えるデータシステム・業務システムなどに好適に利用可能である。 The present invention can be suitably used for, for example, a data system / business system including a business server used for business management of a company and a monitoring server for monitoring the business server.
10 データシステム
11 監視対象装置
11a〜11n 業務サーバ
12 監視サーバ
12a〜12n プローブ
13 マネージャ・サーバ
20 イベント情報可視化装置
21 イベント情報受信手段
22 イベント情報加工手段
23 イベント情報蓄積手段
24 イベント情報出力手段
30 担当者端末
DESCRIPTION OF SYMBOLS 10 Data system 11 Monitoring object apparatus 11a-11n Business server 12 Monitoring server 12a-
Claims (6)
前記イベント発行装置から出力されるイベント情報を受信するイベント情報受信手段と、
前記イベント情報受信手段で受信されたイベント情報を加工するイベント情報加工手段と、
前記イベント情報加工手段で加工されたイベント情報を蓄積するイベント情報蓄積手段と、
前記イベント情報蓄積手段に蓄積されたイベント情報のうち、所定のイベント情報を抽出して出力するイベント情報出力手段と、を備え、
前記イベント情報加工手段は、
前記イベント情報受信手段で受信されるイベント情報に含まれる属性情報に基づいて、当該イベント情報に対して一又は二以上のタグ情報を付与し、
前記イベント情報出力手段は、
前記イベント情報蓄積手段に蓄積されたイベント情報の中から、前記タグ情報に基づいて所定のイベント情報を抽出する
ことを特徴とするイベント情報可視化装置。 An information processing device that receives predetermined event information having time information output from an event issuing device, extracts predetermined event information from a plurality of received event information, and visualizes the information,
Event information receiving means for receiving event information output from the event issuing device;
Event information processing means for processing the event information received by the event information receiving means;
Event information storage means for storing event information processed by the event information processing means;
Event information output means for extracting and outputting predetermined event information out of the event information stored in the event information storage means,
The event information processing means includes:
Based on the attribute information included in the event information received by the event information receiving means, to give one or more tag information to the event information,
The event information output means includes
A predetermined event information is extracted based on the tag information from the event information stored in the event information storage means.
あらかじめ定められた所定のルール情報を記憶し、
前記イベント情報加工手段は、
前記ルール情報に基づいて、前記イベント情報に対して前記タグ情報を付与する
ことを特徴とする請求項1記載のイベント情報可視化装置。 The event information storage means includes
Stores predetermined rule information set in advance,
The event information processing means includes:
The event information visualization apparatus according to claim 1, wherein the tag information is attached to the event information based on the rule information.
前記イベント情報を分割し、当該分割された情報に基づいて、前記タグ情報を付与する
ことを特徴とする請求項1又は2記載のイベント情報可視化装置。 The event information processing means includes:
The event information visualization apparatus according to claim 1, wherein the event information is divided, and the tag information is assigned based on the divided information.
前記タグ情報に基づいて所定のユーザー単位でイベント情報を抽出するとともに、
抽出された複数のイベント情報を、当該イベント情報が有する時刻情報に基づいて、時刻順に配列された時系列に出力する
ことを特徴とする請求項1〜3のいずれか一項記載のイベント情報可視化装置。 The event information output means includes
Extracting event information in predetermined user units based on the tag information,
The event information visualization according to any one of claims 1 to 3, wherein the plurality of extracted event information is output in a time series arranged in order of time based on time information of the event information. apparatus.
前記イベント発行装置から出力されるイベント情報を受信するイベント情報受信手段、
前記イベント情報受信手段で受信されたイベント情報を加工するイベント情報加工手段、
前記イベント情報加工手段で加工されたイベント情報を蓄積するイベント情報蓄積手段、
前記イベント情報蓄積手段に蓄積されたイベント情報のうち、所定のイベント情報を抽出して出力するイベント情報出力手段、として機能させ、
前記イベント情報加工手段に、
前記イベント情報受信手段で受信されるイベント情報に含まれる属性情報に基づいて、当該イベント情報に対して一又は二以上のタグ情報を付与させ、
前記イベント情報出力手段に、
前記イベント情報蓄積手段に蓄積されたイベント情報の中から、前記タグ情報に基づいて所定のイベント情報を抽出させる
ことを特徴とするイベント情報可視化プログラム。 A computer constituting an information processing apparatus that receives predetermined event information having time information output from an event issuing apparatus, extracts predetermined event information from a plurality of received event information, and visualizes the information,
Event information receiving means for receiving event information output from the event issuing device;
Event information processing means for processing the event information received by the event information receiving means;
Event information storage means for storing event information processed by the event information processing means;
Among the event information stored in the event information storage means, function as event information output means for extracting and outputting predetermined event information,
In the event information processing means,
Based on the attribute information included in the event information received by the event information receiving means, to give one or more tag information to the event information,
In the event information output means,
An event information visualization program characterized in that predetermined event information is extracted based on the tag information from event information stored in the event information storage means.
コンピュータが、
前記イベント発行装置から出力されるイベント情報を受信するイベント情報受信手順、
前記イベント情報受信手順で受信されたイベント情報を加工するイベント情報加工手順、
前記イベント情報加工手順で加工されたイベント情報を蓄積するイベント情報蓄積手順、
前記イベント情報蓄積手順で蓄積されたイベント情報のうち、所定のイベント情報を抽出して出力するイベント情報出力手順、とを実行し、
前記イベント情報加工手順で、
前記イベント情報受信手順で受信されるイベント情報に含まれる属性情報に基づいて、当該イベント情報に対して一又は二以上のタグ情報を付与し、
前記イベント情報出力手順で、
前記イベント情報蓄積手順で蓄積されたイベント情報の中から、前記タグ情報に基づいて所定のイベント情報を抽出する
ことを特徴とするイベント情報可視化方法。 A method of receiving predetermined event information having time information output from an event issuing device by a programmed computer and extracting and visualizing predetermined event information from a plurality of received event information. ,
Computer
An event information receiving procedure for receiving event information output from the event issuing device;
An event information processing procedure for processing the event information received in the event information receiving procedure;
Event information storage procedure for storing event information processed by the event information processing procedure,
An event information output procedure for extracting and outputting predetermined event information out of the event information accumulated in the event information accumulation procedure, and
In the event information processing procedure,
Based on the attribute information included in the event information received in the event information reception procedure, to give one or more tag information to the event information,
In the event information output procedure,
An event information visualization method, wherein predetermined event information is extracted based on the tag information from event information accumulated in the event information accumulation procedure.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016253199A JP2018106492A (en) | 2016-12-27 | 2016-12-27 | Event information visualization device, program and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016253199A JP2018106492A (en) | 2016-12-27 | 2016-12-27 | Event information visualization device, program and method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2018106492A true JP2018106492A (en) | 2018-07-05 |
Family
ID=62787200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016253199A Pending JP2018106492A (en) | 2016-12-27 | 2016-12-27 | Event information visualization device, program and method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2018106492A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020087370A (en) * | 2018-11-30 | 2020-06-04 | パナソニックIpマネジメント株式会社 | Management system, management method, and program |
| JP2021069009A (en) * | 2019-10-23 | 2021-04-30 | 日鉄ソリューションズ株式会社 | Information processing system, information processing system control method, information processing device, and program |
| CN117827191A (en) * | 2024-01-10 | 2024-04-05 | 广东赛意信息科技有限公司 | Execution method, device, equipment and storage medium based on visual modeling |
| JP7577443B2 (en) | 2019-12-19 | 2024-11-05 | キヤノン株式会社 | Information processing system and information processing method |
-
2016
- 2016-12-27 JP JP2016253199A patent/JP2018106492A/en active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020087370A (en) * | 2018-11-30 | 2020-06-04 | パナソニックIpマネジメント株式会社 | Management system, management method, and program |
| WO2020110570A1 (en) * | 2018-11-30 | 2020-06-04 | パナソニックIpマネジメント株式会社 | Management system, management method, and program |
| JP2021069009A (en) * | 2019-10-23 | 2021-04-30 | 日鉄ソリューションズ株式会社 | Information processing system, information processing system control method, information processing device, and program |
| JP7263206B2 (en) | 2019-10-23 | 2023-04-24 | 日鉄ソリューションズ株式会社 | Information processing system, information processing system control method, information processing device, and program |
| JP7577443B2 (en) | 2019-12-19 | 2024-11-05 | キヤノン株式会社 | Information processing system and information processing method |
| CN117827191A (en) * | 2024-01-10 | 2024-04-05 | 广东赛意信息科技有限公司 | Execution method, device, equipment and storage medium based on visual modeling |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10942960B2 (en) | Automatic triage model execution in machine data driven monitoring automation apparatus with visualization | |
| US7606168B2 (en) | Apparatus and method for message-centric analysis and multi-aspect viewing using social networks | |
| McLachlan et al. | LiveRAC: interactive visual exploration of system management time-series data | |
| IL297858A (en) | Digital processing systems and methods for improved networking and collaborative work management systems, methods and devices | |
| US10713321B1 (en) | Efficient identification of anomalies in periodically collected data | |
| US11610136B2 (en) | Predicting the disaster recovery invocation response time | |
| JP2018106492A (en) | Event information visualization device, program and method | |
| JP2007193685A (en) | Network information display program, recording medium recording the program, network information display device, and network information display method | |
| CN114124743B (en) | Method and system for executing full-link inspection rule of data application | |
| US8850321B2 (en) | Cross-domain business service management | |
| KR20090001786A (en) | Business Impact Analysis System due to Computational Disability | |
| CN118708560A (en) | A log analysis system and method based on multi-dimensional visualization of event links | |
| US20140324508A1 (en) | Business service management system | |
| GB2522321A (en) | Incident playbook generated in real time from disaster recovery plan | |
| US12001652B2 (en) | System and method for analysis and visualization of incident data | |
| JP2012234496A (en) | Information collecting system, method for collecting information, information collecting program | |
| Chircu et al. | Visualization and machine learning for data center management | |
| WO2019045117A1 (en) | Applicant information gathering system management device and management program | |
| JP2007265296A (en) | Log providing system, log providing method, and computer program | |
| WO2012172561A1 (en) | Enterprise information fusion | |
| JP7227183B2 (en) | Management server and analysis result screen provision method | |
| JP7440612B2 (en) | Message exchange device and message exchange method | |
| US20220366372A1 (en) | System and method for harvesting managerial intelligence from a message store | |
| Krishna et al. | Design and evaluation of a network-monitoring system | |
| Algabri et al. | Unleashing the benefits of SparkContext for Big Data |