JP6349983B2 - Abnormality detection method, abnormality detection program, and abnormality detection device - Google Patents
Abnormality detection method, abnormality detection program, and abnormality detection device Download PDFInfo
- Publication number
- JP6349983B2 JP6349983B2 JP2014118173A JP2014118173A JP6349983B2 JP 6349983 B2 JP6349983 B2 JP 6349983B2 JP 2014118173 A JP2014118173 A JP 2014118173A JP 2014118173 A JP2014118173 A JP 2014118173A JP 6349983 B2 JP6349983 B2 JP 6349983B2
- Authority
- JP
- Japan
- Prior art keywords
- detection value
- value
- period
- detection
- predetermined time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、異常検知方法、異常検知プログラムおよび異常検知装置に関する。 The present invention relates to an abnormality detection method, an abnormality detection program, and an abnormality detection apparatus.
従来から検出値の変化から異常の発生の検知が行われている。例えば、サーバなど用いたシステムでは、サーバのCPU(Central Processing Unit)の利用率を監視し、CPUの利用率が一定以上となった場合に異常が発生したと検知する。 Conventionally, the occurrence of an abnormality is detected from a change in the detected value. For example, in a system using a server or the like, the utilization rate of a CPU (Central Processing Unit) of the server is monitored, and when the utilization rate of the CPU exceeds a certain level, it is detected that an abnormality has occurred.
しかしながら、従来の技術は、異常の発生の検知が遅くなる場合がある。例えば、CPUの利用率が一定以上となった場合に異常が発生したと検知する場合、異常の発生の直前、あるいは、異常が発生した事後でないと、異常の発生を検知できない。 However, in the conventional technique, detection of the occurrence of abnormality may be delayed. For example, when it is detected that an abnormality has occurred when the CPU usage rate exceeds a certain level, the occurrence of the abnormality cannot be detected until immediately before the occurrence of the abnormality or after the occurrence of the abnormality.
このような課題は、CPUの利用率から異常の発生を検知する場合に限らず、例えば、検出値の変化から異常の発生を検出する場合、全般に発生するものである。 Such a problem occurs not only when the occurrence of an abnormality is detected from the usage rate of the CPU, but generally occurs when the occurrence of an abnormality is detected from a change in the detection value.
本発明は、一側面では、異常の発生を早期に検出できる異常検知方法、異常検知プログラムおよび異常検知装置を提供することを目的とする。 In one aspect, an object of the present invention is to provide an abnormality detection method, an abnormality detection program, and an abnormality detection device that can detect the occurrence of an abnormality at an early stage.
1つの態様では、異常検知方法は、コンピュータが、監視対象の状態を示す検出値を取得する処理を実行する。異常検知方法は、コンピュータが、取得した検出値ごとに、当該検出値が、取得時よりも前である特定期間での検出値の最小値よりも大きいかを判定する処理を実行する。異常検知方法は、コンピュータが、検出値が特定期間での検出値の最小値よりも大きいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する処理を実行する。 In one aspect, in the abnormality detection method, the computer executes a process of acquiring a detection value indicating the state of the monitoring target. In the abnormality detection method, for each acquired detection value, the computer executes a process of determining whether the detection value is larger than the minimum value of the detection values in a specific period before the acquisition time. In the abnormality detection method, when a determination result that the detected value is larger than the minimum value of the detected value in the specific period is continuously obtained for a predetermined time or longer, the computer executes processing for outputting an alert.
本発明の一側面によれば、異常の発生を早期に検出できる。 According to one aspect of the present invention, the occurrence of abnormality can be detected at an early stage.
以下に、本発明にかかる異常検知方法、異常検知プログラムおよび異常検知装置の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。そして、各実施例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。 Hereinafter, embodiments of an abnormality detection method, an abnormality detection program, and an abnormality detection apparatus according to the present invention will be described in detail with reference to the drawings. Note that the present invention is not limited to the embodiments. Each embodiment can be appropriately combined within a range in which processing contents are not contradictory.
[システム構成]
最初に、実施例1に係る異常検知装置を用いて異常の検知を行うシステムの一例を説明する。図1は、異常の検知を行うシステム構成の一例を説明する図である。図1に示すように、システム10は、サーバ装置11と、異常検知装置12と有する。サーバ装置11と異常検知装置12は、ネットワーク13を介して通信可能に接続され、各種の情報を交換することが可能とされている。かかるネットワーク13の一態様としては、有線または無線を問わず、携帯電話などの移動体通信、インターネット(Internet)、LAN(Local Area Network)やVPN(Virtual Private Network)などの任意の種類の通信網を採用できる。
[System configuration]
First, an example of a system that detects an abnormality using the abnormality detection apparatus according to the first embodiment will be described. FIG. 1 is a diagram illustrating an example of a system configuration for detecting an abnormality. As illustrated in FIG. 1, the
サーバ装置11は、所定のシステムが動作する装置である。例えば、サーバ装置11は、企業やデータセンタに配置され、基幹システムの提供や所定のサービスを提供するサーバコンピュータである。図1の例では、サーバ装置11を1つとした場合を例示したが、これに限定されず、サーバ装置11は任意の数とすることができる。例えば、システム10は、複数のサーバ装置11によりクラウドサービスを提供するクラウドシステムであってもよい。
The
異常検知装置12は、サーバ装置11の異常の発生を検知する装置である。異常検知装置12は、例えば、パーソナルコンピュータやサーバコンピュータなどのコンピュータなどである。異常検知装置12は、1台のコンピュータとして実装してもよく、また、複数台のコンピュータによる実装してもよい。また、異常検知装置12は、システム10を管理する管理端末やサーバ装置11が兼ねてもよい。なお、本実施例では、異常検知装置12を1台のコンピュータとして設けた場合を例として説明する。
The
[異常検知装置の構成]
次に、実施例1に係る異常検知装置12の構成について説明する。図2は、異常検知装置の機能的な構成の一例を示す図である。図2に示すように、異常検知装置12は、通信I/F(インタフェース)部20と、記憶部21と、制御部22とを有する。
[Configuration of anomaly detection device]
Next, the configuration of the
通信I/F部20は、他の装置との間で通信制御を行うインタフェースである。通信I/F部20としては、LANカードなどのネットワークインタフェースカードを採用できる。
The communication I /
通信I/F部20は、ネットワーク13を介して他の装置と各種情報を送受信する。例えば、通信I/F部20は、サーバ装置11と各種情報を送受信が可能とされており、サーバ装置11からサーバ装置11の状態を示す各種情報を受信する。
The communication I /
記憶部21は、各種のデータを記憶する記憶デバイスである。例えば、記憶部21は、ハードディスク、SSD(Solid State Drive)、光ディスクなどの記憶装置である。なお、記憶部21は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)などのデータを書き換え可能な半導体メモリであってもよい。
The
記憶部21は、制御部22で実行されるOS(Operating System)や各種プログラムを記憶する。例えば、記憶部21は、後述する異常検知処理を実行するプログラムを含む各種のプログラムを記憶する。さらに、記憶部21は、制御部22で実行されるプログラムで用いられる各種データを記憶する。例えば、記憶部21は、第1待機セット30と、第1アクティブセット31と、第2待機セット32と、第2アクティブセット33とを記憶する。
The
第1アクティブセット31および第2アクティブセット33は、異常の検知の対象となる期間のデータを保持するためのデータ領域である。例えば、本実施例では、後述する所定の第1期間での検出値の最小値を求める。また、本実施例では、第1期間の最小値よりも大きいとの判定結果が所定の第2期間の間連続して得られたかを判定する。この第1期間は、検出値の取得時から所定時間間隔をあけており、例えば、5分〜30分の期間とする。この第1期間は、検出値の取得時を含む期間であってもよい。また、第2期間は、検出値の取得時を含む期間としており、例えば、0分〜30分の期間とする。第1アクティブセット31には、第1期間の検出値などのデータを記憶させる。また、第2アクティブセット33には、第1期間の最小値よりも大きいとの判定結果が第2期間の間連続したかを判定するためのデータを記憶させる。
The first
第1待機セット30および第2待機セット32は、異常の検知の対象となる期間の前のデータを保持するためのデータ領域である。 The first standby set 30 and the second standby set 32 are data areas for holding data before a period to be detected for abnormality.
図3は、第1待機セットのデータ構成の一例を示す図である。図3に示すように、第1待機セット30は、「時刻」、「検出値」の各項目を有する。時刻の項目は、検出値が取得された時刻情報を記憶する領域である。検出値の項目は、取得された検出値を記憶する領域である。第1待機セット30には、検出値が取得される毎に、取得された検出値が時刻情報と共に格納される。 FIG. 3 is a diagram illustrating an example of a data configuration of the first standby set. As shown in FIG. 3, the first standby set 30 includes items of “time” and “detection value”. The time item is an area for storing time information at which the detected value is acquired. The detection value item is an area for storing the acquired detection value. Each time a detection value is acquired, the acquired detection value is stored in the first standby set 30 together with time information.
図4は、第1アクティブセットのデータ構成の一例を示す図である。図4に示すように、第1アクティブセット31は、上述の第1待機セット30と同様の構成とされており、「時刻」、「検出値」の各項目を有する。第1アクティブセット31には、第1待機セット30に格納された検出値のうち、時刻が第1期間内となった検出値が時刻情報と共に格納される。
FIG. 4 is a diagram illustrating an example of a data configuration of the first active set. As shown in FIG. 4, the first
図5は、第2待機セットのデータ構成の一例を示す図である。図5に示すように、第2待機セット32は、「時刻」、「検出値」、「フラグ」の各項目を有する。時刻の項目は、検出値が取得された時刻情報を記憶する領域である。検出値の項目は、取得された検出値を記憶する領域である。フラグの項目は、第1期間のデータの状態を判定した結果を示したフラグを記憶する領域である。第2待機セット32には、検出値が取得される毎に、取得された検出値が時刻情報、フラグと共に格納される。 FIG. 5 is a diagram illustrating an example of a data configuration of the second standby set. As shown in FIG. 5, the second standby set 32 includes items of “time”, “detected value”, and “flag”. The time item is an area for storing time information at which the detected value is acquired. The detection value item is an area for storing the acquired detection value. The flag item is an area for storing a flag indicating the result of determining the data state in the first period. Each time the detection value is acquired, the acquired detection value is stored in the second standby set 32 together with time information and a flag.
図6は、第2アクティブセットのデータ構成の一例を示す図である。図6に示すように、第2アクティブセット33は、上述の第2待機セット32と同様の構成とされており、「時刻」、「検出値」、「フラグ」の各項目を有する。第2アクティブセット33には、第2待機セット32に格納された検出値のうち、時刻が第2期間内となった検出値が時刻情報、フラグと共に格納される。
FIG. 6 is a diagram illustrating an example of a data configuration of the second active set. As shown in FIG. 6, the second
第1待機セット30、第1アクティブセット31、第2待機セット32および第2アクティブセット33のデータの具体例については、後述する。
Specific examples of data of the first standby set 30, the first
図2に戻り、制御部22は、異常検知装置12を制御するデバイスである。制御部22としては、CPU、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路を採用できる。制御部22は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部22は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部22は、取得部40と、判定部41と、出力部42とを有する。
Returning to FIG. 2, the
取得部40は、各種の取得を行う。例えば、取得部40は、監視対象の状態を示す検出値を取得する。この検出値は、サーバ装置11が周期的に検出を行って異常検知装置12へ送信してもよい。また、検出値は、取得部40が周期的にサーバ装置11に対して送信を要求し、サーバ装置11が要求に応じて検出を行って異常検知装置12へ送信してもよい。本実施例では、監視対象をサーバ装置11とし、監視対象の状態を示す検出値として、サーバ装置11のメモリの使用率を取得する。
The
取得部40は、取得された検出値を時刻情報と共に第1待機セット30に格納する。また、取得部40は、第1待機セット30に格納された検出値のうち、第1期間内となった検出値を第1アクティブセット31に移動させる。また、判定部41は、第1アクティブセット31に格納された検出値のうち、第1期間外となった検出値を第1アクティブセット31から削除する。
The
判定部41は、各種の判定を行う。例えば、判定部41は、取得部40により取得した検出値ごとに、当該検出値が、取得時よりも前である第1期間での検出値の最小値よりも大きいかを判定する。例えば、判定部41は、取得部40により検出値が取得される毎に、第1アクティブセット31に記憶された検出値内での検出値の最小値を特定する。この第1アクティブセット31に記憶された検出値の最小値は、第1期間での検出値の最小値である。判定部41は、検出値が取得される毎に、取得された検出値を、第1期間の検出値の最小値と比較して、取得された検出値が第1期間の検出値の最小値よりも大きいかを判定する。この判定は、検出値が第1期間の検出値の最小値よりも、しきい値以上大きいかを判定するようにしてもよい。本実施例では、判定部41は、検出値が、第1期間での検出値の最小値と、所定のしきい値を加算した値よりも大きいかを判定する。しきい値は、検出値に大局的に異常な上昇傾向があるかを判定する値であり、ゼロ以上の値に設定する。
The
判定部41は、取得された検出値を、判定結果および時刻情報と共に第2待機セット32に格納する。また、判定部41は、判定結果として、最新の検出値が第1期間での検出値の最小値よりも大きいか否かを示すフラグを第2待機セット32に格納する。
The
出力部42は、各種の出力を行う。例えば、出力部42は、第2期間における判定の結果に基づいて、異常が発生したか否かの検知を行う。そして、出力部42は、異常が発生したことが検知された場合、アラートを出力する。例えば、出力部42は、検出値が第1期間での検出値の最小値よりも大きいとの判定の結果が第2期間の間連続して得られた場合、異常が発生しているものとして、アラートを出力する。例えば、出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。また、出力部42は、第2アクティブセット33に格納された検出値のうち、第2期間外となった検出値を第2アクティブセット33から削除する。そして、出力部42は、第2アクティブセット33に記憶された検出値が全て直近の第1期間の最小値よりも大きいと判定されたものである場合、アラートを出力する。
The
ここで、具体例を用いて説明する。本実施例では、監視対象をサーバ装置11とし、検出値としてサーバ装置11のメモリの使用率を取得し、異常として、サーバ装置11のメモリリークの発生を検知する場合を例に説明する。また、本実施例では、第1期間を2分〜4分前の期間とし、第2期間を0分〜6分前の期間とする。また、本実施例では、検出値が第1期間の最小値よりしきい値「5」以上大きい状態が第2期間連続した場合にメモリリークが発生したと検知する場合を例に説明する。図7A〜図7Lは、メモリリークの発生を検知する際の流れの一例を示す図である。図7A〜図7Lには、サーバ装置11で1分毎に検出されるメモリの使用率と、第1待機セット30、第1アクティブセット31、第2待機セット32および第2アクティブセット33に格納されるデータの変化の一例が示されている。なお、図7A〜図7Lの例では、時刻の経過を把握しやくするため、時刻を図7Aの時点を基準(00:00)として示している。また、図7A〜図7Lの例では、入力として、各時刻で取得されるメモリ使用率が示されている。
Here, it demonstrates using a specific example. In this embodiment, a case will be described as an example in which the monitoring target is the
図7Aに示すように、取得部40は、時刻「00:00」にサーバ装置11のメモリ使用率「11」が取得されると、時刻「00:00」およびメモリ使用率「11」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、第1アクティブセット31にはデータの格納は行わない。第1アクティブセット31にデータが格納されていないため、第1アクティブセット31に格納されたメモリ使用率の最小値は、未定である。取得されたメモリ使用率「11」は、第1アクティブセット31に格納されたメモリ使用率の最小値と、しきい値「5」とを加算した値より大きくはない。このため、判定部41は、フラグ「0」として、時刻「00:00」、メモリ使用率「11」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Aの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:00」、メモリ使用率「11」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
As illustrated in FIG. 7A, when the memory usage rate “11” of the
次に、図7Bに示すように、取得部40は、時刻「00:01」にサーバ装置11のメモリ使用率「83」が取得されると、時刻「00:01」およびメモリ使用率「83」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、第1アクティブセット31にはデータの格納は行わない。第1アクティブセット31にデータが格納されていないため、第1アクティブセット31に格納されたメモリ使用率の最小値は、未定である。取得されたメモリ使用率「83」は、第1アクティブセット31に格納されたメモリ使用率の最小値と、しきい値「5」とを加算した値より大きくはない。このため、判定部41は、フラグ「0」として、時刻「00:01」、メモリ使用率「83」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Bの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:01」、メモリ使用率「83」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
Next, as illustrated in FIG. 7B, when the memory usage rate “83” of the
次に、図7Cに示すように、取得部40は、時刻「00:02」にサーバ装置11のメモリ使用率「14」が取得されると、時刻「00:02」およびメモリ使用率「14」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:00」、検出値「11」を第1アクティブセット31に格納する。取得されたメモリ使用率「14」は、第1アクティブセット31に格納されたメモリ使用率の最小値「11」と、しきい値「5」とを加算した値より大きくはない。このため、判定部41は、フラグ「0」として、時刻「00:02」、メモリ使用率「14」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Cの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:02」、メモリ使用率「14」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
Next, as illustrated in FIG. 7C, when the memory usage rate “14” of the
次に、図7Dに示すように、取得部40は、時刻「00:03」にサーバ装置11のメモリ使用率「77」が取得されると、時刻「00:03」およびメモリ使用率「77」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:01」、検出値「83」を第1アクティブセット31に格納する。取得されたメモリ使用率「77」は、第1アクティブセット31に格納されたメモリ使用率の最小値「11」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:03」、メモリ使用率「77」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Dの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:03」、メモリ使用率「77」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
Next, as illustrated in FIG. 7D, when the memory usage rate “77” of the
次に、図7Eに示すように、取得部40は、時刻「00:04」にサーバ装置11のメモリ使用率「15」が取得されると、時刻「00:04」およびメモリ使用率「15」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:02」、検出値「14」を第1アクティブセット31に格納する。取得されたメモリ使用率「15」は、第1アクティブセット31に格納されたメモリ使用率の最小値「11」と、しきい値「5」とを加算した値より大きくはない。このため、判定部41は、フラグ「0」として、時刻「00:04」、メモリ使用率「15」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Eの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:04」、メモリ使用率「15」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
Next, as illustrated in FIG. 7E, when the memory usage rate “15” of the
次に、図7Fに示すように、取得部40は、時刻「00:05」にサーバ装置11のメモリ使用率「53」が取得されると、時刻「00:05」およびメモリ使用率「53」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:03」、検出値「77」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:00」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「53」は、第1アクティブセット31に格納されたメモリ使用率の最小値「14」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:05」、メモリ使用率「53」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Fの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:05」、メモリ使用率「53」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
Next, as illustrated in FIG. 7F, when the memory usage rate “53” of the
次に、図7Gに示すように、取得部40は、時刻「00:06」にサーバ装置11のメモリ使用率「42」が取得されると、時刻「00:06」およびメモリ使用率「42」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:04」、検出値「15」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:01」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「42」は、第1アクティブセット31に格納されたメモリ使用率の最小値「14」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:06」、メモリ使用率「42」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Gの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:06」、メモリ使用率「42」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
Next, as illustrated in FIG. 7G, when the memory usage rate “42” of the
次に、図7Hに示すように、取得部40は、時刻「00:07」にサーバ装置11のメモリ使用率「70」が取得されると、時刻「00:07」およびメモリ使用率「70」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:05」、検出値「53」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:02」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「70」は、第1アクティブセット31に格納されたメモリ使用率の最小値「15」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:07」、メモリ使用率「70」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Hの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:07」、メモリ使用率「70」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
Next, as illustrated in FIG. 7H, when the memory usage rate “70” of the
次に、図7Iに示すように、取得部40は、時刻「00:08」にサーバ装置11のメモリ使用率「21」が取得されると、時刻「00:08」およびメモリ使用率「21」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:06」、検出値「42」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:03」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「21」は、第1アクティブセット31に格納されたメモリ使用率の最小値「15」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:08」、メモリ使用率「21」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Iの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:08」、メモリ使用率「21」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
Next, as illustrated in FIG. 7I, when the memory usage rate “21” of the
次に、図7Jに示すように、取得部40は、時刻「00:09」にサーバ装置11のメモリ使用率「83」が取得されると、時刻「00:09」およびメモリ使用率「83」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:07」、検出値「70」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:04」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「83」は、第1アクティブセット31に格納されたメモリ使用率の最小値「42」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:09」、メモリ使用率「83」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Jの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:09」、メモリ使用率「83」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
Next, as illustrated in FIG. 7J, when the memory usage rate “83” of the
次に、図7Kに示すように、取得部40は、時刻「00:10」にサーバ装置11のメモリ使用率「47」が取得されると、時刻「00:10」およびメモリ使用率「47」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:08」、検出値「21」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:05」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「47」は、第1アクティブセット31に格納されたメモリ使用率の最小値「21」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:10」、メモリ使用率「47」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Kの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:10」、メモリ使用率「47」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
Next, as illustrated in FIG. 7K, when the memory usage rate “47” of the
次に、図7Lに示すように、取得部40は、時刻「00:11」にサーバ装置11のメモリ使用率「93」が取得されると、時刻「00:11」およびメモリ使用率「93」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:09」、検出値「83」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:06」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「93」は、第1アクティブセット31に格納されたメモリ使用率の最小値「21」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:11」、メモリ使用率「93」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Lの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:11」、メモリ使用率「93」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
Next, as illustrated in FIG. 7L, when the memory usage rate “93” of the
ここで、図7Lに示す第2アクティブセット33に格納された第2の期間の各データは、全てフラグが1となっている。この図7Lに示す状態は、取得された検出値が第1期間での検出値の最小値よりも大きいとの判定の結果が第2期間の間連続して得られた状態である。出力部42は、第2アクティブセット33に記憶された各データのフラグが全て「1」である場合、アラートを出力する。
Here, all the data of the second period stored in the second
例えば、サーバ装置11では、メモリリークが発生している場合、処理に応じてメモリ使用率が変化するが、メモリの記憶領域を全て解放できないため、メモリ使用率の最小値が徐々に増加する。
For example, in the
図8は、メモリリークが発生している場合のメモリ使用率の変化の一例を示す図である。図8に示すように、メモリ使用率は、増加と減少を繰り返すが大局的には増加する。このような場合、例えば、メモリ使用率が一定のしきい値以上をとなった場合に異常が発生したと検知すると、異常の発生の検知が遅くなる場合がある。 FIG. 8 is a diagram illustrating an example of a change in the memory usage rate when a memory leak occurs. As shown in FIG. 8, the memory usage rate repeatedly increases and decreases, but increases globally. In such a case, for example, if it is detected that an abnormality has occurred when the memory usage rate exceeds a certain threshold value, the detection of the occurrence of the abnormality may be delayed.
一方、メモリリークが発生している場合、メモリの記憶領域を全て解放できないため、メモリ使用率は、増加と減少を繰り返すものの、大局的には増加する。そこで、異常検知装置12は、周期的にサーバ装置11のメモリ使用率を取得する。そして、異常検知装置12は、取得された検出値が、取得時よりも前の第1期間での検出値の最小値よりも大きいとの判定の結果が第2期間の間連続して得られた場合、メモリリークが発生していると検知して、アラートを出力する。図9は、メモリリークが発生している場合のメモリ使用率の変化の他の一例を示す図である。図9の例では、取得されたメモリ使用率が、当該メモリ使用率の取得時よりも前の第1期間の最小値より増加している部分にフラグ「1」を表示させている。このように、フラグ「1」の期間が第2期間連続した場合、アラートを出力することにより、異常の発生を早期に検知できる。
On the other hand, when a memory leak has occurred, the entire memory storage area cannot be released, so the memory usage rate increases and decreases, although it increases and decreases repeatedly. Therefore, the
[処理の流れ]
本実施例に係る異常検知装置12が異常を検知する異常検知処理の流れについて説明する。図10は、異常検知処理の手順の一例を示すフローチャートである。この異常検知処理は、所定のタイミング、例えば、サーバ装置11から検出値を取得したタイミングで実行される。
[Process flow]
A flow of an abnormality detection process in which the
図10に示すように、取得部40は、サーバ装置11から検出値を取得すると、取得された検出値を時刻情報と共に第1待機セット30に格納する(S10)。取得部40は、第1待機セット30に格納された検出値のうち、第1期間内となった検出値を第1アクティブセット31に追加する(S11)。取得部40は、第1待機セット30に格納された検出値のうち、第1期間内となったデータを第1待機セット30から削除する(S12)。
As illustrated in FIG. 10, when the
判定部41は、第1アクティブセット31に記憶された検出値内での検出値の最小値を特定する(S13)。判定部41は、取得された検出値が、最小値としきい値を加算した値もより大きいかを判定する(S14)。検出値が加算した値よりも大きい場合(S14肯定)、フラグに「1(ON)」をセットする(S15)。一方、検出値が加算した値もより大きくはない場合(S14否定)、フラグに「0(OFF)」をセットする(S16)。
The
判定部41は、取得された検出値、時刻情報、フラグを第2待機セット32に格納する(S17)。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる(S18)。また、出力部42は、第2アクティブセット33に格納された検出値のうち、第2期間外となった検出値を第2アクティブセット33から削除する(S19)。そして、出力部42は、第2アクティブセット33に記憶された検出値のフラグが全て「1」となっているか判定する(S20)。フラグが全て「1」となっている場合(S20肯定)、出力部42は、アラートを出力し(S21)、処理を終了する。一方、フラグが全て「1」となっていない場合(S20否定)、処理を終了する。
The
[効果]
上述してきたように、本実施例に係る異常検知装置12は、監視対象の状態を示す検出値を取得する。異常検知装置12は、取得した検出値ごとに、当該検出値が、取得時よりも前である特定期間(第1期間)での検出値の最小値よりも大きいかを判定する。異常検知装置12は、検出値が特定期間での検出値の最小値よりも大きいとの判定結果が所定時間(第2期間)以上にわたり連続して得られた場合、アラートを出力する。これにより、異常検知装置12は、異常の発生を早期に検出できる。
[effect]
As described above, the
また、本実施例に係る異常検知装置12は、検出値をメモリの使用率とする。これにより、異常検知装置12は、メモリリークの発生を早期に検出できる。
Further, the
ここで、実施例1に係る異常検知装置12は、検出値が、取得時よりも前である特定期間での検出値の最小値よりも大きいかを判定する場合について説明したが、これに限定されない。例えば、実施例1に係る異常検知装置12は、取得した検出値ごとに、当該検出値が、取得時よりも前である特定期間での検出値の最大値よりも小さいかを判定する。そして、実施例1に係る異常検知装置12は、検出値が特定期間での検出値の最大値よりも小さいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力してもよい。この場合、本実施例に係る異常検知装置12は、検出値の最大値が減少する傾向がある異常を早期に検出できる。このように、第1期間での検出値の最大値の変化から異常を検知可能な検出値としては、例えば、メモリの空き率などが挙げられる。例えば、メモリリークが発生するとメモリの空き率が減少する傾向がある。このため、メモリの空き率が減少する傾向を検出することにより、メモリリークの発生を検知できる。
Here, the
次に、実施例2について説明する。実施例2にかかるシステム10の構成は、図1に示した実施例1の構成と同様であるため、説明を省略する。
Next, Example 2 will be described. The configuration of the
[異常検知装置の構成]
実施例2に係る異常検知装置の機能的な構成を説明する。図11は、異常検知装置の機能的な構成の一例を示す図である。なお、図2に示した実施例1に係る異常検知装置12と同一部分については同一の符号を付し、主に異なる部分について説明する。図11に示すように、異常検知装置12の記憶部23は、第3待機セット34と、第3アクティブセット35とをさらに記憶する。
[Configuration of anomaly detection device]
A functional configuration of the abnormality detection apparatus according to the second embodiment will be described. FIG. 11 is a diagram illustrating an example of a functional configuration of the abnormality detection apparatus. The same parts as those of the
第3アクティブセット35は、異常の検知の対象となる期間のデータを保持するためのデータ領域である。例えば、本実施例では、第2期間において、取得された検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られるかを判定する。そして、本実施例では、第2期間において、取得された検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られる期間が所定の第3期間連続して得られた場合、アラートを出力する。この第1期間は、検出値の取得時から所定時間間隔をあけており、例えば、5分〜30分の期間とする。また、第2期間は、検出値の取得時を含む期間としており、例えば、0分〜30分の期間とする。また、第3期間は、検出値の取得時を含む期間としており、例えば、0分〜30分の期間とする。第3アクティブセット35には、第2期間において、取得された検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られる期間が第3期間連続したかを判定するためのデータを記憶させる。
The third
第3待機セット34は、異常の検知の対象となる期間の前のデータを保持するためのデータ領域である。 The third standby set 34 is a data area for holding data before a period to be detected for abnormality.
図12は、第3待機セットのデータ構成の一例を示す図である。図12に示すように、第3待機セット34は、「時刻」、「検出値」、「フラグ」、「連続フラグ」の各項目を有する。時刻の項目は、検出値が取得された時刻情報を記憶する領域である。検出値の項目は、取得された検出値を記憶する領域である。フラグの項目は、第1期間のデータの状態を判定した結果を示したフラグを記憶する領域である。連続フラグの項目は、第2期間のデータの状態を判定した結果を示したフラグを記憶する領域である。第3待機セット34には、検出値が取得される毎に、取得された検出値が時刻情報、フラグ、連続フラグと共に格納される。 FIG. 12 is a diagram illustrating an example of a data configuration of the third standby set. As shown in FIG. 12, the third standby set 34 has items of “time”, “detected value”, “flag”, and “continuous flag”. The time item is an area for storing time information at which the detected value is acquired. The detection value item is an area for storing the acquired detection value. The flag item is an area for storing a flag indicating the result of determining the data state in the first period. The item of the continuous flag is an area for storing a flag indicating the result of determining the data state in the second period. Each time a detection value is acquired, the acquired detection value is stored in the third standby set 34 together with time information, a flag, and a continuous flag.
図13は、第3アクティブセットのデータ構成の一例を示す図である。図13に示すように、第3アクティブセット35は、上述の第3待機セット34と同様の構成とされており、「時刻」、「検出値」、「フラグ」、「連続フラグ」の各項目を有する。第3アクティブセット35には、第3待機セット34に格納された検出値のうち、時刻が第3期間内となった検出値が時刻情報、フラグ、連続フラグと共に格納される。
FIG. 13 is a diagram illustrating an example of a data configuration of the third active set. As shown in FIG. 13, the third
また、図11に示すように、異常検知装置12の制御部22は、第1判定部43と、第2判定部44を有する。
Further, as shown in FIG. 11, the
第1判定部43は、取得された検出値に対して、各種の判定を行う。例えば、第1判定部43は、実施例1の判定部41と同様に、取得部40により取得した検出値ごとに、当該検出値が、取得時よりも前である第1期間での検出値の最大値よりも大きいかを判定する。例えば、判定部41は、取得部40により検出値が取得される毎に、第1アクティブセット31に記憶された検出値内での検出値の最大値を特定する。この第1アクティブセット31に記憶された検出値の最大値は、第1期間での検出値の最大値である。判定部41は、検出値が取得される毎に、取得された検出値を第1期間の検出値の最大値と比較して、取得された検出値が第1期間の検出値の最大値よりも大きいかを判定する。
The
第1判定部43は、取得された検出値を時刻情報と共に第2待機セット32に格納する。また、第1判定部43は、判定結果として、最新の検出値が第1期間での検出値の最大値よりも大きいか否かを示すフラグを第2待機セット32に格納する。
The
第2判定部44は、第1判定部43の判定の結果を用いて、各種の判定を行う。例えば、第2判定部44は、第2期間において、取得された検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られるかを判定する。例えば、第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。また、第2判定部44は、第2アクティブセット33に格納された検出値のうち、第2期間外となった検出値を第2アクティブセット33から削除する。そして、第2判定部44は、取得部40により検出値が取得される毎に、第2アクティブセット33に記憶された検出値の何れかでフラグが1のものがあるか判定する。
The
第2判定部44は、取得された検出値、時刻情報、フラグを第3待機セット34に格納する。また、第2判定部44は、第2アクティブセット33に記憶された検出値の何れかでフラグが1のものがあるか否かを示す連続フラグを第3待機セット34に格納する。
The
出力部42は、第3期間における判定の結果に基づいて、異常が発生したか否かの検知を行う。そして、出力部42は、異常が発生したことが検知された場合、アラートを出力する。例えば、出力部42は、第2期間において、検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られるとの判定の結果が第3期間の間連続して得られた場合、異常が発生しているものとして、アラートを出力する。例えば、出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。また、出力部42は、第3アクティブセット35に格納された検出値のうち、第3期間外となった検出値を第3アクティブセット35から削除する。そして、出力部42は、取得部40により検出値が取得される毎に、第3アクティブセット35に記憶された検出値が全て、検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られると判定されたものである場合、アラートを出力する。
The
ここで、具体例を用いて説明する。本実施例では、監視対象をサーバ装置11とし、検出値としてサーバ装置11のCPUの利用率を取得し、異常として、サーバ装置11の異常の発生を検知する場合を例に説明する。また、本実施例では、第1期間を2分〜4分前の期間とし、第2期間を0分〜3分前の期間とし、第3期間を0分〜6分前の期間とする。また、本実施例では、検出値が第1期間の最大値よりしきい値「5」以上大きい状態が第2期間連続した場合にCPUの異常が発生したと検知する場合を例に説明する。図14A〜図14Mは、CPUの異常の発生を検知する際の流れの一例を示す図である。図14A〜図14Mには、サーバ装置11で1分毎に検出されるCPUの利用率の一例が示されている。また、図14A〜図14Mには、第1待機セット30、第1アクティブセット31、第2待機セット32、第2アクティブセット33、第3待機セット34および第3アクティブセット35に格納されるデータの変化の一例が示されている。なお、図14A〜図14Mの例でも、時刻の経過を把握しやくするため、時刻を図14Aの時点を基準(00:00)として示している。また、図14A〜図14Mの例では、入力として、各時刻で取得されるCPUの利用率が示されている。
Here, it demonstrates using a specific example. In the present embodiment, an example will be described in which the monitoring target is the
図14Aに示すように、取得部40は、時刻「00:00」にサーバ装置11のCPUの利用率「80」が取得されると、時刻「00:00」およびCPUの利用率「80」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、第1アクティブセット31にはデータの格納は行わない。第1アクティブセット31にデータが格納されていないため、第1アクティブセット31に格納されたCPUの利用率の最大値は、未定である。取得されたCPUの利用率「80」は、第1アクティブセット31に格納されたCPUの利用率の最大値と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:00」、CPUの利用率「80」を第2待機セット32に格納する。
As illustrated in FIG. 14A, when the CPU usage rate “80” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Aの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:00」、CPUの利用率「80」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:00」、CPUの利用率「80」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Aの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:00」、CPUの利用率「80」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
In the data of the second
次に、図14Bに示すように、取得部40は、時刻「00:01」にサーバ装置11のCPUの利用率「83」が取得されると、時刻「00:01」およびCPUの利用率「83」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、第1アクティブセット31にはデータの格納は行わない。第1アクティブセット31にデータが格納されていないため、第1アクティブセット31に格納されたCPUの利用率の最大値は、未定である。取得されたCPUの利用率「83」は、第1アクティブセット31に格納されたCPUの利用率の最大値と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:01」、CPUの利用率「83」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14B, when the CPU usage rate “83” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Bの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:01」、CPUの利用率「83」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:01」、CPUの利用率「83」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Bの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:01」、CPUの利用率「83」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
In the data of the second
次に、図14Cに示すように、取得部40は、時刻「00:02」にサーバ装置11のCPUの利用率「14」が取得されると、時刻「00:02」およびCPUの利用率「14」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:00」、検出値「80」を第1アクティブセット31に格納する。CPUの利用率「14」は、第1アクティブセット31に格納されたCPUの利用率の最大値「80」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:02」、CPUの利用率「14」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14C, when the CPU usage rate “14” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Cの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:02」、CPUの利用率「14」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:02」、CPUの利用率「14」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Cの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:02」、CPUの利用率「14」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
In the data of the second
次に、図14Dに示すように、取得部40は、時刻「00:03」にサーバ装置11のCPUの利用率「38」が取得されると、時刻「00:03」およびCPUの利用率「38」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:01」、検出値「83」を第1アクティブセット31に格納する。CPUの利用率「38」は、第1アクティブセット31に格納されたCPUの利用率の最大値「83」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:03」、CPUの利用率「38」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14D, when the CPU usage rate “38” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Dの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:03」、CPUの利用率「38」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:03」、CPUの利用率「38」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Dの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:03」、CPUの利用率「38」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
In the data of the second
次に、図14Eに示すように、取得部40は、時刻「00:04」にサーバ装置11のCPUの利用率「15」が取得されると、時刻「00:04」およびCPUの利用率「15」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:02」、検出値「14」を第1アクティブセット31に格納する。CPUの利用率「15」は、第1アクティブセット31に格納されたCPUの利用率の最大値「83」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:04」、CPUの利用率「15」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14E, when the CPU usage rate “15” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Eの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:04」、CPUの利用率「15」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:04」、CPUの利用率「15」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Eの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:04」、CPUの利用率「15」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
In the data of the second
次に、図14Fに示すように、取得部40は、時刻「00:05」にサーバ装置11のCPUの利用率「53」が取得されると、時刻「00:05」およびCPUの利用率「53」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:03」、検出値「38」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:00」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「53」は、第1アクティブセット31に格納されたCPUの利用率の最大値「83」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:05」、CPUの利用率「53」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14F, when the CPU usage rate “53” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Fの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:05」、CPUの利用率「53」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:05」、CPUの利用率「53」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Fの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:05」、CPUの利用率「53」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
In the data of the second
次に、図14Gに示すように、取得部40は、時刻「00:06」にサーバ装置11のCPUの利用率「45」が取得されると、時刻「00:06」およびCPUの利用率「45」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:04」、検出値「15」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:01」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「45」は、第1アクティブセット31に格納されたCPUの利用率の最大値「38」と、しきい値「5」とを加算した値より大きい。このため、第1判定部43は、フラグ「1」として、時刻「00:06」、CPUの利用率「45」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14G, when the CPU usage rate “45” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Gの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:06」、CPUの利用率「45」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:06」、CPUの利用率「45」、フラグ「1」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Gの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:06」、CPUの利用率「45」、フラグ「1」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
The data of the second
次に、図14Hに示すように、取得部40は、時刻「00:07」にサーバ装置11のCPUの利用率「23」が取得されると、時刻「00:07」およびCPUの利用率「23」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:05」、検出値「53」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:02」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「23」は、第1アクティブセット31に格納されたCPUの利用率の最大値「53」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:07」、CPUの利用率「23」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14H, when the CPU usage rate “23” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Hの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:07」、CPUの利用率「23」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:07」、CPUの利用率「23」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Hの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:07」、CPUの利用率「23」、フラグ「0」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
The data of the second
次に、図14Iに示すように、取得部40は、時刻「00:08」にサーバ装置11のCPUの利用率「38」が取得されると、時刻「00:08」およびCPUの利用率「38」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:06」、検出値「45」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:03」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「38」は、第1アクティブセット31に格納されたCPUの利用率の最大値「53」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:08」、CPUの利用率「38」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14I, when the CPU usage rate “38” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Iの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:08」、CPUの利用率「38」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:08」、CPUの利用率「38」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Iの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:08」、CPUの利用率「38」、フラグ「0」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
The data of the second
次に、図14Jに示すように、取得部40は、時刻「00:09」にサーバ装置11のCPUの利用率「18」が取得されると、時刻「00:09」およびCPUの利用率「18」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:07」、検出値「23」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:04」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「18」は、第1アクティブセット31に格納されたCPUの利用率の最大値「53」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:09」、CPUの利用率「18」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14J, when the CPU usage rate “18” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Jの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:09」、CPUの利用率「18」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:09」、CPUの利用率「18」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Jの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:09」、CPUの利用率「18」、フラグ「0」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
The data of the second
次に、図14Kに示すように、取得部40は、時刻「00:10」にサーバ装置11のCPUの利用率「85」が取得されると、時刻「00:10」およびCPUの利用率「85」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:08」、検出値「38」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:05」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「85」は、第1アクティブセット31に格納されたCPUの利用率の最大値「45」と、しきい値「5」とを加算した値より大きい。このため、第1判定部43は、フラグ「1」として、CPUの利用率「85」および時刻「00:10」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14K, when the CPU usage rate “85” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Kの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:10」、CPUの利用率「85」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:10」、CPUの利用率「85」、フラグ「1」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Jの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:10」、CPUの利用率「85」、フラグ「1」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
The data of the second
次に、図14Lに示すように、取得部40は、時刻「00:11」にサーバ装置11のCPUの利用率「41」が取得されると、時刻「00:11」およびCPUの利用率「41」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:09」、検出値「18」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:06」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「41」は、第1アクティブセット31に格納されたCPUの利用率の最大値「38」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:11」、CPUの利用率「41」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14L, when the CPU usage rate “41” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Lの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:11」、CPUの利用率「41」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:11」、CPUの利用率「41」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Lの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:11」、CPUの利用率「41」、フラグ「0」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
The data of the second
次に、図14Mに示すように、取得部40は、時刻「00:12」にサーバ装置11のCPUの利用率「96」が取得されると、時刻「00:12」およびCPUの利用率「96」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:10」、検出値「85」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:07」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「96」は、第1アクティブセット31に格納されたCPUの利用率の最大値「85」と、しきい値「5」とを加算した値より大きい。このため、第1判定部43は、フラグ「1」として、時刻「00:12」、CPUの利用率「96」を第2待機セット32に格納する。
Next, as illustrated in FIG. 14M, when the CPU usage rate “96” of the
第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Mの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:12」、CPUの利用率「96」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。
The
第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:12」、CPUの利用率「96」、フラグ「1」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Mの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:12」、CPUの利用率「96」、フラグ「1」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。
The data of the second
ここで、図14Mに示す第3アクティブセット35に格納された第3の期間の各データは、全て連続フラグが1となっている。この図14Mに示す状態は、取得された検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られる期間が第3期間連続した状態である。出力部42は、第3アクティブセット35に記憶された各データの連続フラグが全て「1」である場合、アラートを出力する。
Here, all the data in the third period stored in the third
例えば、サーバ装置11では、プロセスを起動するとCPUの利用率が上がり、停止するとCPUの利用率が下がるため、CPUの利用率が瞬間的に大きく増加し、すぐに元に戻る性質を持つ。
For example, the
図15は、CPUの利用率の変化の一例を示す図である。図15に示すように、CPUの利用率は、瞬間的に大きく増加し、すぐに元に戻る性質を持つ。例えば、システム10が、サーバ装置11のCPUの利用率が一定以上に上がらないことを保証するシステムである場合、CPUの利用率が一定のしきい値以上をとなった場合に異常が発生したと検知すると、異常の発生の検知が遅くなる場合がある。例えば、CPUの利用率が一定のしきい値以上となったことの検知が、直前あるいは事後のタイミングとなってしまう。
FIG. 15 is a diagram illustrating an example of a change in the usage rate of the CPU. As shown in FIG. 15, the usage rate of the CPU has a property that increases greatly instantaneously and quickly returns to the original state. For example, when the
そこで、異常検知装置12は、周期的にサーバ装置11のCPUの利用率を取得する。異常検知装置12は、取得したCPUの利用率が、取得時よりも前の第1期間でのCPUの利用率の最大値よりも大きいかを判定する。そして、異常検知装置12は、第2期間において、検出値が第1期間でのCPUの利用率の最大値よりも大きいとの判定の結果が少なくとも1回得られる状態が第3期間の間連続して得られた場合、アラートを出力する。図16は、CPUの利用率の変化の他の一例を示す図である。図16の例では、CPUの利用率が、CPUの利用率の取得時よりも前の第1期間の最大値より増加している部分にフラグ「1」を表示させている。また、図16の例では、CPUの利用率が、第1期間でのCPUの利用率の最大値よりも大きいとの判定の結果が少なくとも1回得られる部分に連続フラグ「1」を表示させている。このように、連続フラグ「1」の期間が第3期間連続した場合、アラートを出力することにより、CPUの利用率のように増加、減少の激しい、パルス的なデータの最大値の増加傾向を検知できるため、異常の発生を早期に検知できる。また、本実施例では、第1期間を検出値の取得時から所定時間間隔をあけており、取得時から所定時間を含まない前の期間としている。このように第1期間を取得時から間隔をあけた期間とすることで、直近の検出値の影響を抑制して大局的に増加しているかを検出できる。
Therefore, the
[処理の流れ]
次に、実施例2に係る異常検知処理の手順を説明する。図17は、異常検知処理の手順の一例を示すフローチャートである。この異常検知処理は、図10に示した実施例1に係る異常検知処理と同様に、所定のタイミング、例えば、サーバ装置11から検出値を取得したタイミングで実行される。なお、図10に示した実施例1に係る異常検知処理と同一部分については同一の符号を付して説明する。
[Process flow]
Next, the procedure of the abnormality detection process according to the second embodiment will be described. FIG. 17 is a flowchart illustrating an example of the procedure of the abnormality detection process. Similar to the abnormality detection process according to the first embodiment illustrated in FIG. 10, the abnormality detection process is executed at a predetermined timing, for example, a timing at which a detection value is acquired from the
図17に示すように、取得部40は、サーバ装置11から検出値を取得すると、取得された検出値を時刻情報と共に第1待機セット30に格納する(S10)。取得部40は、第1待機セット30に格納された検出値のうち、第1期間内となった検出値を第1アクティブセット31に追加する(S11)。取得部40は、第1待機セット30に格納された検出値のうち、第1期間内となったデータを第1待機セット30から削除する(S12)。
As illustrated in FIG. 17, when the
第1判定部43は、第1アクティブセット31に記憶された検出値内での検出値の最大値を特定する(S13)。第1判定部43は、取得された検出値が、最大値としきい値を加算した値よりも大きいかを判定する(S14)。検出値が加算した値よりも大きい場合(S14肯定)、フラグに「1(ON)」をセットする(S15)。一方、検出値が加算した値もより大きくはない場合(S14否定)、フラグに「0(OFF)」をセットする(S16)。
The
第1判定部43は、取得された検出値、時刻情報、フラグを第2待機セット32に格納する(S17)。第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる(S18)。また、第2判定部44は、第2アクティブセット33に格納された検出値のうち、第2期間外となった検出値を第2アクティブセット33から削除する(S19)。そして、第2判定部44は、第2アクティブセット33に記憶された検出値の何れかのフラグが「1」となっているか判定する(S30)。何れかのフラグが「1」となっている場合(S30肯定)、連続フラグに「1(ON)」をセットする(S31)。一方、何れかのフラグも「1」となっていない場合(S30否定)、連続フラグに「0(OFF)」をセットする(S32)。
The
第2判定部44は、取得された検出値、時刻情報、フラグ、連続フラグを第3待機セット34に格納する(S33)。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる(S34)。また、出力部42は、第3アクティブセット35に格納された検出値のうち、第3期間外となった検出値を第3アクティブセット35から削除する(S35)。そして、出力部42は、第3アクティブセット35に記憶された検出値の連続フラグが全て「1」となっているか判定する(S36)。連続フラグが全て「1」となっている場合(S36肯定)、出力部42は、アラートを出力し(S37)、処理を終了する。一方、連続フラグが全て「1」となっていない場合(S36否定)、処理を終了する。
The
[効果]
上述してきたように、本実施例に係る異常検知装置12は、監視対象の状態を示す検出値を取得する。異常検知装置12は、取得した検出値ごとに、当該検出値が、取得時よりも前である特定期間(第1期間)での検出値の最大値よりも大きいかを判定する。異常検知装置12は、検出値が特定期間での最大値よりも大きいとの判定結果が第1の所定時間(第2期間)以内に少なくとも1回得られるかを判定する。異常検知装置12は、検出値が特定期間での最大値よりも大きいとの判定結果が第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間(第3期間)以上にわたり連続して得られた場合、アラートを出力する。これにより、異常検知装置12は、検出値の変動が激しい場合でも、検出値の最大値が増加する傾向がある異常を早期に検出できる。
[effect]
As described above, the
また、本実施例に係る異常検知装置12は、最大値より大きい判定に閾値を用いており、また、第1期間を取得時から所定時間を含まない前の期間としている。第1期間として直近期間を含む場合には、最大値として直前の検出値が選ばれることがあり、大局的には増加傾向があっても、直前の検出値との差が小さいために、検出値と最大値との差が閾値を超えなくなることがある。一方、本実施例に係る異常検知装置12は、第1期間を取得時から所定時間を含まない前の期間としたことにより、第1期間の最大値として直近の値が選択されなくなるため、大局的な増加傾向を捉えることができる。
Moreover, the
また、本実施例に係る異常検知装置12は、検出値をCPUの利用率とする。これにより、異常検知装置12は、CPUの利用率に上昇傾向が発生する異常を早期に検出できる。
Further, the
ここで、実施例2に係る異常検知装置12は、検出値が特定期間での最大値よりも大きいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定する場合について、説明したが、これに限定されない。例えば、実施例1に係る異常検知装置12は、取得した検出値ごとに、当該検出値が、取得時よりも前である特定期間での検出値の最小値よりも小さいかを判定する。異常検知装置12は、検出値が特定期間での最小値よりも小さいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定する。そして、異常検知装置12は、検出値が特定期間での最小値よりも小さいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力してもよい。この場合、本実施例に係る異常検知装置12は、検出値の変動が激しい場合でも、検出値の最小値が減少する傾向がある異常を早期に検出できる。このように、第1期間での検出値の最小値の変化から異常を検知可能な検出値としては、例えば、複数のサーバで負荷分散する際のアクセス数や処理数などが挙げられる。例えば、複数のサーバで負荷を均等に分散させる場合、アクセス数や処理数は、ほぼ均等なるが、各サーバのアクセス数や処理数を比較することにより、サーバの異常や負荷分散処理の異常の発生を検知できる。
Here, when the
さて、これまで開示の装置に関する実施例について説明したが、開示の技術は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。 Although the embodiments related to the disclosed apparatus have been described so far, the disclosed technology may be implemented in various different forms other than the above-described embodiments. Therefore, another embodiment included in the present invention will be described below.
例えば、上記の実施例1では、第1期間での検出値の最小値よりも大きいとの判定の結果が第2期間の間連続して得られた場合、アラートを出力する場合について説明したが、開示の装置はこれに限定されない。例えば、第2期間の間に、第1期間での検出値の最小値よりも大きいとの判定の結果が所定の割合以上得られた場合、アラートを出力してもよい。また、例えば、第2期間の間に、第1期間での検出値の最小値よりも小さいとの判定の結果が所定の割合以上得られた場合、アラートを出力してもよい。 For example, in the above-described first embodiment, the case where an alert is output when the determination result that the detection value is larger than the minimum value of the detection value in the first period is continuously obtained for the second period has been described. However, the disclosed apparatus is not limited to this. For example, an alert may be output when a result of determination that the detected value is greater than the minimum value of the first period is greater than or equal to a predetermined ratio during the second period. Further, for example, an alert may be output when a result of determination that the detected value is smaller than the minimum value of the first period during the second period is greater than or equal to a predetermined ratio.
また、上記の実施例2では、検出値が第2期間の最大値よりも大きいとの判定の結果が少なくとも1回得られるとの判定結果が、第3期間連続して得られた、アラートを出力する場合について説明したが、開示の装置はこれに限定されない。例えば、検出値が第2期間の最大値よりも大きいとの判定の結果が少なくとも1回得られるとの判定結果が、第3期間の間に所定の割合以上得られた場合、アラートを出力してもよい。また、例えば、検出値が第2期間の最小値よりも小さいとの判定の結果が少なくとも1回得られるとの判定結果が、第3期間の間に所定の割合以上得られた場合、アラートを出力してもよい。 In the second embodiment, the alert that the determination result that the detection value is larger than the maximum value of the second period is obtained at least once is obtained continuously for the third period. Although the case of outputting has been described, the disclosed device is not limited to this. For example, if the determination result that the detection value is greater than the maximum value in the second period is obtained at least once during the third period, an alert is output. May be. In addition, for example, when the determination result that the detection value is smaller than the minimum value of the second period is obtained at least once during the third period, the alert is generated. It may be output.
また、上記の実施例では、他の装置の異常の発生を検出する場合について説明したが、開示の装置はこれに限定されない。例えば、自装置の状態を示す検出値を検出することにより取得し、検出値から自装置の異常の発生を検出してもよい。 In the above-described embodiments, the case where the occurrence of an abnormality in another device is detected has been described. However, the disclosed device is not limited thereto. For example, it may be obtained by detecting a detection value indicating the state of the own device, and the occurrence of an abnormality of the own device may be detected from the detection value.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的状態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、取得部40、判定部41、出力部42、第1判定部43および第2判定部44の各処理部が適宜統合されてもよい。また、各処理部の処理が適宜複数の処理部の処理に分離されてもよい。さらに、各処理部にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific state of distribution / integration of each device is not limited to the one shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. For example, the processing units of the
[異常検知プログラム]
また、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することもできる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータシステムの一例を説明する。図18は、異常検知プログラムを実行するコンピュータを示す図である。
[Abnormality detection program]
The various processes described in the above embodiments can also be realized by executing a program prepared in advance on a computer system such as a personal computer or a workstation. Therefore, in the following, an example of a computer system that executes a program having the same function as in the above embodiment will be described. FIG. 18 is a diagram illustrating a computer that executes an abnormality detection program.
図18に示すように、コンピュータ300は、CPU(Central Processing Unit)310、HDD(Hard Disk Drive)320、RAM(Random Access Memory)340を有する。これら300〜340の各部は、バス400を介して接続される。
As shown in FIG. 18, the
HDD320には上記の取得部40、判定部41、出力部42、第1判定部43および第2判定部44と同様の機能を発揮する異常検知プログラム320aが予め記憶される。なお、異常検知プログラム320aについては、適宜分離しても良い。
The
また、HDD320は、各種情報を記憶する。例えば、HDD320は、OSや生産計画に用いる各種データを記憶する。
The
そして、CPU310が、異常検知プログラム320aをHDD320から読み出して実行することで、実施例の各処理部と同様の動作を実行する。すなわち、異常検知プログラム320aは、取得部40、判定部41、出力部42、第1判定部43および第2判定部44と同様の動作を実行する。
Then, the CPU 310 reads out and executes the
なお、上記した異常検知プログラム320aについては、必ずしも最初からHDD320に記憶させることを要しない。
Note that the above-described
例えば、コンピュータ300に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」にプログラムを記憶させておく。そして、コンピュータ300がこれらからプログラムを読み出して実行するようにしてもよい。
For example, the program is stored in a “portable physical medium” such as a flexible disk (FD), a CD-ROM, a DVD disk, a magneto-optical disk, or an IC card inserted into the
さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ300に接続される「他のコンピュータ(またはサーバ)」などにプログラムを記憶させておく。そして、コンピュータ300がこれらからプログラムを読み出して実行するようにしてもよい。
Furthermore, the program is stored in “another computer (or server)” connected to the
10 システム
12 異常検知装置
21 記憶部
22 制御部
30 第1待機セット
31 第1アクティブセット
32 第2待機セット
33 第2アクティブセット
34 第3待機セット
35 第3アクティブセット
40 取得部
41 判定部
42 出力部
43 第1判定部
44 第2判定部
DESCRIPTION OF
Claims (14)
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも大きいかを判定し、
前記検出値が前記特定期間での検出値の最小値よりも大きいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する
ことを特徴とする異常検知方法。 Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is larger than the minimum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
An abnormality detection method comprising: outputting an alert when a determination result that the detection value is larger than a minimum detection value in the specific period is continuously obtained for a predetermined time or more.
ことを特徴とする請求項1に記載の異常検知方法。 The abnormality detection method according to claim 1, wherein the detected value is a memory usage rate.
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも小さいかを判定し、
前記検出値が前記特定期間での検出値の最大値よりも小さいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する
ことを特徴とする異常検知方法。 Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is smaller than the maximum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
An abnormality detection method comprising: outputting an alert when a determination result that the detection value is smaller than a maximum value of the detection value in the specific period is continuously obtained for a predetermined time or more.
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも大きいかを判定し、
前記検出値が前記特定期間での最大値よりも大きいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定し、
前記検出値が前記特定期間での最大値よりも大きいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータが実行することを特徴とする異常検知方法。 Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is larger than the maximum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
Determining whether the determination result that the detected value is larger than the maximum value in the specific period is obtained at least once within a first predetermined time;
A determination result that a determination result that the detected value is larger than the maximum value in the specific period is obtained at least once within the first predetermined time is continuously obtained over a second predetermined time or more. An abnormality detection method characterized in that a computer executes a process of outputting an alert when an error occurs.
ことを特徴とする請求項4に記載の異常検知方法。 The abnormality detection method according to claim 4, wherein the detected value is a utilization rate of a CPU (Central Processing Unit).
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも小さいかを判定し、
前記検出値が前記特定期間での最小値よりも小さいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定し、
前記検出値が前記特定期間での最小値よりも小さいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータが実行することを特徴とする異常検知方法。 Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is smaller than the minimum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
Determining whether the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within a first predetermined time;
The determination result that the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within the first predetermined time is continuously obtained over the second predetermined time or more. An abnormality detection method characterized in that a computer executes a process of outputting an alert when an error occurs.
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも大きいかを判定し、
前記検出値が前記特定期間での検出値の最小値よりも大きいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータに実行させることを特徴とする異常検知プログラム。 Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is larger than the minimum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
An abnormality characterized by causing a computer to execute a process of outputting an alert when a determination result that the detected value is larger than a minimum value of the detected value in the specific period is continuously obtained for a predetermined time or more. Detection program.
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも小さいかを判定し、
前記検出値が前記特定期間での検出値の最大値よりも小さいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータに実行させることを特徴とする異常検知プログラム。 Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is smaller than the maximum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
An abnormality characterized by causing a computer to execute a process of outputting an alert when a determination result that the detected value is smaller than the maximum detected value in the specific period is continuously obtained for a predetermined time or more. Detection program.
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも大きいかを判定し、
前記検出値が前記特定期間での最大値よりも大きいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定し、
前記検出値が前記特定期間での最大値よりも大きいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータに実行させることを特徴とする異常検知プログラム。 Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is larger than the maximum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
Determining whether the determination result that the detected value is larger than the maximum value in the specific period is obtained at least once within a first predetermined time;
A determination result that a determination result that the detected value is larger than the maximum value in the specific period is obtained at least once within the first predetermined time is continuously obtained over a second predetermined time or more. An abnormality detection program that causes a computer to execute a process of outputting an alert when an error occurs.
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも小さいかを判定し、
前記検出値が前記特定期間での最小値よりも小さいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定し、
前記検出値が前記特定期間での最小値よりも小さいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータに実行させることを特徴とする異常検知プログラム。 Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is smaller than the minimum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
Determining whether the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within a first predetermined time;
The determination result that the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within the first predetermined time is continuously obtained over the second predetermined time or more. An abnormality detection program that causes a computer to execute a process of outputting an alert when an error occurs.
前記取得部により取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも大きいかを判定する判定部と、
前記判定部により前記検出値が前記特定期間での検出値の最小値よりも大きいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する出力部と
を有することを特徴とする異常検知装置。 An acquisition unit for acquiring a detection value indicating a state of a monitoring target;
For each detection value acquired by the acquisition unit, a determination unit that determines whether the detection value is greater than the minimum value of the detection value in a specific period before a predetermined time interval from the acquisition of the detection value;
An output unit for outputting an alert when the determination result that the detection value is larger than the minimum value of the detection value in the specific period is continuously obtained for a predetermined time or more by the determination unit. An anomaly detection device.
前記取得部により取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも小さいかを判定する判定部と、
前記判定部により前記検出値が前記特定期間での検出値の最大値よりも小さいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する出力部と
を有することを特徴とする異常検知装置。 An acquisition unit for acquiring a detection value indicating a state of a monitoring target;
For each detection value acquired by the acquisition unit, a determination unit that determines whether the detection value is smaller than the maximum value of the detection value in a specific period before a predetermined time interval from the acquisition of the detection value;
An output unit for outputting an alert when the determination result that the detection value is smaller than the maximum value of the detection value in the specific period is continuously obtained for a predetermined time or more by the determination unit. An anomaly detection device.
前記取得部により取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも大きいかを判定する第1判定部と、
前記第1判定部により前記検出値が前記特定期間での最大値よりも大きいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定する第2判定部と、
前記第2判定部により前記検出値が前記特定期間での最大値よりも大きいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する出力部と
を有することを特徴とする異常検知装置。 An acquisition unit for acquiring a detection value indicating a state of a monitoring target;
For each detection value acquired by the acquisition unit, a first determination unit that determines whether the detection value is greater than the maximum value of the detection value in a specific period before a predetermined time interval from the acquisition of the detection value;
A second determination unit that determines whether the determination result that the detection value is larger than the maximum value in the specific period is obtained at least once within a first predetermined time by the first determination unit;
A determination result that the determination result that the detection value is greater than the maximum value in the specific period is obtained at least once within the first predetermined time by the second determination unit is a second predetermined time or more And an output unit that outputs an alert when continuously obtained.
前記取得部により取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも小さいかを判定する第1判定部と、
前記第1判定部により前記検出値が前記特定期間での最小値よりも小さいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定する第2判定部と、
前記第2判定部により前記検出値が前記特定期間での最小値よりも小さいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する出力部と
を有することを特徴とする異常検知装置。 An acquisition unit for acquiring a detection value indicating a state of a monitoring target;
For each detection value acquired by the acquisition unit, a first determination unit that determines whether the detection value is smaller than the minimum value of the detection value in a specific period before a predetermined time interval from the acquisition of the detection value;
A second determination unit that determines whether the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within a first predetermined time by the first determination unit;
The determination result that the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within the first predetermined time by the second determination unit is a second predetermined time or more And an output unit that outputs an alert when continuously obtained.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014118173A JP6349983B2 (en) | 2014-06-06 | 2014-06-06 | Abnormality detection method, abnormality detection program, and abnormality detection device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014118173A JP6349983B2 (en) | 2014-06-06 | 2014-06-06 | Abnormality detection method, abnormality detection program, and abnormality detection device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015230714A JP2015230714A (en) | 2015-12-21 |
| JP6349983B2 true JP6349983B2 (en) | 2018-07-04 |
Family
ID=54887419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014118173A Expired - Fee Related JP6349983B2 (en) | 2014-06-06 | 2014-06-06 | Abnormality detection method, abnormality detection program, and abnormality detection device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6349983B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9320780B2 (en) | 2008-06-26 | 2016-04-26 | Curemark Llc | Methods and compositions for the treatment of symptoms of Williams Syndrome |
| JP7028124B2 (en) * | 2018-09-25 | 2022-03-02 | オムロン株式会社 | CPU unit, CPU unit control method, information processing program, and recording medium |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001331368A (en) * | 2000-05-19 | 2001-11-30 | Oki Electric Ind Co Ltd | Method for discriminating omission of memory release |
| JP2008003945A (en) * | 2006-06-23 | 2008-01-10 | Toshiba Corp | Monitoring control system and computer management method and program thereof |
| JP5313101B2 (en) * | 2009-09-30 | 2013-10-09 | 富士通フロンテック株式会社 | Information management program, information management method, and information management apparatus |
| JP5659108B2 (en) * | 2011-08-31 | 2015-01-28 | 富士通エフ・アイ・ピー株式会社 | Operation monitoring device, operation monitoring program, and recording medium |
| JP5908122B2 (en) * | 2012-05-18 | 2016-04-26 | 株式会社日立製作所 | Management system and management method |
| JP5597293B2 (en) * | 2013-10-09 | 2014-10-01 | 株式会社日立製作所 | Computer system and program |
-
2014
- 2014-06-06 JP JP2014118173A patent/JP6349983B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015230714A (en) | 2015-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9954887B2 (en) | Targeted attack discovery | |
| EP2414932B1 (en) | Execution of a plugin according to plugin stability level | |
| US8949658B1 (en) | Load balancer host selection and fault detection | |
| US11163630B2 (en) | Using real-time analytics to manage application features | |
| CN104778111A (en) | Alarm method and alarm device | |
| US20190065302A1 (en) | Detecting computer system anomaly events based on modified z-scores generated for a window of performance metrics | |
| CN104503840A (en) | Method and device for optimizing terminal resources | |
| JP2019536146A (en) | Programmable clock monitor | |
| US20220398105A1 (en) | Out-of-band custom baseboard management controller (bmc) firmware stack monitoring system and method | |
| JP2009237859A (en) | Virtual machine management system | |
| JP6349983B2 (en) | Abnormality detection method, abnormality detection program, and abnormality detection device | |
| KR101212496B1 (en) | Method of representing usage of monitoring resource, computing apparatus for performing the same and record medium recording program for implementing the method | |
| US11811803B2 (en) | Method of threat detection | |
| US10084887B2 (en) | Device and method for controlling remote procedure call | |
| US9401854B2 (en) | System and method for slow link flap detection | |
| JP6294145B2 (en) | Monitoring method, monitoring device and monitoring control program | |
| US20170053117A1 (en) | Management apparatus and management method | |
| US20200174868A1 (en) | Detection of event storms | |
| US10157116B2 (en) | Window deviation analyzer | |
| JP6497278B2 (en) | Log management program, log management method, and log management apparatus | |
| JP5121347B2 (en) | Network application use restriction system, use restriction method, and program. | |
| JP6819610B2 (en) | Diagnostic equipment, diagnostic methods, and diagnostic programs | |
| CN115729779A (en) | Sensor data processing method, device, equipment and storage medium | |
| US20210279114A1 (en) | Event loop diagnostics | |
| JP6209138B2 (en) | Operation management server, operation program, and server operation method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170309 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180123 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180323 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180508 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180521 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6349983 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |