Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6349983B2 - Abnormality detection method, abnormality detection program, and abnormality detection device - Google Patents
[go: Go Back, main page]

JP6349983B2 - Abnormality detection method, abnormality detection program, and abnormality detection device - Google Patents

Abnormality detection method, abnormality detection program, and abnormality detection device Download PDF

Info

Publication number
JP6349983B2
JP6349983B2 JP2014118173A JP2014118173A JP6349983B2 JP 6349983 B2 JP6349983 B2 JP 6349983B2 JP 2014118173 A JP2014118173 A JP 2014118173A JP 2014118173 A JP2014118173 A JP 2014118173A JP 6349983 B2 JP6349983 B2 JP 6349983B2
Authority
JP
Japan
Prior art keywords
detection value
value
period
detection
predetermined time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014118173A
Other languages
Japanese (ja)
Other versions
JP2015230714A (en
Inventor
多湖 真一郎
真一郎 多湖
稲越 宏弥
宏弥 稲越
松浦 正卓
正卓 松浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2014118173A priority Critical patent/JP6349983B2/en
Publication of JP2015230714A publication Critical patent/JP2015230714A/en
Application granted granted Critical
Publication of JP6349983B2 publication Critical patent/JP6349983B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、異常検知方法、異常検知プログラムおよび異常検知装置に関する。   The present invention relates to an abnormality detection method, an abnormality detection program, and an abnormality detection apparatus.

従来から検出値の変化から異常の発生の検知が行われている。例えば、サーバなど用いたシステムでは、サーバのCPU(Central Processing Unit)の利用率を監視し、CPUの利用率が一定以上となった場合に異常が発生したと検知する。   Conventionally, the occurrence of an abnormality is detected from a change in the detected value. For example, in a system using a server or the like, the utilization rate of a CPU (Central Processing Unit) of the server is monitored, and when the utilization rate of the CPU exceeds a certain level, it is detected that an abnormality has occurred.

特開2008−9610号公報JP 2008-9610 A 特開2008−186472号公報JP 2008-186472 A 特開2001−142708号公報JP 2001-142708 A 特開2010−250807号公報JP 2010-250807 A

しかしながら、従来の技術は、異常の発生の検知が遅くなる場合がある。例えば、CPUの利用率が一定以上となった場合に異常が発生したと検知する場合、異常の発生の直前、あるいは、異常が発生した事後でないと、異常の発生を検知できない。   However, in the conventional technique, detection of the occurrence of abnormality may be delayed. For example, when it is detected that an abnormality has occurred when the CPU usage rate exceeds a certain level, the occurrence of the abnormality cannot be detected until immediately before the occurrence of the abnormality or after the occurrence of the abnormality.

このような課題は、CPUの利用率から異常の発生を検知する場合に限らず、例えば、検出値の変化から異常の発生を検出する場合、全般に発生するものである。   Such a problem occurs not only when the occurrence of an abnormality is detected from the usage rate of the CPU, but generally occurs when the occurrence of an abnormality is detected from a change in the detection value.

本発明は、一側面では、異常の発生を早期に検出できる異常検知方法、異常検知プログラムおよび異常検知装置を提供することを目的とする。   In one aspect, an object of the present invention is to provide an abnormality detection method, an abnormality detection program, and an abnormality detection device that can detect the occurrence of an abnormality at an early stage.

1つの態様では、異常検知方法は、コンピュータが、監視対象の状態を示す検出値を取得する処理を実行する。異常検知方法は、コンピュータが、取得した検出値ごとに、当該検出値が、取得時よりも前である特定期間での検出値の最小値よりも大きいかを判定する処理を実行する。異常検知方法は、コンピュータが、検出値が特定期間での検出値の最小値よりも大きいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する処理を実行する。   In one aspect, in the abnormality detection method, the computer executes a process of acquiring a detection value indicating the state of the monitoring target. In the abnormality detection method, for each acquired detection value, the computer executes a process of determining whether the detection value is larger than the minimum value of the detection values in a specific period before the acquisition time. In the abnormality detection method, when a determination result that the detected value is larger than the minimum value of the detected value in the specific period is continuously obtained for a predetermined time or longer, the computer executes processing for outputting an alert.

本発明の一側面によれば、異常の発生を早期に検出できる。   According to one aspect of the present invention, the occurrence of abnormality can be detected at an early stage.

図1は、異常の検知を行うシステム構成の一例を説明する図である。FIG. 1 is a diagram illustrating an example of a system configuration for detecting an abnormality. 図2は、異常検知装置の機能的な構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a functional configuration of the abnormality detection apparatus. 図3は、第1待機セットのデータ構成の一例を示す図である。FIG. 3 is a diagram illustrating an example of a data configuration of the first standby set. 図4は、第1アクティブセットのデータ構成の一例を示す図である。FIG. 4 is a diagram illustrating an example of a data configuration of the first active set. 図5は、第2待機セットのデータ構成の一例を示す図である。FIG. 5 is a diagram illustrating an example of a data configuration of the second standby set. 図6は、第2アクティブセットのデータ構成の一例を示す図である。FIG. 6 is a diagram illustrating an example of a data configuration of the second active set. 図7Aは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7A is a diagram illustrating an example of a flow when detecting occurrence of a memory leak. 図7Bは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7B is a diagram illustrating an example of a flow when detecting the occurrence of a memory leak. 図7Cは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7C is a diagram illustrating an example of a flow when detecting the occurrence of a memory leak. 図7Dは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7D is a diagram illustrating an example of a flow when detecting occurrence of a memory leak. 図7Eは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7E is a diagram illustrating an example of a flow when detecting the occurrence of a memory leak. 図7Fは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7F is a diagram illustrating an example of a flow when detecting the occurrence of a memory leak. 図7Gは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7G is a diagram illustrating an example of a flow when detecting the occurrence of a memory leak. 図7Hは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7H is a diagram illustrating an example of a flow when detecting the occurrence of a memory leak. 図7Iは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7I is a diagram illustrating an example of a flow when detecting the occurrence of a memory leak. 図7Jは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7J is a diagram illustrating an example of a flow when detecting the occurrence of a memory leak. 図7Kは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7K is a diagram illustrating an example of a flow when detecting the occurrence of a memory leak. 図7Lは、メモリリークの発生を検知する際の流れの一例を示す図である。FIG. 7L is a diagram illustrating an example of a flow when detecting the occurrence of a memory leak. 図8は、メモリリークが発生している場合のメモリ使用率の変化の一例を示す図である。FIG. 8 is a diagram illustrating an example of a change in the memory usage rate when a memory leak occurs. 図9は、メモリリークが発生している場合のメモリ使用率の変化の他の一例を示す図である。FIG. 9 is a diagram illustrating another example of a change in memory usage rate when a memory leak occurs. 図10は、異常検知処理の手順の一例を示すフローチャートである。FIG. 10 is a flowchart illustrating an example of the procedure of the abnormality detection process. 図11は、異常検知装置の機能的な構成の一例を示す図である。FIG. 11 is a diagram illustrating an example of a functional configuration of the abnormality detection apparatus. 図12は、第3待機セットのデータ構成の一例を示す図である。FIG. 12 is a diagram illustrating an example of a data configuration of the third standby set. 図13は、第3アクティブセットのデータ構成の一例を示す図である。FIG. 13 is a diagram illustrating an example of a data configuration of the third active set. 図14Aは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14A is a diagram illustrating an example of a flow when detecting occurrence of an abnormality of a CPU. 図14Bは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14B is a diagram illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. 図14Cは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14C is a diagram illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. 図14Dは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14D is a diagram illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. 図14Eは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14E is a diagram illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. 図14Fは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14F is a diagram illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. 図14Gは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14G is a diagram illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. 図14Hは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14H is a diagram illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. 図14Iは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14I is a diagram illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. 図14Jは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14J is a diagram illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. 図14Kは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14K is a diagram illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. 図14Lは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14L is a diagram illustrating an example of a flow for detecting occurrence of an abnormality in the CPU. 図14Mは、CPUの異常の発生を検知する際の流れの一例を示す図である。FIG. 14M is a diagram illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. 図15は、CPUの利用率の変化の一例を示す図である。FIG. 15 is a diagram illustrating an example of a change in the usage rate of the CPU. 図16は、CPUの利用率の変化の他の一例を示す図である。FIG. 16 is a diagram illustrating another example of the change in the usage rate of the CPU. 図17は、異常検知処理の手順の一例を示すフローチャートである。FIG. 17 is a flowchart illustrating an example of the procedure of the abnormality detection process. 図18は、異常検知プログラムを実行するコンピュータを示す図である。FIG. 18 is a diagram illustrating a computer that executes an abnormality detection program.

以下に、本発明にかかる異常検知方法、異常検知プログラムおよび異常検知装置の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。そして、各実施例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。   Hereinafter, embodiments of an abnormality detection method, an abnormality detection program, and an abnormality detection apparatus according to the present invention will be described in detail with reference to the drawings. Note that the present invention is not limited to the embodiments. Each embodiment can be appropriately combined within a range in which processing contents are not contradictory.

[システム構成]
最初に、実施例1に係る異常検知装置を用いて異常の検知を行うシステムの一例を説明する。図1は、異常の検知を行うシステム構成の一例を説明する図である。図1に示すように、システム10は、サーバ装置11と、異常検知装置12と有する。サーバ装置11と異常検知装置12は、ネットワーク13を介して通信可能に接続され、各種の情報を交換することが可能とされている。かかるネットワーク13の一態様としては、有線または無線を問わず、携帯電話などの移動体通信、インターネット(Internet)、LAN(Local Area Network)やVPN(Virtual Private Network)などの任意の種類の通信網を採用できる。
[System configuration]
First, an example of a system that detects an abnormality using the abnormality detection apparatus according to the first embodiment will be described. FIG. 1 is a diagram illustrating an example of a system configuration for detecting an abnormality. As illustrated in FIG. 1, the system 10 includes a server device 11 and an abnormality detection device 12. The server device 11 and the abnormality detection device 12 are communicably connected via a network 13 and can exchange various kinds of information. As an aspect of the network 13, any type of communication network such as mobile communication such as a mobile phone, Internet (Internet), LAN (Local Area Network), VPN (Virtual Private Network), etc., regardless of wired or wireless. Can be adopted.

サーバ装置11は、所定のシステムが動作する装置である。例えば、サーバ装置11は、企業やデータセンタに配置され、基幹システムの提供や所定のサービスを提供するサーバコンピュータである。図1の例では、サーバ装置11を1つとした場合を例示したが、これに限定されず、サーバ装置11は任意の数とすることができる。例えば、システム10は、複数のサーバ装置11によりクラウドサービスを提供するクラウドシステムであってもよい。   The server device 11 is a device on which a predetermined system operates. For example, the server device 11 is a server computer that is provided in a company or a data center and provides a basic system or provides a predetermined service. In the example of FIG. 1, the case where the number of server apparatuses 11 is one is illustrated, but the present invention is not limited to this, and the number of server apparatuses 11 can be any number. For example, the system 10 may be a cloud system that provides a cloud service with a plurality of server apparatuses 11.

異常検知装置12は、サーバ装置11の異常の発生を検知する装置である。異常検知装置12は、例えば、パーソナルコンピュータやサーバコンピュータなどのコンピュータなどである。異常検知装置12は、1台のコンピュータとして実装してもよく、また、複数台のコンピュータによる実装してもよい。また、異常検知装置12は、システム10を管理する管理端末やサーバ装置11が兼ねてもよい。なお、本実施例では、異常検知装置12を1台のコンピュータとして設けた場合を例として説明する。   The abnormality detection device 12 is a device that detects the occurrence of an abnormality in the server device 11. The abnormality detection device 12 is, for example, a computer such as a personal computer or a server computer. The abnormality detection device 12 may be implemented as a single computer or may be implemented by a plurality of computers. Further, the abnormality detection device 12 may also serve as a management terminal that manages the system 10 or the server device 11. In this embodiment, a case where the abnormality detection device 12 is provided as one computer will be described as an example.

[異常検知装置の構成]
次に、実施例1に係る異常検知装置12の構成について説明する。図2は、異常検知装置の機能的な構成の一例を示す図である。図2に示すように、異常検知装置12は、通信I/F(インタフェース)部20と、記憶部21と、制御部22とを有する。
[Configuration of anomaly detection device]
Next, the configuration of the abnormality detection device 12 according to the first embodiment will be described. FIG. 2 is a diagram illustrating an example of a functional configuration of the abnormality detection apparatus. As shown in FIG. 2, the abnormality detection device 12 includes a communication I / F (interface) unit 20, a storage unit 21, and a control unit 22.

通信I/F部20は、他の装置との間で通信制御を行うインタフェースである。通信I/F部20としては、LANカードなどのネットワークインタフェースカードを採用できる。   The communication I / F unit 20 is an interface that controls communication with other devices. As the communication I / F unit 20, a network interface card such as a LAN card can be adopted.

通信I/F部20は、ネットワーク13を介して他の装置と各種情報を送受信する。例えば、通信I/F部20は、サーバ装置11と各種情報を送受信が可能とされており、サーバ装置11からサーバ装置11の状態を示す各種情報を受信する。   The communication I / F unit 20 transmits / receives various information to / from other apparatuses via the network 13. For example, the communication I / F unit 20 can transmit and receive various types of information to and from the server device 11, and receives various types of information indicating the state of the server device 11 from the server device 11.

記憶部21は、各種のデータを記憶する記憶デバイスである。例えば、記憶部21は、ハードディスク、SSD(Solid State Drive)、光ディスクなどの記憶装置である。なお、記憶部21は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)などのデータを書き換え可能な半導体メモリであってもよい。   The storage unit 21 is a storage device that stores various data. For example, the storage unit 21 is a storage device such as a hard disk, an SSD (Solid State Drive), or an optical disk. Note that the storage unit 21 may be a semiconductor memory that can rewrite data, such as a random access memory (RAM), a flash memory, and a non-volatile static random access memory (NVSRAM).

記憶部21は、制御部22で実行されるOS(Operating System)や各種プログラムを記憶する。例えば、記憶部21は、後述する異常検知処理を実行するプログラムを含む各種のプログラムを記憶する。さらに、記憶部21は、制御部22で実行されるプログラムで用いられる各種データを記憶する。例えば、記憶部21は、第1待機セット30と、第1アクティブセット31と、第2待機セット32と、第2アクティブセット33とを記憶する。   The storage unit 21 stores an OS (Operating System) executed by the control unit 22 and various programs. For example, the memory | storage part 21 memorize | stores various programs including the program which performs the abnormality detection process mentioned later. Furthermore, the storage unit 21 stores various data used in programs executed by the control unit 22. For example, the storage unit 21 stores a first standby set 30, a first active set 31, a second standby set 32, and a second active set 33.

第1アクティブセット31および第2アクティブセット33は、異常の検知の対象となる期間のデータを保持するためのデータ領域である。例えば、本実施例では、後述する所定の第1期間での検出値の最小値を求める。また、本実施例では、第1期間の最小値よりも大きいとの判定結果が所定の第2期間の間連続して得られたかを判定する。この第1期間は、検出値の取得時から所定時間間隔をあけており、例えば、5分〜30分の期間とする。この第1期間は、検出値の取得時を含む期間であってもよい。また、第2期間は、検出値の取得時を含む期間としており、例えば、0分〜30分の期間とする。第1アクティブセット31には、第1期間の検出値などのデータを記憶させる。また、第2アクティブセット33には、第1期間の最小値よりも大きいとの判定結果が第2期間の間連続したかを判定するためのデータを記憶させる。   The first active set 31 and the second active set 33 are data areas for holding data for a period to be detected for abnormality. For example, in this embodiment, the minimum value of the detection value in a predetermined first period to be described later is obtained. Further, in this embodiment, it is determined whether or not the determination result that is larger than the minimum value of the first period is obtained continuously for a predetermined second period. This first period has a predetermined time interval from when the detection value is acquired, and is, for example, a period of 5 minutes to 30 minutes. The first period may be a period including the time when the detection value is acquired. Further, the second period is a period including the time of acquisition of the detection value, and is, for example, a period of 0 minutes to 30 minutes. The first active set 31 stores data such as detection values for the first period. Further, the second active set 33 stores data for determining whether or not the determination result that is greater than the minimum value of the first period is continued for the second period.

第1待機セット30および第2待機セット32は、異常の検知の対象となる期間の前のデータを保持するためのデータ領域である。   The first standby set 30 and the second standby set 32 are data areas for holding data before a period to be detected for abnormality.

図3は、第1待機セットのデータ構成の一例を示す図である。図3に示すように、第1待機セット30は、「時刻」、「検出値」の各項目を有する。時刻の項目は、検出値が取得された時刻情報を記憶する領域である。検出値の項目は、取得された検出値を記憶する領域である。第1待機セット30には、検出値が取得される毎に、取得された検出値が時刻情報と共に格納される。   FIG. 3 is a diagram illustrating an example of a data configuration of the first standby set. As shown in FIG. 3, the first standby set 30 includes items of “time” and “detection value”. The time item is an area for storing time information at which the detected value is acquired. The detection value item is an area for storing the acquired detection value. Each time a detection value is acquired, the acquired detection value is stored in the first standby set 30 together with time information.

図4は、第1アクティブセットのデータ構成の一例を示す図である。図4に示すように、第1アクティブセット31は、上述の第1待機セット30と同様の構成とされており、「時刻」、「検出値」の各項目を有する。第1アクティブセット31には、第1待機セット30に格納された検出値のうち、時刻が第1期間内となった検出値が時刻情報と共に格納される。   FIG. 4 is a diagram illustrating an example of a data configuration of the first active set. As shown in FIG. 4, the first active set 31 has the same configuration as the first standby set 30 described above, and includes items of “time” and “detected value”. In the first active set 31, among the detection values stored in the first standby set 30, a detection value whose time is within the first period is stored together with time information.

図5は、第2待機セットのデータ構成の一例を示す図である。図5に示すように、第2待機セット32は、「時刻」、「検出値」、「フラグ」の各項目を有する。時刻の項目は、検出値が取得された時刻情報を記憶する領域である。検出値の項目は、取得された検出値を記憶する領域である。フラグの項目は、第1期間のデータの状態を判定した結果を示したフラグを記憶する領域である。第2待機セット32には、検出値が取得される毎に、取得された検出値が時刻情報、フラグと共に格納される。   FIG. 5 is a diagram illustrating an example of a data configuration of the second standby set. As shown in FIG. 5, the second standby set 32 includes items of “time”, “detected value”, and “flag”. The time item is an area for storing time information at which the detected value is acquired. The detection value item is an area for storing the acquired detection value. The flag item is an area for storing a flag indicating the result of determining the data state in the first period. Each time the detection value is acquired, the acquired detection value is stored in the second standby set 32 together with time information and a flag.

図6は、第2アクティブセットのデータ構成の一例を示す図である。図6に示すように、第2アクティブセット33は、上述の第2待機セット32と同様の構成とされており、「時刻」、「検出値」、「フラグ」の各項目を有する。第2アクティブセット33には、第2待機セット32に格納された検出値のうち、時刻が第2期間内となった検出値が時刻情報、フラグと共に格納される。   FIG. 6 is a diagram illustrating an example of a data configuration of the second active set. As shown in FIG. 6, the second active set 33 has the same configuration as the second standby set 32 described above, and includes items of “time”, “detected value”, and “flag”. Of the detection values stored in the second standby set 32, the detection value whose time is within the second period is stored in the second active set 33 together with time information and a flag.

第1待機セット30、第1アクティブセット31、第2待機セット32および第2アクティブセット33のデータの具体例については、後述する。   Specific examples of data of the first standby set 30, the first active set 31, the second standby set 32, and the second active set 33 will be described later.

図2に戻り、制御部22は、異常検知装置12を制御するデバイスである。制御部22としては、CPU、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路を採用できる。制御部22は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部22は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部22は、取得部40と、判定部41と、出力部42とを有する。   Returning to FIG. 2, the control unit 22 is a device that controls the abnormality detection device 12. As the control unit 22, an electronic circuit such as a CPU or an MPU (Micro Processing Unit), or an integrated circuit such as an ASIC (Application Specific Integrated Circuit) or an FPGA (Field Programmable Gate Array) can be used. The control unit 22 has an internal memory for storing programs defining various processing procedures and control data, and executes various processes using these. The control unit 22 functions as various processing units by operating various programs. For example, the control unit 22 includes an acquisition unit 40, a determination unit 41, and an output unit 42.

取得部40は、各種の取得を行う。例えば、取得部40は、監視対象の状態を示す検出値を取得する。この検出値は、サーバ装置11が周期的に検出を行って異常検知装置12へ送信してもよい。また、検出値は、取得部40が周期的にサーバ装置11に対して送信を要求し、サーバ装置11が要求に応じて検出を行って異常検知装置12へ送信してもよい。本実施例では、監視対象をサーバ装置11とし、監視対象の状態を示す検出値として、サーバ装置11のメモリの使用率を取得する。   The acquisition unit 40 performs various acquisitions. For example, the acquisition unit 40 acquires a detection value indicating the state of the monitoring target. The detection value may be periodically detected by the server device 11 and transmitted to the abnormality detection device 12. In addition, the acquisition unit 40 may periodically request the server device 11 to transmit the detection value, and the server device 11 may detect the request value and transmit the detection value to the abnormality detection device 12. In this embodiment, the monitoring target is the server device 11, and the memory usage rate of the server device 11 is acquired as a detection value indicating the state of the monitoring target.

取得部40は、取得された検出値を時刻情報と共に第1待機セット30に格納する。また、取得部40は、第1待機セット30に格納された検出値のうち、第1期間内となった検出値を第1アクティブセット31に移動させる。また、判定部41は、第1アクティブセット31に格納された検出値のうち、第1期間外となった検出値を第1アクティブセット31から削除する。   The acquisition unit 40 stores the acquired detection value in the first standby set 30 together with time information. In addition, the acquisition unit 40 moves detection values stored in the first standby set 30 within the first period to the first active set 31. In addition, the determination unit 41 deletes, from the first active set 31, detection values that are outside the first period among the detection values stored in the first active set 31.

判定部41は、各種の判定を行う。例えば、判定部41は、取得部40により取得した検出値ごとに、当該検出値が、取得時よりも前である第1期間での検出値の最小値よりも大きいかを判定する。例えば、判定部41は、取得部40により検出値が取得される毎に、第1アクティブセット31に記憶された検出値内での検出値の最小値を特定する。この第1アクティブセット31に記憶された検出値の最小値は、第1期間での検出値の最小値である。判定部41は、検出値が取得される毎に、取得された検出値を、第1期間の検出値の最小値と比較して、取得された検出値が第1期間の検出値の最小値よりも大きいかを判定する。この判定は、検出値が第1期間の検出値の最小値よりも、しきい値以上大きいかを判定するようにしてもよい。本実施例では、判定部41は、検出値が、第1期間での検出値の最小値と、所定のしきい値を加算した値よりも大きいかを判定する。しきい値は、検出値に大局的に異常な上昇傾向があるかを判定する値であり、ゼロ以上の値に設定する。   The determination unit 41 performs various determinations. For example, the determination unit 41 determines, for each detection value acquired by the acquisition unit 40, whether the detection value is larger than the minimum value of the detection value in the first period before the acquisition. For example, the determination unit 41 specifies the minimum value of the detection values in the detection values stored in the first active set 31 each time the detection value is acquired by the acquisition unit 40. The minimum value of the detection value stored in the first active set 31 is the minimum value of the detection value in the first period. Each time the detection value is acquired, the determination unit 41 compares the acquired detection value with the minimum value of the detection value in the first period, and the acquired detection value is the minimum value of the detection value in the first period. It is judged whether it is larger than. In this determination, it may be determined whether the detected value is greater than the minimum value of the detected value in the first period or more. In the present embodiment, the determination unit 41 determines whether the detected value is larger than a value obtained by adding a minimum value of the detected value in the first period and a predetermined threshold value. The threshold value is a value for determining whether or not the detected value has a generally abnormal upward tendency, and is set to a value of zero or more.

判定部41は、取得された検出値を、判定結果および時刻情報と共に第2待機セット32に格納する。また、判定部41は、判定結果として、最新の検出値が第1期間での検出値の最小値よりも大きいか否かを示すフラグを第2待機セット32に格納する。   The determination unit 41 stores the acquired detection value in the second standby set 32 together with the determination result and time information. Further, the determination unit 41 stores a flag indicating whether or not the latest detection value is larger than the minimum detection value in the first period in the second standby set 32 as a determination result.

出力部42は、各種の出力を行う。例えば、出力部42は、第2期間における判定の結果に基づいて、異常が発生したか否かの検知を行う。そして、出力部42は、異常が発生したことが検知された場合、アラートを出力する。例えば、出力部42は、検出値が第1期間での検出値の最小値よりも大きいとの判定の結果が第2期間の間連続して得られた場合、異常が発生しているものとして、アラートを出力する。例えば、出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。また、出力部42は、第2アクティブセット33に格納された検出値のうち、第2期間外となった検出値を第2アクティブセット33から削除する。そして、出力部42は、第2アクティブセット33に記憶された検出値が全て直近の第1期間の最小値よりも大きいと判定されたものである場合、アラートを出力する。   The output unit 42 performs various outputs. For example, the output unit 42 detects whether or not an abnormality has occurred based on the determination result in the second period. The output unit 42 outputs an alert when it is detected that an abnormality has occurred. For example, the output unit 42 assumes that an abnormality has occurred when the result of determination that the detected value is larger than the minimum value of the detected value in the first period is continuously obtained during the second period. , Output an alert. For example, the output unit 42 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In addition, the output unit 42 deletes, from the second active set 33, detection values that are out of the second period among the detection values stored in the second active set 33. And the output part 42 outputs an alert, when it determines with all the detected values memorize | stored in the 2nd active set 33 being larger than the minimum value of the nearest 1st period.

ここで、具体例を用いて説明する。本実施例では、監視対象をサーバ装置11とし、検出値としてサーバ装置11のメモリの使用率を取得し、異常として、サーバ装置11のメモリリークの発生を検知する場合を例に説明する。また、本実施例では、第1期間を2分〜4分前の期間とし、第2期間を0分〜6分前の期間とする。また、本実施例では、検出値が第1期間の最小値よりしきい値「5」以上大きい状態が第2期間連続した場合にメモリリークが発生したと検知する場合を例に説明する。図7A〜図7Lは、メモリリークの発生を検知する際の流れの一例を示す図である。図7A〜図7Lには、サーバ装置11で1分毎に検出されるメモリの使用率と、第1待機セット30、第1アクティブセット31、第2待機セット32および第2アクティブセット33に格納されるデータの変化の一例が示されている。なお、図7A〜図7Lの例では、時刻の経過を把握しやくするため、時刻を図7Aの時点を基準(00:00)として示している。また、図7A〜図7Lの例では、入力として、各時刻で取得されるメモリ使用率が示されている。   Here, it demonstrates using a specific example. In this embodiment, a case will be described as an example in which the monitoring target is the server device 11, the memory usage rate of the server device 11 is acquired as a detection value, and the occurrence of a memory leak in the server device 11 is detected as an abnormality. In the present embodiment, the first period is a period 2 minutes to 4 minutes ago, and the second period is a period 0 minutes to 6 minutes ago. In this embodiment, a case where it is detected that a memory leak has occurred when a state where the detected value is larger than the minimum value of the first period by a threshold value “5” or more continues for the second period will be described as an example. 7A to 7L are diagrams illustrating an example of a flow when detecting the occurrence of a memory leak. In FIG. 7A to FIG. 7L, the memory usage rate detected by the server device 11 every minute and stored in the first standby set 30, the first active set 31, the second standby set 32, and the second active set 33 are stored. An example of the change in data to be performed is shown. In the example of FIGS. 7A to 7L, the time is shown with the time point of FIG. 7A as a reference (00:00) in order to make it easier to grasp the passage of time. In the example of FIGS. 7A to 7L, the memory usage rate acquired at each time is shown as an input.

図7Aに示すように、取得部40は、時刻「00:00」にサーバ装置11のメモリ使用率「11」が取得されると、時刻「00:00」およびメモリ使用率「11」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、第1アクティブセット31にはデータの格納は行わない。第1アクティブセット31にデータが格納されていないため、第1アクティブセット31に格納されたメモリ使用率の最小値は、未定である。取得されたメモリ使用率「11」は、第1アクティブセット31に格納されたメモリ使用率の最小値と、しきい値「5」とを加算した値より大きくはない。このため、判定部41は、フラグ「0」として、時刻「00:00」、メモリ使用率「11」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Aの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:00」、メモリ使用率「11」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   As illustrated in FIG. 7A, when the memory usage rate “11” of the server apparatus 11 is acquired at time “00:00”, the acquisition unit 40 obtains the time “00:00” and the memory usage rate “11”. One standby set 30 is stored. The first period is a period from 2 minutes to 4 minutes ago. For this reason, the acquisition unit 40 does not store data in the first active set 31. Since no data is stored in the first active set 31, the minimum value of the memory usage rate stored in the first active set 31 is undetermined. The acquired memory usage rate “11” is not larger than a value obtained by adding the minimum value of the memory usage rate stored in the first active set 31 and the threshold value “5”. For this reason, the determination unit 41 stores the time “00:00” and the memory usage rate “11” in the second standby set 32 as the flag “0”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7A, since the second period is a period from 0 minutes to 6 minutes ago, as a result of the movement, the time “00:00”, the memory usage rate “11”, and the flag “0” are the second active set. 33 and the second standby set 32 is empty.

次に、図7Bに示すように、取得部40は、時刻「00:01」にサーバ装置11のメモリ使用率「83」が取得されると、時刻「00:01」およびメモリ使用率「83」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、第1アクティブセット31にはデータの格納は行わない。第1アクティブセット31にデータが格納されていないため、第1アクティブセット31に格納されたメモリ使用率の最小値は、未定である。取得されたメモリ使用率「83」は、第1アクティブセット31に格納されたメモリ使用率の最小値と、しきい値「5」とを加算した値より大きくはない。このため、判定部41は、フラグ「0」として、時刻「00:01」、メモリ使用率「83」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Bの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:01」、メモリ使用率「83」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   Next, as illustrated in FIG. 7B, when the memory usage rate “83” of the server apparatus 11 is acquired at time “00:01”, the acquisition unit 40 acquires the time “00:01” and the memory usage rate “83”. Is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. For this reason, the acquisition unit 40 does not store data in the first active set 31. Since no data is stored in the first active set 31, the minimum value of the memory usage rate stored in the first active set 31 is undetermined. The acquired memory usage rate “83” is not larger than a value obtained by adding the minimum value of the memory usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the determination unit 41 stores the time “00:01” and the memory usage rate “83” in the second standby set 32 as the flag “0”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7B, since the second period is a period from 0 minutes to 6 minutes ago, the time “00:01”, the memory usage rate “83”, and the flag “0” are the second active set as a result of the movement. 33 and the second standby set 32 is empty.

次に、図7Cに示すように、取得部40は、時刻「00:02」にサーバ装置11のメモリ使用率「14」が取得されると、時刻「00:02」およびメモリ使用率「14」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:00」、検出値「11」を第1アクティブセット31に格納する。取得されたメモリ使用率「14」は、第1アクティブセット31に格納されたメモリ使用率の最小値「11」と、しきい値「5」とを加算した値より大きくはない。このため、判定部41は、フラグ「0」として、時刻「00:02」、メモリ使用率「14」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Cの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:02」、メモリ使用率「14」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   Next, as illustrated in FIG. 7C, when the memory usage rate “14” of the server device 11 is acquired at time “00:02”, the acquisition unit 40 acquires the time “00:02” and the memory usage rate “14”. Is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:00” and the detection value “11” in the first active set 31. The acquired memory usage rate “14” is not larger than a value obtained by adding the minimum value “11” of the memory usage rate stored in the first active set 31 and the threshold value “5”. For this reason, the determination unit 41 stores the time “00:02” and the memory usage rate “14” in the second standby set 32 as the flag “0”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7C, since the second period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:02”, the memory usage rate “14”, and the flag “0” are the second active set. 33 and the second standby set 32 is empty.

次に、図7Dに示すように、取得部40は、時刻「00:03」にサーバ装置11のメモリ使用率「77」が取得されると、時刻「00:03」およびメモリ使用率「77」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:01」、検出値「83」を第1アクティブセット31に格納する。取得されたメモリ使用率「77」は、第1アクティブセット31に格納されたメモリ使用率の最小値「11」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:03」、メモリ使用率「77」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Dの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:03」、メモリ使用率「77」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   Next, as illustrated in FIG. 7D, when the memory usage rate “77” of the server device 11 is acquired at time “00:03”, the acquisition unit 40 acquires the time “00:03” and the memory usage rate “77”. Is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:01” and the detection value “83” in the first active set 31. The acquired memory usage rate “77” is larger than the sum of the minimum value “11” of the memory usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the determination unit 41 stores the time “00:03” and the memory usage rate “77” in the second standby set 32 as the flag “1”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7D, since the second period is a period from 0 minutes to 6 minutes ago, the time “00:03”, the memory usage rate “77”, and the flag “1” are the second active set as a result of the movement. 33 and the second standby set 32 is empty.

次に、図7Eに示すように、取得部40は、時刻「00:04」にサーバ装置11のメモリ使用率「15」が取得されると、時刻「00:04」およびメモリ使用率「15」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:02」、検出値「14」を第1アクティブセット31に格納する。取得されたメモリ使用率「15」は、第1アクティブセット31に格納されたメモリ使用率の最小値「11」と、しきい値「5」とを加算した値より大きくはない。このため、判定部41は、フラグ「0」として、時刻「00:04」、メモリ使用率「15」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Eの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:04」、メモリ使用率「15」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   Next, as illustrated in FIG. 7E, when the memory usage rate “15” of the server apparatus 11 is acquired at time “00:04”, the acquisition unit 40 acquires the time “00:04” and the memory usage rate “15”. Is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:02” and the detection value “14” in the first active set 31. The acquired memory usage rate “15” is not larger than a value obtained by adding the minimum value “11” of the memory usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the determination unit 41 stores the time “00:04” and the memory usage rate “15” in the second standby set 32 as the flag “0”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7E, since the second period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:04”, the memory usage rate “15”, and the flag “0” are the second active set. 33 and the second standby set 32 is empty.

次に、図7Fに示すように、取得部40は、時刻「00:05」にサーバ装置11のメモリ使用率「53」が取得されると、時刻「00:05」およびメモリ使用率「53」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:03」、検出値「77」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:00」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「53」は、第1アクティブセット31に格納されたメモリ使用率の最小値「14」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:05」、メモリ使用率「53」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Fの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:05」、メモリ使用率「53」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   Next, as illustrated in FIG. 7F, when the memory usage rate “53” of the server device 11 is acquired at time “00:05”, the acquisition unit 40 acquires the time “00:05” and the memory usage rate “53”. Is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:03” and the detection value “77” in the first active set 31. In addition, since the data at time “00:00” is outside the first period, the acquisition unit 40 deletes the data from the first active set 31. The acquired memory usage rate “53” is larger than the value obtained by adding the minimum value “14” of the memory usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the determination unit 41 stores the time “00:05” and the memory usage rate “53” in the second standby set 32 as the flag “1”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7F, since the second period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:05”, the memory usage rate “53”, and the flag “1” are the second active set. 33 and the second standby set 32 is empty.

次に、図7Gに示すように、取得部40は、時刻「00:06」にサーバ装置11のメモリ使用率「42」が取得されると、時刻「00:06」およびメモリ使用率「42」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:04」、検出値「15」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:01」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「42」は、第1アクティブセット31に格納されたメモリ使用率の最小値「14」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:06」、メモリ使用率「42」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Gの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:06」、メモリ使用率「42」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   Next, as illustrated in FIG. 7G, when the memory usage rate “42” of the server apparatus 11 is acquired at time “00:06”, the acquisition unit 40 acquires the time “00:06” and the memory usage rate “42”. Is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:04” and the detection value “15” in the first active set 31. In addition, since the data at time “00:01” is outside the first period, the acquisition unit 40 deletes the data from the first active set 31. The acquired memory usage rate “42” is larger than the value obtained by adding the minimum value “14” of the memory usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the determination unit 41 stores the time “00:06” and the memory usage rate “42” in the second standby set 32 as the flag “1”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7G, since the second period is a period from 0 minutes to 6 minutes ago, the time “00:06”, the memory usage rate “42”, and the flag “1” are the second active set as a result of the movement. 33 and the second standby set 32 is empty.

次に、図7Hに示すように、取得部40は、時刻「00:07」にサーバ装置11のメモリ使用率「70」が取得されると、時刻「00:07」およびメモリ使用率「70」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:05」、検出値「53」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:02」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「70」は、第1アクティブセット31に格納されたメモリ使用率の最小値「15」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:07」、メモリ使用率「70」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Hの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:07」、メモリ使用率「70」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   Next, as illustrated in FIG. 7H, when the memory usage rate “70” of the server apparatus 11 is acquired at time “00:07”, the acquisition unit 40 acquires the time “00:07” and the memory usage rate “70”. Is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:05” and the detection value “53” in the first active set 31. In addition, since the data at time “00:02” is outside the first period, the acquisition unit 40 deletes the data from the first active set 31. The acquired memory usage rate “70” is larger than the value obtained by adding the minimum value “15” of the memory usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the determination unit 41 stores the time “00:07” and the memory usage rate “70” in the second standby set 32 as the flag “1”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7H, since the second period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:07”, the memory usage rate “70”, and the flag “1” are the second active set. 33 and the second standby set 32 is empty.

次に、図7Iに示すように、取得部40は、時刻「00:08」にサーバ装置11のメモリ使用率「21」が取得されると、時刻「00:08」およびメモリ使用率「21」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:06」、検出値「42」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:03」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「21」は、第1アクティブセット31に格納されたメモリ使用率の最小値「15」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:08」、メモリ使用率「21」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Iの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:08」、メモリ使用率「21」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   Next, as illustrated in FIG. 7I, when the memory usage rate “21” of the server device 11 is acquired at the time “00:08”, the acquisition unit 40 acquires the time “00:08” and the memory usage rate “21”. Is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:06” and the detection value “42” in the first active set 31. In addition, since the data at time “00:03” is outside the first period, the acquisition unit 40 deletes the data from the first active set 31. The acquired memory usage rate “21” is larger than the sum of the minimum value “15” of the memory usage rate stored in the first active set 31 and the threshold value “5”. For this reason, the determination unit 41 stores the time “00:08” and the memory usage rate “21” in the second standby set 32 as the flag “1”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7I, since the second period is a period from 0 minutes to 6 minutes ago, the time “00:08”, the memory usage rate “21”, and the flag “1” are the second active set as a result of the movement. 33 and the second standby set 32 is empty.

次に、図7Jに示すように、取得部40は、時刻「00:09」にサーバ装置11のメモリ使用率「83」が取得されると、時刻「00:09」およびメモリ使用率「83」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:07」、検出値「70」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:04」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「83」は、第1アクティブセット31に格納されたメモリ使用率の最小値「42」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:09」、メモリ使用率「83」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Jの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:09」、メモリ使用率「83」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   Next, as illustrated in FIG. 7J, when the memory usage rate “83” of the server apparatus 11 is acquired at time “00:09”, the acquisition unit 40 acquires the time “00:09” and the memory usage rate “83”. Is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:07” and the detection value “70” in the first active set 31. In addition, since the data at time “00:04” is out of the first period, the acquisition unit 40 deletes the data from the first active set 31. The acquired memory usage rate “83” is larger than the value obtained by adding the minimum value “42” of the memory usage rate stored in the first active set 31 and the threshold value “5”. For this reason, the determination unit 41 stores the time “00:09” and the memory usage rate “83” in the second standby set 32 as the flag “1”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7J, since the second period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:09”, the memory usage rate “83”, and the flag “1” are the second active set. 33 and the second standby set 32 is empty.

次に、図7Kに示すように、取得部40は、時刻「00:10」にサーバ装置11のメモリ使用率「47」が取得されると、時刻「00:10」およびメモリ使用率「47」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:08」、検出値「21」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:05」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「47」は、第1アクティブセット31に格納されたメモリ使用率の最小値「21」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:10」、メモリ使用率「47」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Kの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:10」、メモリ使用率「47」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   Next, as illustrated in FIG. 7K, when the memory usage rate “47” of the server apparatus 11 is acquired at time “00:10”, the acquisition unit 40 acquires the time “00:10” and the memory usage rate “47”. Is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:08” and the detection value “21” in the first active set 31. In addition, since the data at time “00:05” is outside the first period, the acquiring unit 40 deletes the data from the first active set 31. The acquired memory usage rate “47” is larger than the value obtained by adding the minimum value “21” of the memory usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the determination unit 41 stores the time “00:10” and the memory usage rate “47” in the second standby set 32 as the flag “1”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7K, since the second period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:10”, the memory usage rate “47”, and the flag “1” are the second active set. 33 and the second standby set 32 is empty.

次に、図7Lに示すように、取得部40は、時刻「00:11」にサーバ装置11のメモリ使用率「93」が取得されると、時刻「00:11」およびメモリ使用率「93」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:09」、検出値「83」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:06」のデータが第1期間外となったため、第1アクティブセット31から削除する。取得されたメモリ使用率「93」は、第1アクティブセット31に格納されたメモリ使用率の最小値「21」と、しきい値「5」とを加算した値より大きい。このため、判定部41は、フラグ「1」として、時刻「00:11」、メモリ使用率「93」を第2待機セット32に格納する。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図7Lの例では、第2期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:11」、メモリ使用率「93」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   Next, as illustrated in FIG. 7L, when the memory usage rate “93” of the server apparatus 11 is acquired at time “00:11”, the acquisition unit 40 acquires the time “00:11” and the memory usage rate “93. Is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:09” and the detection value “83” in the first active set 31. In addition, since the data at time “00:06” is outside the first period, the acquisition unit 40 deletes the data from the first active set 31. The acquired memory usage rate “93” is larger than the value obtained by adding the minimum value “21” of the memory usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the determination unit 41 stores the time “00:11” and the memory usage rate “93” in the second standby set 32 as the flag “1”. The output unit 42 moves the detected value stored in the second standby set 32 to the second active set 33 within the second period. In the example of FIG. 7L, since the second period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:11”, the memory usage rate “93”, and the flag “1” are the second active set. 33 and the second standby set 32 is empty.

ここで、図7Lに示す第2アクティブセット33に格納された第2の期間の各データは、全てフラグが1となっている。この図7Lに示す状態は、取得された検出値が第1期間での検出値の最小値よりも大きいとの判定の結果が第2期間の間連続して得られた状態である。出力部42は、第2アクティブセット33に記憶された各データのフラグが全て「1」である場合、アラートを出力する。   Here, all the data of the second period stored in the second active set 33 shown in FIG. The state shown in FIG. 7L is a state in which the determination result that the acquired detection value is larger than the minimum value of the detection value in the first period is obtained continuously during the second period. The output unit 42 outputs an alert when all the data flags stored in the second active set 33 are “1”.

例えば、サーバ装置11では、メモリリークが発生している場合、処理に応じてメモリ使用率が変化するが、メモリの記憶領域を全て解放できないため、メモリ使用率の最小値が徐々に増加する。   For example, in the server device 11, when a memory leak occurs, the memory usage rate changes according to the process, but since the entire memory storage area cannot be released, the minimum value of the memory usage rate gradually increases.

図8は、メモリリークが発生している場合のメモリ使用率の変化の一例を示す図である。図8に示すように、メモリ使用率は、増加と減少を繰り返すが大局的には増加する。このような場合、例えば、メモリ使用率が一定のしきい値以上をとなった場合に異常が発生したと検知すると、異常の発生の検知が遅くなる場合がある。   FIG. 8 is a diagram illustrating an example of a change in the memory usage rate when a memory leak occurs. As shown in FIG. 8, the memory usage rate repeatedly increases and decreases, but increases globally. In such a case, for example, if it is detected that an abnormality has occurred when the memory usage rate exceeds a certain threshold value, the detection of the occurrence of the abnormality may be delayed.

一方、メモリリークが発生している場合、メモリの記憶領域を全て解放できないため、メモリ使用率は、増加と減少を繰り返すものの、大局的には増加する。そこで、異常検知装置12は、周期的にサーバ装置11のメモリ使用率を取得する。そして、異常検知装置12は、取得された検出値が、取得時よりも前の第1期間での検出値の最小値よりも大きいとの判定の結果が第2期間の間連続して得られた場合、メモリリークが発生していると検知して、アラートを出力する。図9は、メモリリークが発生している場合のメモリ使用率の変化の他の一例を示す図である。図9の例では、取得されたメモリ使用率が、当該メモリ使用率の取得時よりも前の第1期間の最小値より増加している部分にフラグ「1」を表示させている。このように、フラグ「1」の期間が第2期間連続した場合、アラートを出力することにより、異常の発生を早期に検知できる。   On the other hand, when a memory leak has occurred, the entire memory storage area cannot be released, so the memory usage rate increases and decreases, although it increases and decreases repeatedly. Therefore, the abnormality detection device 12 periodically acquires the memory usage rate of the server device 11. Then, the abnormality detection device 12 continuously obtains the determination result that the acquired detection value is larger than the minimum value of the detection value in the first period before the acquisition for the second period. If it is detected, a memory leak is detected and an alert is output. FIG. 9 is a diagram illustrating another example of a change in memory usage rate when a memory leak occurs. In the example of FIG. 9, the flag “1” is displayed in a portion where the acquired memory usage rate is higher than the minimum value of the first period before the acquisition of the memory usage rate. Thus, when the period of the flag “1” continues for the second period, the occurrence of an abnormality can be detected early by outputting an alert.

[処理の流れ]
本実施例に係る異常検知装置12が異常を検知する異常検知処理の流れについて説明する。図10は、異常検知処理の手順の一例を示すフローチャートである。この異常検知処理は、所定のタイミング、例えば、サーバ装置11から検出値を取得したタイミングで実行される。
[Process flow]
A flow of an abnormality detection process in which the abnormality detection device 12 according to the present embodiment detects an abnormality will be described. FIG. 10 is a flowchart illustrating an example of the procedure of the abnormality detection process. This abnormality detection process is executed at a predetermined timing, for example, a timing at which a detection value is acquired from the server device 11.

図10に示すように、取得部40は、サーバ装置11から検出値を取得すると、取得された検出値を時刻情報と共に第1待機セット30に格納する(S10)。取得部40は、第1待機セット30に格納された検出値のうち、第1期間内となった検出値を第1アクティブセット31に追加する(S11)。取得部40は、第1待機セット30に格納された検出値のうち、第1期間内となったデータを第1待機セット30から削除する(S12)。   As illustrated in FIG. 10, when the acquisition unit 40 acquires a detection value from the server device 11, the acquisition unit 40 stores the acquired detection value in the first standby set 30 together with time information (S10). The acquisition unit 40 adds the detection value stored in the first standby set 30 within the first period to the first active set 31 (S11). The acquisition unit 40 deletes the data within the first period from the detection values stored in the first standby set 30 from the first standby set 30 (S12).

判定部41は、第1アクティブセット31に記憶された検出値内での検出値の最小値を特定する(S13)。判定部41は、取得された検出値が、最小値としきい値を加算した値もより大きいかを判定する(S14)。検出値が加算した値よりも大きい場合(S14肯定)、フラグに「1(ON)」をセットする(S15)。一方、検出値が加算した値もより大きくはない場合(S14否定)、フラグに「0(OFF)」をセットする(S16)。   The determination unit 41 specifies the minimum value of the detection values within the detection values stored in the first active set 31 (S13). The determination unit 41 determines whether the acquired detected value is larger than the value obtained by adding the minimum value and the threshold (S14). When the detected value is larger than the added value (Yes in S14), “1 (ON)” is set in the flag (S15). On the other hand, if the detected value is not greater than the added value (No in S14), “0 (OFF)” is set in the flag (S16).

判定部41は、取得された検出値、時刻情報、フラグを第2待機セット32に格納する(S17)。出力部42は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる(S18)。また、出力部42は、第2アクティブセット33に格納された検出値のうち、第2期間外となった検出値を第2アクティブセット33から削除する(S19)。そして、出力部42は、第2アクティブセット33に記憶された検出値のフラグが全て「1」となっているか判定する(S20)。フラグが全て「1」となっている場合(S20肯定)、出力部42は、アラートを出力し(S21)、処理を終了する。一方、フラグが全て「1」となっていない場合(S20否定)、処理を終了する。   The determination unit 41 stores the acquired detection value, time information, and flag in the second standby set 32 (S17). The output unit 42 moves the detection value stored in the second standby set 32 within the second period to the second active set 33 (S18). Moreover, the output part 42 deletes the detection value which became out of the 2nd period among the detection values stored in the 2nd active set 33 from the 2nd active set 33 (S19). And the output part 42 determines whether all the flags of the detection value memorize | stored in the 2nd active set 33 are "1" (S20). When the flags are all “1” (Yes at S20), the output unit 42 outputs an alert (S21) and ends the process. On the other hand, if all the flags are not “1” (No at S20), the process is terminated.

[効果]
上述してきたように、本実施例に係る異常検知装置12は、監視対象の状態を示す検出値を取得する。異常検知装置12は、取得した検出値ごとに、当該検出値が、取得時よりも前である特定期間(第1期間)での検出値の最小値よりも大きいかを判定する。異常検知装置12は、検出値が特定期間での検出値の最小値よりも大きいとの判定結果が所定時間(第2期間)以上にわたり連続して得られた場合、アラートを出力する。これにより、異常検知装置12は、異常の発生を早期に検出できる。
[effect]
As described above, the abnormality detection device 12 according to the present embodiment acquires a detection value indicating the state of the monitoring target. The abnormality detection device 12 determines, for each acquired detection value, whether the detection value is greater than the minimum value of the detection values in a specific period (first period) before the acquisition time. The abnormality detection device 12 outputs an alert when the determination result that the detected value is larger than the minimum value of the detected value in the specific period is continuously obtained for a predetermined time (second period) or longer. Thereby, the abnormality detection device 12 can detect the occurrence of abnormality at an early stage.

また、本実施例に係る異常検知装置12は、検出値をメモリの使用率とする。これにより、異常検知装置12は、メモリリークの発生を早期に検出できる。   Further, the abnormality detection device 12 according to the present embodiment uses the detected value as the memory usage rate. Thereby, the abnormality detection device 12 can detect the occurrence of the memory leak at an early stage.

ここで、実施例1に係る異常検知装置12は、検出値が、取得時よりも前である特定期間での検出値の最小値よりも大きいかを判定する場合について説明したが、これに限定されない。例えば、実施例1に係る異常検知装置12は、取得した検出値ごとに、当該検出値が、取得時よりも前である特定期間での検出値の最大値よりも小さいかを判定する。そして、実施例1に係る異常検知装置12は、検出値が特定期間での検出値の最大値よりも小さいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力してもよい。この場合、本実施例に係る異常検知装置12は、検出値の最大値が減少する傾向がある異常を早期に検出できる。このように、第1期間での検出値の最大値の変化から異常を検知可能な検出値としては、例えば、メモリの空き率などが挙げられる。例えば、メモリリークが発生するとメモリの空き率が減少する傾向がある。このため、メモリの空き率が減少する傾向を検出することにより、メモリリークの発生を検知できる。   Here, the abnormality detection device 12 according to the first embodiment has been described with respect to the case where it is determined whether the detection value is larger than the minimum value of the detection value in the specific period before the acquisition, but the present invention is limited to this. Not. For example, the abnormality detection device 12 according to the first embodiment determines, for each acquired detection value, whether the detection value is smaller than the maximum value of the detection values in a specific period before the acquisition time. And the abnormality detection apparatus 12 which concerns on Example 1 outputs an alert, when the determination result that a detected value is smaller than the maximum value of the detected value in a specific period is obtained continuously over predetermined time or more. Also good. In this case, the abnormality detection device 12 according to the present embodiment can detect an abnormality in which the maximum detected value tends to decrease early. As described above, examples of the detection value that can detect an abnormality from the change in the maximum value of the detection value in the first period include a memory vacancy rate. For example, when a memory leak occurs, the memory vacancy rate tends to decrease. For this reason, the occurrence of a memory leak can be detected by detecting a tendency for the memory vacancy rate to decrease.

次に、実施例2について説明する。実施例2にかかるシステム10の構成は、図1に示した実施例1の構成と同様であるため、説明を省略する。   Next, Example 2 will be described. The configuration of the system 10 according to the second embodiment is the same as the configuration of the first embodiment illustrated in FIG.

[異常検知装置の構成]
実施例2に係る異常検知装置の機能的な構成を説明する。図11は、異常検知装置の機能的な構成の一例を示す図である。なお、図2に示した実施例1に係る異常検知装置12と同一部分については同一の符号を付し、主に異なる部分について説明する。図11に示すように、異常検知装置12の記憶部23は、第3待機セット34と、第3アクティブセット35とをさらに記憶する。
[Configuration of anomaly detection device]
A functional configuration of the abnormality detection apparatus according to the second embodiment will be described. FIG. 11 is a diagram illustrating an example of a functional configuration of the abnormality detection apparatus. The same parts as those of the abnormality detection device 12 according to the first embodiment shown in FIG. 2 are denoted by the same reference numerals, and different parts will be mainly described. As illustrated in FIG. 11, the storage unit 23 of the abnormality detection device 12 further stores a third standby set 34 and a third active set 35.

第3アクティブセット35は、異常の検知の対象となる期間のデータを保持するためのデータ領域である。例えば、本実施例では、第2期間において、取得された検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られるかを判定する。そして、本実施例では、第2期間において、取得された検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られる期間が所定の第3期間連続して得られた場合、アラートを出力する。この第1期間は、検出値の取得時から所定時間間隔をあけており、例えば、5分〜30分の期間とする。また、第2期間は、検出値の取得時を含む期間としており、例えば、0分〜30分の期間とする。また、第3期間は、検出値の取得時を含む期間としており、例えば、0分〜30分の期間とする。第3アクティブセット35には、第2期間において、取得された検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られる期間が第3期間連続したかを判定するためのデータを記憶させる。   The third active set 35 is a data area for holding data of a period that is a target of abnormality detection. For example, in the present embodiment, in the second period, it is determined whether the determination result that the acquired detection value is larger than the maximum value in the first period is obtained at least once. In the present embodiment, in the second period, a period in which the determination result that the acquired detection value is larger than the maximum value in the first period is obtained at least once is obtained continuously for a predetermined third period. If an alert is issued, an alert is output. This first period has a predetermined time interval from when the detection value is acquired, and is, for example, a period of 5 minutes to 30 minutes. Further, the second period is a period including the time of acquisition of the detection value, and is, for example, a period of 0 minutes to 30 minutes. Further, the third period is a period including the time of acquisition of the detection value, and is, for example, a period of 0 minutes to 30 minutes. In the third active set 35, in the second period, it is determined whether or not the period in which the determination result that the acquired detection value is larger than the maximum value in the first period is obtained at least once has continued for the third period. To store data.

第3待機セット34は、異常の検知の対象となる期間の前のデータを保持するためのデータ領域である。   The third standby set 34 is a data area for holding data before a period to be detected for abnormality.

図12は、第3待機セットのデータ構成の一例を示す図である。図12に示すように、第3待機セット34は、「時刻」、「検出値」、「フラグ」、「連続フラグ」の各項目を有する。時刻の項目は、検出値が取得された時刻情報を記憶する領域である。検出値の項目は、取得された検出値を記憶する領域である。フラグの項目は、第1期間のデータの状態を判定した結果を示したフラグを記憶する領域である。連続フラグの項目は、第2期間のデータの状態を判定した結果を示したフラグを記憶する領域である。第3待機セット34には、検出値が取得される毎に、取得された検出値が時刻情報、フラグ、連続フラグと共に格納される。   FIG. 12 is a diagram illustrating an example of a data configuration of the third standby set. As shown in FIG. 12, the third standby set 34 has items of “time”, “detected value”, “flag”, and “continuous flag”. The time item is an area for storing time information at which the detected value is acquired. The detection value item is an area for storing the acquired detection value. The flag item is an area for storing a flag indicating the result of determining the data state in the first period. The item of the continuous flag is an area for storing a flag indicating the result of determining the data state in the second period. Each time a detection value is acquired, the acquired detection value is stored in the third standby set 34 together with time information, a flag, and a continuous flag.

図13は、第3アクティブセットのデータ構成の一例を示す図である。図13に示すように、第3アクティブセット35は、上述の第3待機セット34と同様の構成とされており、「時刻」、「検出値」、「フラグ」、「連続フラグ」の各項目を有する。第3アクティブセット35には、第3待機セット34に格納された検出値のうち、時刻が第3期間内となった検出値が時刻情報、フラグ、連続フラグと共に格納される。   FIG. 13 is a diagram illustrating an example of a data configuration of the third active set. As shown in FIG. 13, the third active set 35 has the same configuration as the third standby set 34 described above, and each item of “time”, “detected value”, “flag”, and “continuous flag”. Have Of the detection values stored in the third standby set 34, the detection value whose time is within the third period is stored in the third active set 35 together with time information, a flag, and a continuous flag.

また、図11に示すように、異常検知装置12の制御部22は、第1判定部43と、第2判定部44を有する。   Further, as shown in FIG. 11, the control unit 22 of the abnormality detection device 12 includes a first determination unit 43 and a second determination unit 44.

第1判定部43は、取得された検出値に対して、各種の判定を行う。例えば、第1判定部43は、実施例1の判定部41と同様に、取得部40により取得した検出値ごとに、当該検出値が、取得時よりも前である第1期間での検出値の最大値よりも大きいかを判定する。例えば、判定部41は、取得部40により検出値が取得される毎に、第1アクティブセット31に記憶された検出値内での検出値の最大値を特定する。この第1アクティブセット31に記憶された検出値の最大値は、第1期間での検出値の最大値である。判定部41は、検出値が取得される毎に、取得された検出値を第1期間の検出値の最大値と比較して、取得された検出値が第1期間の検出値の最大値よりも大きいかを判定する。   The first determination unit 43 performs various determinations on the acquired detection value. For example, the first determination unit 43 detects, for each detection value acquired by the acquisition unit 40, the detection value in the first period before the acquisition, as in the determination unit 41 of the first embodiment. It is determined whether it is larger than the maximum value. For example, each time the detection value is acquired by the acquisition unit 40, the determination unit 41 specifies the maximum value of the detection value within the detection value stored in the first active set 31. The maximum detection value stored in the first active set 31 is the maximum detection value in the first period. Each time the detection value is acquired, the determination unit 41 compares the acquired detection value with the maximum value of the detection value in the first period, and the acquired detection value is greater than the maximum value of the detection value in the first period. Is also determined to be larger.

第1判定部43は、取得された検出値を時刻情報と共に第2待機セット32に格納する。また、第1判定部43は、判定結果として、最新の検出値が第1期間での検出値の最大値よりも大きいか否かを示すフラグを第2待機セット32に格納する。   The first determination unit 43 stores the acquired detection value in the second standby set 32 together with time information. Further, the first determination unit 43 stores a flag indicating whether or not the latest detection value is larger than the maximum detection value in the first period in the second standby set 32 as a determination result.

第2判定部44は、第1判定部43の判定の結果を用いて、各種の判定を行う。例えば、第2判定部44は、第2期間において、取得された検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られるかを判定する。例えば、第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。また、第2判定部44は、第2アクティブセット33に格納された検出値のうち、第2期間外となった検出値を第2アクティブセット33から削除する。そして、第2判定部44は、取得部40により検出値が取得される毎に、第2アクティブセット33に記憶された検出値の何れかでフラグが1のものがあるか判定する。   The second determination unit 44 performs various determinations using the determination results of the first determination unit 43. For example, the second determination unit 44 determines whether or not the determination result that the acquired detection value is larger than the maximum value in the first period is obtained at least once in the second period. For example, the second determination unit 44 moves the detection values stored in the second standby set 32 within the second period to the second active set 33. In addition, the second determination unit 44 deletes, from the second active set 33, detection values that are outside the second period among the detection values stored in the second active set 33. Then, every time a detection value is acquired by the acquisition unit 40, the second determination unit 44 determines whether any of the detection values stored in the second active set 33 has a flag of 1.

第2判定部44は、取得された検出値、時刻情報、フラグを第3待機セット34に格納する。また、第2判定部44は、第2アクティブセット33に記憶された検出値の何れかでフラグが1のものがあるか否かを示す連続フラグを第3待機セット34に格納する。   The second determination unit 44 stores the acquired detection value, time information, and flag in the third standby set 34. In addition, the second determination unit 44 stores a continuous flag in the third standby set 34 indicating whether or not there is a flag of 1 in any of the detection values stored in the second active set 33.

出力部42は、第3期間における判定の結果に基づいて、異常が発生したか否かの検知を行う。そして、出力部42は、異常が発生したことが検知された場合、アラートを出力する。例えば、出力部42は、第2期間において、検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られるとの判定の結果が第3期間の間連続して得られた場合、異常が発生しているものとして、アラートを出力する。例えば、出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。また、出力部42は、第3アクティブセット35に格納された検出値のうち、第3期間外となった検出値を第3アクティブセット35から削除する。そして、出力部42は、取得部40により検出値が取得される毎に、第3アクティブセット35に記憶された検出値が全て、検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られると判定されたものである場合、アラートを出力する。   The output unit 42 detects whether or not an abnormality has occurred based on the determination result in the third period. The output unit 42 outputs an alert when it is detected that an abnormality has occurred. For example, in the second period, the output unit 42 continuously determines that the determination result that the detected value is larger than the maximum value in the first period is obtained at least once during the third period. If obtained, an alert is output assuming that an abnormality has occurred. For example, the output unit 42 moves the detection value within the third period among the detection values stored in the third standby set 34 to the third active set 35. In addition, the output unit 42 deletes, from the third active set 35, the detection values that are outside the third period among the detection values stored in the third active set 35. Then, each time the detection value is acquired by the acquisition unit 40, the output unit 42 determines that all the detection values stored in the third active set 35 are larger than the maximum value in the first period. If it is determined that the result is obtained at least once, an alert is output.

ここで、具体例を用いて説明する。本実施例では、監視対象をサーバ装置11とし、検出値としてサーバ装置11のCPUの利用率を取得し、異常として、サーバ装置11の異常の発生を検知する場合を例に説明する。また、本実施例では、第1期間を2分〜4分前の期間とし、第2期間を0分〜3分前の期間とし、第3期間を0分〜6分前の期間とする。また、本実施例では、検出値が第1期間の最大値よりしきい値「5」以上大きい状態が第2期間連続した場合にCPUの異常が発生したと検知する場合を例に説明する。図14A〜図14Mは、CPUの異常の発生を検知する際の流れの一例を示す図である。図14A〜図14Mには、サーバ装置11で1分毎に検出されるCPUの利用率の一例が示されている。また、図14A〜図14Mには、第1待機セット30、第1アクティブセット31、第2待機セット32、第2アクティブセット33、第3待機セット34および第3アクティブセット35に格納されるデータの変化の一例が示されている。なお、図14A〜図14Mの例でも、時刻の経過を把握しやくするため、時刻を図14Aの時点を基準(00:00)として示している。また、図14A〜図14Mの例では、入力として、各時刻で取得されるCPUの利用率が示されている。   Here, it demonstrates using a specific example. In the present embodiment, an example will be described in which the monitoring target is the server device 11, the CPU usage rate of the server device 11 is acquired as a detection value, and the occurrence of an abnormality in the server device 11 is detected as an abnormality. In the present embodiment, the first period is a period from 2 minutes to 4 minutes ago, the second period is a period from 0 minutes to 3 minutes ago, and the third period is a period from 0 minutes to 6 minutes ago. Further, in this embodiment, a case will be described as an example in which it is detected that an abnormality of the CPU has occurred when a state where the detected value is greater than the maximum value of the first period by a threshold value “5” or more continues for the second period. 14A to 14M are diagrams illustrating an example of a flow when detecting the occurrence of an abnormality in the CPU. FIG. 14A to FIG. 14M show an example of the CPU usage rate detected by the server device 11 every minute. 14A to 14M show data stored in the first standby set 30, the first active set 31, the second standby set 32, the second active set 33, the third standby set 34, and the third active set 35. An example of the change is shown. In the examples of FIGS. 14A to 14M, the time is shown with the time point of FIG. 14A as a reference (00:00) in order to make it easier to grasp the passage of time. In the examples of FIGS. 14A to 14M, the CPU utilization rate acquired at each time is shown as an input.

図14Aに示すように、取得部40は、時刻「00:00」にサーバ装置11のCPUの利用率「80」が取得されると、時刻「00:00」およびCPUの利用率「80」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、第1アクティブセット31にはデータの格納は行わない。第1アクティブセット31にデータが格納されていないため、第1アクティブセット31に格納されたCPUの利用率の最大値は、未定である。取得されたCPUの利用率「80」は、第1アクティブセット31に格納されたCPUの利用率の最大値と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:00」、CPUの利用率「80」を第2待機セット32に格納する。   As illustrated in FIG. 14A, when the CPU usage rate “80” of the server apparatus 11 is acquired at time “00:00”, the acquisition unit 40 acquires the time “00:00” and the CPU usage rate “80”. Are stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. For this reason, the acquisition unit 40 does not store data in the first active set 31. Since no data is stored in the first active set 31, the maximum value of the CPU usage rate stored in the first active set 31 is undetermined. The acquired CPU usage rate “80” is not larger than a value obtained by adding the maximum value of the CPU usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the time “00:00” and the CPU usage rate “80” in the second standby set 32 as the flag “0”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Aの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:00」、CPUの利用率「80」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14A, since the second period is a period from 0 to 3 minutes ago, the time “00:00”, the CPU usage rate “80”, and the flag “0” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:00」、CPUの利用率「80」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Aの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:00」、CPUの利用率「80」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   In the data of the second active set 33, all the flags are “0”. Therefore, the second determination unit 44 stores the time “00:00”, the CPU usage rate “80”, and the flag “0” in the third standby set 34 as the continuous flag “0”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14A, since the third period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:00”, the CPU usage rate “80”, the flag “0”, the continuous flag “ “0” is stored in the third active set 35 and the third standby set 34 is empty.

次に、図14Bに示すように、取得部40は、時刻「00:01」にサーバ装置11のCPUの利用率「83」が取得されると、時刻「00:01」およびCPUの利用率「83」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、第1アクティブセット31にはデータの格納は行わない。第1アクティブセット31にデータが格納されていないため、第1アクティブセット31に格納されたCPUの利用率の最大値は、未定である。取得されたCPUの利用率「83」は、第1アクティブセット31に格納されたCPUの利用率の最大値と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:01」、CPUの利用率「83」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14B, when the CPU usage rate “83” of the server apparatus 11 is acquired at time “00:01”, the acquisition unit 40 acquires the time “00:01” and the CPU usage rate. “83” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. For this reason, the acquisition unit 40 does not store data in the first active set 31. Since no data is stored in the first active set 31, the maximum value of the CPU usage rate stored in the first active set 31 is undetermined. The acquired CPU utilization rate “83” is not greater than the value obtained by adding the maximum value of the CPU utilization rate stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the time “00:01” and the CPU usage rate “83” in the second standby set 32 as the flag “0”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Bの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:01」、CPUの利用率「83」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14B, since the second period is a period from 0 to 3 minutes ago, the time “00:01”, the CPU usage rate “83”, and the flag “0” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:01」、CPUの利用率「83」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Bの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:01」、CPUの利用率「83」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   In the data of the second active set 33, all the flags are “0”. Therefore, the second determination unit 44 stores the time “00:01”, the CPU usage rate “83”, and the flag “0” in the third standby set 34 as the continuous flag “0”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14B, since the third period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:01”, the CPU usage rate “83”, the flag “0”, the continuous flag “ “0” is stored in the third active set 35 and the third standby set 34 is empty.

次に、図14Cに示すように、取得部40は、時刻「00:02」にサーバ装置11のCPUの利用率「14」が取得されると、時刻「00:02」およびCPUの利用率「14」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:00」、検出値「80」を第1アクティブセット31に格納する。CPUの利用率「14」は、第1アクティブセット31に格納されたCPUの利用率の最大値「80」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:02」、CPUの利用率「14」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14C, when the CPU usage rate “14” of the server apparatus 11 is acquired at time “00:02”, the acquisition unit 40 acquires the time “00:02” and the CPU usage rate. “14” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:00” and the detection value “80” in the first active set 31. The CPU usage rate “14” is not larger than the value obtained by adding the maximum value “80” of the CPU usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the time “00:02” and the CPU usage rate “14” in the second standby set 32 as the flag “0”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Cの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:02」、CPUの利用率「14」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14C, since the second period is a period from 0 minutes to 3 minutes ago, the time “00:02”, the CPU usage rate “14”, and the flag “0” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:02」、CPUの利用率「14」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Cの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:02」、CPUの利用率「14」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   In the data of the second active set 33, all the flags are “0”. Therefore, the second determination unit 44 stores the time “00:02”, the CPU usage rate “14”, and the flag “0” in the third standby set 34 as the continuous flag “0”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14C, since the third period is a period from 0 minutes to 6 minutes ago, as a result of the movement, the time “00:02”, the CPU usage rate “14”, the flag “0”, the continuous flag “ “0” is stored in the third active set 35 and the third standby set 34 is empty.

次に、図14Dに示すように、取得部40は、時刻「00:03」にサーバ装置11のCPUの利用率「38」が取得されると、時刻「00:03」およびCPUの利用率「38」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:01」、検出値「83」を第1アクティブセット31に格納する。CPUの利用率「38」は、第1アクティブセット31に格納されたCPUの利用率の最大値「83」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:03」、CPUの利用率「38」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14D, when the CPU usage rate “38” of the server apparatus 11 is acquired at time “00:03”, the acquisition unit 40 acquires the time “00:03” and the CPU usage rate. “38” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:01” and the detection value “83” in the first active set 31. The CPU usage rate “38” is not larger than the value obtained by adding the maximum value “83” of the CPU usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the time “00:03” and the CPU usage rate “38” in the second standby set 32 as the flag “0”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Dの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:03」、CPUの利用率「38」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14D, since the second period is a period from 0 minutes to 3 minutes ago, the time “00:03”, the CPU usage rate “38”, and the flag “0” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:03」、CPUの利用率「38」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Dの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:03」、CPUの利用率「38」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   In the data of the second active set 33, all the flags are “0”. Therefore, the second determination unit 44 stores the time “00:03”, the CPU usage rate “38”, and the flag “0” in the third standby set 34 as the continuous flag “0”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14D, since the third period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:03”, the CPU usage rate “38”, the flag “0”, and the continuous flag “ “0” is stored in the third active set 35 and the third standby set 34 is empty.

次に、図14Eに示すように、取得部40は、時刻「00:04」にサーバ装置11のCPUの利用率「15」が取得されると、時刻「00:04」およびCPUの利用率「15」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:02」、検出値「14」を第1アクティブセット31に格納する。CPUの利用率「15」は、第1アクティブセット31に格納されたCPUの利用率の最大値「83」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:04」、CPUの利用率「15」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14E, when the CPU usage rate “15” of the server apparatus 11 is acquired at time “00:04”, the acquisition unit 40 acquires the time “00:04” and the CPU usage rate. “15” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:02” and the detection value “14” in the first active set 31. The CPU usage rate “15” is not larger than the sum of the CPU usage rate maximum value “83” stored in the first active set 31 and the threshold value “5”. For this reason, the first determination unit 43 stores the time “00:04” and the CPU usage rate “15” in the second standby set 32 as the flag “0”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Eの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:04」、CPUの利用率「15」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14E, since the second period is a period from 0 minutes to 3 minutes ago, the time “00:04”, the CPU usage rate “15”, and the flag “0” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:04」、CPUの利用率「15」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Eの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:04」、CPUの利用率「15」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   In the data of the second active set 33, all the flags are “0”. Therefore, the second determination unit 44 stores the time “00:04”, the CPU usage rate “15”, and the flag “0” in the third standby set 34 as the continuous flag “0”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14E, since the third period is a period from 0 minutes to 6 minutes ago, as a result of the movement, the time “00:04”, the CPU usage rate “15”, the flag “0”, the continuous flag “ “0” is stored in the third active set 35 and the third standby set 34 is empty.

次に、図14Fに示すように、取得部40は、時刻「00:05」にサーバ装置11のCPUの利用率「53」が取得されると、時刻「00:05」およびCPUの利用率「53」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:03」、検出値「38」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:00」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「53」は、第1アクティブセット31に格納されたCPUの利用率の最大値「83」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:05」、CPUの利用率「53」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14F, when the CPU usage rate “53” of the server apparatus 11 is acquired at time “00:05”, the acquisition unit 40 acquires the time “00:05” and the CPU usage rate. “53” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:03” and the detection value “38” in the first active set 31. In addition, since the data at time “00:00” is outside the first period, the acquisition unit 40 deletes the data from the first active set 31. The CPU usage rate “53” is not larger than the sum of the CPU usage rate maximum value “83” stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the time “00:05” and the CPU usage rate “53” in the second standby set 32 as the flag “0”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Fの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:05」、CPUの利用率「53」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14F, since the second period is a period from 0 minutes to 3 minutes ago, the time “00:05”, the CPU usage rate “53”, and the flag “0” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、何れのフラグも「0」である。このため、第2判定部44は、連続フラグ「0」として、時刻「00:05」、CPUの利用率「53」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Fの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:05」、CPUの利用率「53」、フラグ「0」、連続フラグ「0」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   In the data of the second active set 33, all the flags are “0”. Therefore, the second determination unit 44 stores the time “00:05”, the CPU usage rate “53”, and the flag “0” in the third standby set 34 as the continuous flag “0”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14F, since the third period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:05”, the CPU usage rate “53”, the flag “0”, the continuous flag “ “0” is stored in the third active set 35 and the third standby set 34 is empty.

次に、図14Gに示すように、取得部40は、時刻「00:06」にサーバ装置11のCPUの利用率「45」が取得されると、時刻「00:06」およびCPUの利用率「45」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:04」、検出値「15」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:01」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「45」は、第1アクティブセット31に格納されたCPUの利用率の最大値「38」と、しきい値「5」とを加算した値より大きい。このため、第1判定部43は、フラグ「1」として、時刻「00:06」、CPUの利用率「45」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14G, when the CPU usage rate “45” of the server apparatus 11 is acquired at time “00:06”, the acquisition unit 40 acquires the time “00:06” and the CPU usage rate. “45” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:04” and the detection value “15” in the first active set 31. In addition, since the data at time “00:01” is outside the first period, the acquisition unit 40 deletes the data from the first active set 31. The CPU utilization rate “45” is larger than the value obtained by adding the maximum value “38” of the CPU utilization rate stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the time “00:06” and the CPU usage rate “45” in the second standby set 32 as the flag “1”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Gの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:06」、CPUの利用率「45」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14G, since the second period is a period from 0 minutes to 3 minutes ago, the time “00:06”, the CPU usage rate “45”, and the flag “1” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:06」、CPUの利用率「45」、フラグ「1」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Gの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:06」、CPUの利用率「45」、フラグ「1」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   The data of the second active set 33 includes a flag “1”. Therefore, the second determination unit 44 stores the time “00:06”, the CPU usage rate “45”, and the flag “1” in the third standby set 34 as the continuous flag “1”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14G, since the third period is a period from 0 minutes to 6 minutes ago, as a result of the movement, the time “00:06”, the CPU usage rate “45”, the flag “1”, the continuous flag “ 1 "is stored in the third active set 35, and the third standby set 34 is empty.

次に、図14Hに示すように、取得部40は、時刻「00:07」にサーバ装置11のCPUの利用率「23」が取得されると、時刻「00:07」およびCPUの利用率「23」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:05」、検出値「53」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:02」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「23」は、第1アクティブセット31に格納されたCPUの利用率の最大値「53」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:07」、CPUの利用率「23」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14H, when the CPU usage rate “23” of the server apparatus 11 is acquired at time “00:07”, the acquisition unit 40 acquires the time “00:07” and the CPU usage rate. “23” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:05” and the detection value “53” in the first active set 31. In addition, since the data at time “00:02” is outside the first period, the acquisition unit 40 deletes the data from the first active set 31. The CPU usage rate “23” is not larger than the value obtained by adding the maximum value “53” of the CPU usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the time “00:07” and the CPU usage rate “23” in the second standby set 32 as the flag “0”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Hの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:07」、CPUの利用率「23」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14H, since the second period is a period from 0 minutes to 3 minutes ago, the time “00:07”, the CPU usage rate “23”, and the flag “0” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:07」、CPUの利用率「23」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Hの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:07」、CPUの利用率「23」、フラグ「0」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   The data of the second active set 33 includes a flag “1”. Therefore, the second determination unit 44 stores the time “00:07”, the CPU usage rate “23”, and the flag “0” in the third standby set 34 as the continuous flag “1”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14H, since the third period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:07”, the CPU usage rate “23”, the flag “0”, the continuous flag “ 1 "is stored in the third active set 35, and the third standby set 34 is empty.

次に、図14Iに示すように、取得部40は、時刻「00:08」にサーバ装置11のCPUの利用率「38」が取得されると、時刻「00:08」およびCPUの利用率「38」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:06」、検出値「45」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:03」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「38」は、第1アクティブセット31に格納されたCPUの利用率の最大値「53」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:08」、CPUの利用率「38」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14I, when the CPU usage rate “38” of the server apparatus 11 is acquired at time “00:08”, the acquiring unit 40 acquires the time “00:08” and the CPU usage rate. “38” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:06” and the detection value “45” in the first active set 31. In addition, since the data at time “00:03” is outside the first period, the acquisition unit 40 deletes the data from the first active set 31. The CPU usage rate “38” is not greater than the value obtained by adding the maximum value “53” of the CPU usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the time “00:08” and the CPU usage rate “38” in the second standby set 32 as the flag “0”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Iの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:08」、CPUの利用率「38」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14I, since the second period is a period from 0 to 3 minutes ago, as a result of the movement, the time “00:08”, the CPU usage rate “38”, and the flag “0” are the second active. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:08」、CPUの利用率「38」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Iの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:08」、CPUの利用率「38」、フラグ「0」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   The data of the second active set 33 includes a flag “1”. Therefore, the second determination unit 44 stores the time “00:08”, the CPU usage rate “38”, and the flag “0” in the third standby set 34 as the continuous flag “1”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14I, since the third period is a period from 0 to 6 minutes ago, as a result of the movement, the time “00:08”, the CPU usage rate “38”, the flag “0”, the continuous flag “ 1 "is stored in the third active set 35, and the third standby set 34 is empty.

次に、図14Jに示すように、取得部40は、時刻「00:09」にサーバ装置11のCPUの利用率「18」が取得されると、時刻「00:09」およびCPUの利用率「18」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:07」、検出値「23」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:04」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「18」は、第1アクティブセット31に格納されたCPUの利用率の最大値「53」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:09」、CPUの利用率「18」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14J, when the CPU usage rate “18” of the server apparatus 11 is acquired at time “00:09”, the acquisition unit 40 acquires the time “00:09” and the CPU usage rate. “18” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:07” and the detection value “23” in the first active set 31. In addition, since the data at time “00:04” is out of the first period, the acquisition unit 40 deletes the data from the first active set 31. The CPU utilization rate “18” is not larger than the value obtained by adding the maximum value “53” of the CPU utilization rate stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the time “00:09” and the CPU usage rate “18” in the second standby set 32 as the flag “0”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Jの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:09」、CPUの利用率「18」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14J, since the second period is a period from 0 minutes to 3 minutes ago, the time “00:09”, the CPU utilization rate “18”, and the flag “0” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:09」、CPUの利用率「18」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Jの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:09」、CPUの利用率「18」、フラグ「0」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   The data of the second active set 33 includes a flag “1”. Therefore, the second determination unit 44 stores the time “00:09”, the CPU usage rate “18”, and the flag “0” in the third standby set 34 as the continuous flag “1”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14J, since the third period is a period from 0 minutes to 6 minutes ago, as a result of the movement, the time “00:09”, the CPU usage rate “18”, the flag “0”, the continuous flag “ 1 "is stored in the third active set 35, and the third standby set 34 is empty.

次に、図14Kに示すように、取得部40は、時刻「00:10」にサーバ装置11のCPUの利用率「85」が取得されると、時刻「00:10」およびCPUの利用率「85」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:08」、検出値「38」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:05」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「85」は、第1アクティブセット31に格納されたCPUの利用率の最大値「45」と、しきい値「5」とを加算した値より大きい。このため、第1判定部43は、フラグ「1」として、CPUの利用率「85」および時刻「00:10」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14K, when the CPU usage rate “85” of the server apparatus 11 is acquired at the time “00:10”, the acquiring unit 40 acquires the time “00:10” and the CPU usage rate. “85” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:08” and the detection value “38” in the first active set 31. In addition, since the data at time “00:05” is outside the first period, the acquiring unit 40 deletes the data from the first active set 31. The CPU usage rate “85” is larger than the value obtained by adding the maximum value “45” of the CPU usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the CPU usage rate “85” and the time “00:10” in the second standby set 32 as the flag “1”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Kの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:10」、CPUの利用率「85」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14K, since the second period is a period from 0 minutes to 3 minutes ago, the time “00:10”, the CPU usage rate “85”, and the flag “1” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:10」、CPUの利用率「85」、フラグ「1」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Jの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:10」、CPUの利用率「85」、フラグ「1」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   The data of the second active set 33 includes a flag “1”. Therefore, the second determination unit 44 stores the time “00:10”, the CPU usage rate “85”, and the flag “1” in the third standby set 34 as the continuous flag “1”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14J, since the third period is a period from 0 minutes to 6 minutes ago, as a result of the movement, the time “00:10”, the CPU usage rate “85”, the flag “1”, the continuous flag “ 1 "is stored in the third active set 35, and the third standby set 34 is empty.

次に、図14Lに示すように、取得部40は、時刻「00:11」にサーバ装置11のCPUの利用率「41」が取得されると、時刻「00:11」およびCPUの利用率「41」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:09」、検出値「18」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:06」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「41」は、第1アクティブセット31に格納されたCPUの利用率の最大値「38」と、しきい値「5」とを加算した値より大きくはない。このため、第1判定部43は、フラグ「0」として、時刻「00:11」、CPUの利用率「41」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14L, when the CPU usage rate “41” of the server apparatus 11 is acquired at time “00:11”, the acquisition unit 40 acquires the time “00:11” and the CPU usage rate. “41” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:09” and the detection value “18” in the first active set 31. In addition, since the data at time “00:06” is outside the first period, the acquisition unit 40 deletes the data from the first active set 31. The CPU usage rate “41” is not larger than the value obtained by adding the maximum value “38” of the CPU usage rate stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the time “00:11” and the CPU usage rate “41” in the second standby set 32 as the flag “0”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Lの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:11」、CPUの利用率「41」、フラグ「0」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14L, since the second period is a period from 0 minutes to 3 minutes ago, the time “00:11”, the CPU usage rate “41”, and the flag “0” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:11」、CPUの利用率「41」、フラグ「0」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Lの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:11」、CPUの利用率「41」、フラグ「0」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   The data of the second active set 33 includes a flag “1”. Therefore, the second determination unit 44 stores the time “00:11”, the CPU usage rate “41”, and the flag “0” in the third standby set 34 as the continuous flag “1”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14L, since the third period is a period from 0 minutes to 6 minutes ago, as a result of the movement, the time “00:11”, the CPU usage rate “41”, the flag “0”, the continuous flag “ 1 "is stored in the third active set 35, and the third standby set 34 is empty.

次に、図14Mに示すように、取得部40は、時刻「00:12」にサーバ装置11のCPUの利用率「96」が取得されると、時刻「00:12」およびCPUの利用率「96」を第1待機セット30に格納する。第1期間は、2分〜4分前の期間である。このため、取得部40は、時刻「00:10」、検出値「85」を第1アクティブセット31に格納する。また、取得部40は、時刻「00:07」のデータが第1期間外となったため、第1アクティブセット31から削除する。CPUの利用率「96」は、第1アクティブセット31に格納されたCPUの利用率の最大値「85」と、しきい値「5」とを加算した値より大きい。このため、第1判定部43は、フラグ「1」として、時刻「00:12」、CPUの利用率「96」を第2待機セット32に格納する。   Next, as illustrated in FIG. 14M, when the CPU usage rate “96” of the server apparatus 11 is acquired at time “00:12”, the acquiring unit 40 acquires the time “00:12” and the CPU usage rate. “96” is stored in the first standby set 30. The first period is a period from 2 minutes to 4 minutes ago. Therefore, the acquisition unit 40 stores the time “00:10” and the detection value “85” in the first active set 31. In addition, since the data at time “00:07” is outside the first period, the acquisition unit 40 deletes the data from the first active set 31. The CPU utilization rate “96” is larger than the value obtained by adding the maximum value “85” of the CPU utilization rate stored in the first active set 31 and the threshold value “5”. Therefore, the first determination unit 43 stores the time “00:12” and the CPU usage rate “96” in the second standby set 32 as the flag “1”.

第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる。図14Mの例では、第2期間内が0分〜3分前の期間であるため、移動の結果、時刻「00:12」、CPUの利用率「96」、フラグ「1」が第2アクティブセット33に格納され、第2待機セット32が空となっている。   The second determination unit 44 moves the detection value stored in the second standby set 32 within the second period to the second active set 33. In the example of FIG. 14M, since the second period is a period from 0 minutes to 3 minutes ago, the time “00:12”, the CPU usage rate “96”, and the flag “1” are the second active as a result of the movement. It is stored in the set 33, and the second standby set 32 is empty.

第2アクティブセット33のデータは、フラグ「1」を含む。このため、第2判定部44は、連続フラグ「1」として、時刻「00:12」、CPUの利用率「96」、フラグ「1」を第3待機セット34に格納する。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる。図14Mの例では、第3期間内が0分〜6分前の期間であるため、移動の結果、時刻「00:12」、CPUの利用率「96」、フラグ「1」、連続フラグ「1」が第3アクティブセット35に格納され、第3待機セット34が空となっている。   The data of the second active set 33 includes a flag “1”. Therefore, the second determination unit 44 stores the time “00:12”, the CPU usage rate “96”, and the flag “1” in the third standby set 34 as the continuous flag “1”. The output unit 42 moves the detection value stored in the third standby set 34 within the third period to the third active set 35. In the example of FIG. 14M, since the third period is a period from 0 minutes to 6 minutes ago, the time “00:12”, the CPU usage rate “96”, the flag “1”, the continuous flag “ 1 "is stored in the third active set 35, and the third standby set 34 is empty.

ここで、図14Mに示す第3アクティブセット35に格納された第3の期間の各データは、全て連続フラグが1となっている。この図14Mに示す状態は、取得された検出値が第1期間での最大値よりも大きいとの判定の結果が少なくとも1回得られる期間が第3期間連続した状態である。出力部42は、第3アクティブセット35に記憶された各データの連続フラグが全て「1」である場合、アラートを出力する。   Here, all the data in the third period stored in the third active set 35 shown in FIG. The state shown in FIG. 14M is a state in which a period in which the result of determination that the acquired detected value is larger than the maximum value in the first period is obtained at least once is a third period. The output unit 42 outputs an alert when all the continuous flags of each data stored in the third active set 35 are “1”.

例えば、サーバ装置11では、プロセスを起動するとCPUの利用率が上がり、停止するとCPUの利用率が下がるため、CPUの利用率が瞬間的に大きく増加し、すぐに元に戻る性質を持つ。   For example, the server device 11 has a property that when the process is started, the CPU usage rate increases, and when the process is stopped, the CPU usage rate decreases instantaneously, so that the CPU usage rate increases greatly instantaneously and returns immediately.

図15は、CPUの利用率の変化の一例を示す図である。図15に示すように、CPUの利用率は、瞬間的に大きく増加し、すぐに元に戻る性質を持つ。例えば、システム10が、サーバ装置11のCPUの利用率が一定以上に上がらないことを保証するシステムである場合、CPUの利用率が一定のしきい値以上をとなった場合に異常が発生したと検知すると、異常の発生の検知が遅くなる場合がある。例えば、CPUの利用率が一定のしきい値以上となったことの検知が、直前あるいは事後のタイミングとなってしまう。   FIG. 15 is a diagram illustrating an example of a change in the usage rate of the CPU. As shown in FIG. 15, the usage rate of the CPU has a property that increases greatly instantaneously and quickly returns to the original state. For example, when the system 10 is a system that guarantees that the CPU usage rate of the server device 11 does not rise above a certain level, an abnormality occurs when the CPU usage rate exceeds a certain threshold value. Detection of anomalies may be delayed. For example, detection that the usage rate of the CPU has reached a certain threshold or more is the timing immediately before or after.

そこで、異常検知装置12は、周期的にサーバ装置11のCPUの利用率を取得する。異常検知装置12は、取得したCPUの利用率が、取得時よりも前の第1期間でのCPUの利用率の最大値よりも大きいかを判定する。そして、異常検知装置12は、第2期間において、検出値が第1期間でのCPUの利用率の最大値よりも大きいとの判定の結果が少なくとも1回得られる状態が第3期間の間連続して得られた場合、アラートを出力する。図16は、CPUの利用率の変化の他の一例を示す図である。図16の例では、CPUの利用率が、CPUの利用率の取得時よりも前の第1期間の最大値より増加している部分にフラグ「1」を表示させている。また、図16の例では、CPUの利用率が、第1期間でのCPUの利用率の最大値よりも大きいとの判定の結果が少なくとも1回得られる部分に連続フラグ「1」を表示させている。このように、連続フラグ「1」の期間が第3期間連続した場合、アラートを出力することにより、CPUの利用率のように増加、減少の激しい、パルス的なデータの最大値の増加傾向を検知できるため、異常の発生を早期に検知できる。また、本実施例では、第1期間を検出値の取得時から所定時間間隔をあけており、取得時から所定時間を含まない前の期間としている。このように第1期間を取得時から間隔をあけた期間とすることで、直近の検出値の影響を抑制して大局的に増加しているかを検出できる。   Therefore, the abnormality detection device 12 periodically acquires the CPU usage rate of the server device 11. The abnormality detection device 12 determines whether the acquired CPU usage rate is larger than the maximum value of the CPU usage rate in the first period before the acquisition time. In the second period, the abnormality detection device 12 is continuously in a state where the result of determination that the detected value is larger than the maximum value of the CPU usage rate in the first period is obtained at least once during the third period. If it is obtained, an alert is output. FIG. 16 is a diagram illustrating another example of the change in the usage rate of the CPU. In the example of FIG. 16, the flag “1” is displayed in a portion where the CPU usage rate has increased from the maximum value of the first period before the CPU usage rate is acquired. In the example of FIG. 16, the continuous flag “1” is displayed in a portion where the result of determination that the CPU usage rate is larger than the maximum value of the CPU usage rate in the first period is obtained at least once. ing. In this way, when the period of the continuous flag “1” continues for the third period, by outputting an alert, the increase rate of the maximum value of the pulse data, which is increasing and decreasing rapidly as the CPU usage rate, is increased. Since it can be detected, the occurrence of an abnormality can be detected at an early stage. In the present embodiment, the first period is a predetermined time interval from the time when the detection value is acquired, and is a period before the predetermined time is not included since the acquisition time. In this way, by setting the first period to be a period spaced from the time of acquisition, it is possible to detect whether the increase is globally while suppressing the influence of the latest detection value.

[処理の流れ]
次に、実施例2に係る異常検知処理の手順を説明する。図17は、異常検知処理の手順の一例を示すフローチャートである。この異常検知処理は、図10に示した実施例1に係る異常検知処理と同様に、所定のタイミング、例えば、サーバ装置11から検出値を取得したタイミングで実行される。なお、図10に示した実施例1に係る異常検知処理と同一部分については同一の符号を付して説明する。
[Process flow]
Next, the procedure of the abnormality detection process according to the second embodiment will be described. FIG. 17 is a flowchart illustrating an example of the procedure of the abnormality detection process. Similar to the abnormality detection process according to the first embodiment illustrated in FIG. 10, the abnormality detection process is executed at a predetermined timing, for example, a timing at which a detection value is acquired from the server device 11. In addition, the same code | symbol is attached | subjected and demonstrated about the same part as the abnormality detection process which concerns on Example 1 shown in FIG.

図17に示すように、取得部40は、サーバ装置11から検出値を取得すると、取得された検出値を時刻情報と共に第1待機セット30に格納する(S10)。取得部40は、第1待機セット30に格納された検出値のうち、第1期間内となった検出値を第1アクティブセット31に追加する(S11)。取得部40は、第1待機セット30に格納された検出値のうち、第1期間内となったデータを第1待機セット30から削除する(S12)。   As illustrated in FIG. 17, when the acquisition unit 40 acquires the detection value from the server device 11, the acquisition unit 40 stores the acquired detection value in the first standby set 30 together with time information (S10). The acquisition unit 40 adds the detection value stored in the first standby set 30 within the first period to the first active set 31 (S11). The acquisition unit 40 deletes the data within the first period from the detection values stored in the first standby set 30 from the first standby set 30 (S12).

第1判定部43は、第1アクティブセット31に記憶された検出値内での検出値の最大値を特定する(S13)。第1判定部43は、取得された検出値が、最大値としきい値を加算した値よりも大きいかを判定する(S14)。検出値が加算した値よりも大きい場合(S14肯定)、フラグに「1(ON)」をセットする(S15)。一方、検出値が加算した値もより大きくはない場合(S14否定)、フラグに「0(OFF)」をセットする(S16)。   The 1st determination part 43 specifies the maximum value of the detected value in the detected value memorize | stored in the 1st active set 31 (S13). The first determination unit 43 determines whether the acquired detection value is larger than a value obtained by adding the maximum value and the threshold value (S14). When the detected value is larger than the added value (Yes in S14), “1 (ON)” is set in the flag (S15). On the other hand, if the detected value is not greater than the added value (No in S14), “0 (OFF)” is set in the flag (S16).

第1判定部43は、取得された検出値、時刻情報、フラグを第2待機セット32に格納する(S17)。第2判定部44は、第2待機セット32に格納された検出値のうち、第2期間内となった検出値を第2アクティブセット33に移動させる(S18)。また、第2判定部44は、第2アクティブセット33に格納された検出値のうち、第2期間外となった検出値を第2アクティブセット33から削除する(S19)。そして、第2判定部44は、第2アクティブセット33に記憶された検出値の何れかのフラグが「1」となっているか判定する(S30)。何れかのフラグが「1」となっている場合(S30肯定)、連続フラグに「1(ON)」をセットする(S31)。一方、何れかのフラグも「1」となっていない場合(S30否定)、連続フラグに「0(OFF)」をセットする(S32)。   The first determination unit 43 stores the acquired detection value, time information, and flag in the second standby set 32 (S17). The 2nd determination part 44 moves the detection value which became in the 2nd period among the detection values stored in the 2nd waiting | standby set 32 to the 2nd active set 33 (S18). Moreover, the 2nd determination part 44 deletes the detection value which became out of the 2nd period among the detection values stored in the 2nd active set 33 from the 2nd active set 33 (S19). Then, the second determination unit 44 determines whether any flag of the detection value stored in the second active set 33 is “1” (S30). If any one of the flags is “1” (Yes at S30), “1 (ON)” is set to the continuous flag (S31). On the other hand, if none of the flags is “1” (No in S30), “0 (OFF)” is set in the continuous flag (S32).

第2判定部44は、取得された検出値、時刻情報、フラグ、連続フラグを第3待機セット34に格納する(S33)。出力部42は、第3待機セット34に格納された検出値のうち、第3期間内となった検出値を第3アクティブセット35に移動させる(S34)。また、出力部42は、第3アクティブセット35に格納された検出値のうち、第3期間外となった検出値を第3アクティブセット35から削除する(S35)。そして、出力部42は、第3アクティブセット35に記憶された検出値の連続フラグが全て「1」となっているか判定する(S36)。連続フラグが全て「1」となっている場合(S36肯定)、出力部42は、アラートを出力し(S37)、処理を終了する。一方、連続フラグが全て「1」となっていない場合(S36否定)、処理を終了する。   The second determination unit 44 stores the acquired detection value, time information, flag, and continuous flag in the third standby set 34 (S33). The output unit 42 moves the detection value within the third period among the detection values stored in the third standby set 34 to the third active set 35 (S34). Moreover, the output part 42 deletes the detection value which became out of the 3rd period among the detection values stored in the 3rd active set 35 from the 3rd active set 35 (S35). And the output part 42 determines whether all the continuous flags of the detection value memorize | stored in the 3rd active set 35 are "1" (S36). If all the continuous flags are “1” (Yes at S36), the output unit 42 outputs an alert (S37) and ends the process. On the other hand, when all the continuous flags are not “1” (No in S36), the process is terminated.

[効果]
上述してきたように、本実施例に係る異常検知装置12は、監視対象の状態を示す検出値を取得する。異常検知装置12は、取得した検出値ごとに、当該検出値が、取得時よりも前である特定期間(第1期間)での検出値の最大値よりも大きいかを判定する。異常検知装置12は、検出値が特定期間での最大値よりも大きいとの判定結果が第1の所定時間(第2期間)以内に少なくとも1回得られるかを判定する。異常検知装置12は、検出値が特定期間での最大値よりも大きいとの判定結果が第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間(第3期間)以上にわたり連続して得られた場合、アラートを出力する。これにより、異常検知装置12は、検出値の変動が激しい場合でも、検出値の最大値が増加する傾向がある異常を早期に検出できる。
[effect]
As described above, the abnormality detection device 12 according to the present embodiment acquires a detection value indicating the state of the monitoring target. The abnormality detection device 12 determines, for each acquired detection value, whether the detection value is larger than the maximum value of the detection value in a specific period (first period) before the acquisition time. The abnormality detection device 12 determines whether or not the determination result that the detected value is larger than the maximum value in the specific period is obtained at least once within the first predetermined time (second period). The abnormality detection device 12 determines that the determination result that the detection value is larger than the maximum value in the specific period is obtained at least once within the first predetermined time is the second predetermined time (third period). ) Outputs an alert if continuously obtained over the above. As a result, the abnormality detection device 12 can detect an abnormality that tends to increase the maximum value of the detected value at an early stage even when the detected value fluctuates greatly.

また、本実施例に係る異常検知装置12は、最大値より大きい判定に閾値を用いており、また、第1期間を取得時から所定時間を含まない前の期間としている。第1期間として直近期間を含む場合には、最大値として直前の検出値が選ばれることがあり、大局的には増加傾向があっても、直前の検出値との差が小さいために、検出値と最大値との差が閾値を超えなくなることがある。一方、本実施例に係る異常検知装置12は、第1期間を取得時から所定時間を含まない前の期間としたことにより、第1期間の最大値として直近の値が選択されなくなるため、大局的な増加傾向を捉えることができる。   Moreover, the abnormality detection apparatus 12 according to the present embodiment uses a threshold value for determination larger than the maximum value, and sets the first period as a period before the predetermined time from the acquisition. When the most recent period is included as the first period, the immediately preceding detection value may be selected as the maximum value, and even if there is a general increase trend, the difference from the immediately preceding detection value is small. The difference between the value and the maximum value may not exceed the threshold value. On the other hand, the abnormality detection apparatus 12 according to the present embodiment, since the first period is a period before the predetermined time from the acquisition time, the most recent value is not selected as the maximum value of the first period. Can be seen.

また、本実施例に係る異常検知装置12は、検出値をCPUの利用率とする。これにより、異常検知装置12は、CPUの利用率に上昇傾向が発生する異常を早期に検出できる。   Further, the abnormality detection device 12 according to the present embodiment uses the detected value as the CPU usage rate. Thereby, the abnormality detection apparatus 12 can detect the abnormality in which the upward trend occurs in the usage rate of the CPU at an early stage.

ここで、実施例2に係る異常検知装置12は、検出値が特定期間での最大値よりも大きいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定する場合について、説明したが、これに限定されない。例えば、実施例1に係る異常検知装置12は、取得した検出値ごとに、当該検出値が、取得時よりも前である特定期間での検出値の最小値よりも小さいかを判定する。異常検知装置12は、検出値が特定期間での最小値よりも小さいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定する。そして、異常検知装置12は、検出値が特定期間での最小値よりも小さいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力してもよい。この場合、本実施例に係る異常検知装置12は、検出値の変動が激しい場合でも、検出値の最小値が減少する傾向がある異常を早期に検出できる。このように、第1期間での検出値の最小値の変化から異常を検知可能な検出値としては、例えば、複数のサーバで負荷分散する際のアクセス数や処理数などが挙げられる。例えば、複数のサーバで負荷を均等に分散させる場合、アクセス数や処理数は、ほぼ均等なるが、各サーバのアクセス数や処理数を比較することにより、サーバの異常や負荷分散処理の異常の発生を検知できる。   Here, when the abnormality detection device 12 according to the second embodiment determines whether the determination result that the detection value is larger than the maximum value in the specific period is obtained at least once within the first predetermined time, Although described, it is not limited to this. For example, the abnormality detection device 12 according to the first embodiment determines, for each acquired detection value, whether the detection value is smaller than the minimum value of the detection value in a specific period before the acquisition time. The abnormality detection device 12 determines whether the determination result that the detected value is smaller than the minimum value in the specific period is obtained at least once within the first predetermined time. The abnormality detection device 12 determines that the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within the first predetermined time is equal to or longer than the second predetermined time. An alert may be output if obtained continuously. In this case, the abnormality detection device 12 according to the present embodiment can detect an abnormality in which the minimum value of the detection value tends to decrease even when the detection value fluctuates greatly. As described above, examples of the detection value that can detect an abnormality from the change in the minimum value of the detection value in the first period include the number of accesses and the number of processes when the load is distributed among a plurality of servers. For example, when the load is evenly distributed among multiple servers, the number of accesses and the number of processes are almost the same, but by comparing the number of accesses and the number of processes of each server, server abnormalities and load distribution processing abnormalities The occurrence can be detected.

さて、これまで開示の装置に関する実施例について説明したが、開示の技術は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。   Although the embodiments related to the disclosed apparatus have been described so far, the disclosed technology may be implemented in various different forms other than the above-described embodiments. Therefore, another embodiment included in the present invention will be described below.

例えば、上記の実施例1では、第1期間での検出値の最小値よりも大きいとの判定の結果が第2期間の間連続して得られた場合、アラートを出力する場合について説明したが、開示の装置はこれに限定されない。例えば、第2期間の間に、第1期間での検出値の最小値よりも大きいとの判定の結果が所定の割合以上得られた場合、アラートを出力してもよい。また、例えば、第2期間の間に、第1期間での検出値の最小値よりも小さいとの判定の結果が所定の割合以上得られた場合、アラートを出力してもよい。   For example, in the above-described first embodiment, the case where an alert is output when the determination result that the detection value is larger than the minimum value of the detection value in the first period is continuously obtained for the second period has been described. However, the disclosed apparatus is not limited to this. For example, an alert may be output when a result of determination that the detected value is greater than the minimum value of the first period is greater than or equal to a predetermined ratio during the second period. Further, for example, an alert may be output when a result of determination that the detected value is smaller than the minimum value of the first period during the second period is greater than or equal to a predetermined ratio.

また、上記の実施例2では、検出値が第2期間の最大値よりも大きいとの判定の結果が少なくとも1回得られるとの判定結果が、第3期間連続して得られた、アラートを出力する場合について説明したが、開示の装置はこれに限定されない。例えば、検出値が第2期間の最大値よりも大きいとの判定の結果が少なくとも1回得られるとの判定結果が、第3期間の間に所定の割合以上得られた場合、アラートを出力してもよい。また、例えば、検出値が第2期間の最小値よりも小さいとの判定の結果が少なくとも1回得られるとの判定結果が、第3期間の間に所定の割合以上得られた場合、アラートを出力してもよい。   In the second embodiment, the alert that the determination result that the detection value is larger than the maximum value of the second period is obtained at least once is obtained continuously for the third period. Although the case of outputting has been described, the disclosed device is not limited to this. For example, if the determination result that the detection value is greater than the maximum value in the second period is obtained at least once during the third period, an alert is output. May be. In addition, for example, when the determination result that the detection value is smaller than the minimum value of the second period is obtained at least once during the third period, the alert is generated. It may be output.

また、上記の実施例では、他の装置の異常の発生を検出する場合について説明したが、開示の装置はこれに限定されない。例えば、自装置の状態を示す検出値を検出することにより取得し、検出値から自装置の異常の発生を検出してもよい。   In the above-described embodiments, the case where the occurrence of an abnormality in another device is detected has been described. However, the disclosed device is not limited thereto. For example, it may be obtained by detecting a detection value indicating the state of the own device, and the occurrence of an abnormality of the own device may be detected from the detection value.

また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的状態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、取得部40、判定部41、出力部42、第1判定部43および第2判定部44の各処理部が適宜統合されてもよい。また、各処理部の処理が適宜複数の処理部の処理に分離されてもよい。さらに、各処理部にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。   Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific state of distribution / integration of each device is not limited to the one shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. For example, the processing units of the acquisition unit 40, the determination unit 41, the output unit 42, the first determination unit 43, and the second determination unit 44 may be appropriately integrated. Further, the processing of each processing unit may be appropriately separated into a plurality of processing units. Further, all or any part of each processing function performed in each processing unit can be realized by a CPU and a program analyzed and executed by the CPU, or can be realized as hardware by wired logic. .

[異常検知プログラム]
また、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することもできる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータシステムの一例を説明する。図18は、異常検知プログラムを実行するコンピュータを示す図である。
[Abnormality detection program]
The various processes described in the above embodiments can also be realized by executing a program prepared in advance on a computer system such as a personal computer or a workstation. Therefore, in the following, an example of a computer system that executes a program having the same function as in the above embodiment will be described. FIG. 18 is a diagram illustrating a computer that executes an abnormality detection program.

図18に示すように、コンピュータ300は、CPU(Central Processing Unit)310、HDD(Hard Disk Drive)320、RAM(Random Access Memory)340を有する。これら300〜340の各部は、バス400を介して接続される。   As shown in FIG. 18, the computer 300 includes a CPU (Central Processing Unit) 310, a HDD (Hard Disk Drive) 320, and a RAM (Random Access Memory) 340. These units 300 to 340 are connected via a bus 400.

HDD320には上記の取得部40、判定部41、出力部42、第1判定部43および第2判定部44と同様の機能を発揮する異常検知プログラム320aが予め記憶される。なお、異常検知プログラム320aについては、適宜分離しても良い。   The HDD 320 stores in advance an abnormality detection program 320a that performs the same functions as the acquisition unit 40, the determination unit 41, the output unit 42, the first determination unit 43, and the second determination unit 44 described above. Note that the abnormality detection program 320a may be separated as appropriate.

また、HDD320は、各種情報を記憶する。例えば、HDD320は、OSや生産計画に用いる各種データを記憶する。   The HDD 320 stores various information. For example, the HDD 320 stores various data used for the OS and production plan.

そして、CPU310が、異常検知プログラム320aをHDD320から読み出して実行することで、実施例の各処理部と同様の動作を実行する。すなわち、異常検知プログラム320aは、取得部40、判定部41、出力部42、第1判定部43および第2判定部44と同様の動作を実行する。   Then, the CPU 310 reads out and executes the abnormality detection program 320a from the HDD 320, thereby executing the same operation as each processing unit of the embodiment. That is, the abnormality detection program 320a performs the same operations as the acquisition unit 40, the determination unit 41, the output unit 42, the first determination unit 43, and the second determination unit 44.

なお、上記した異常検知プログラム320aについては、必ずしも最初からHDD320に記憶させることを要しない。   Note that the above-described abnormality detection program 320a is not necessarily stored in the HDD 320 from the beginning.

例えば、コンピュータ300に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」にプログラムを記憶させておく。そして、コンピュータ300がこれらからプログラムを読み出して実行するようにしてもよい。   For example, the program is stored in a “portable physical medium” such as a flexible disk (FD), a CD-ROM, a DVD disk, a magneto-optical disk, or an IC card inserted into the computer 300. Then, the computer 300 may read and execute the program from these.

さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ300に接続される「他のコンピュータ(またはサーバ)」などにプログラムを記憶させておく。そして、コンピュータ300がこれらからプログラムを読み出して実行するようにしてもよい。   Furthermore, the program is stored in “another computer (or server)” connected to the computer 300 via a public line, the Internet, a LAN, a WAN, or the like. Then, the computer 300 may read and execute the program from these.

10 システム
12 異常検知装置
21 記憶部
22 制御部
30 第1待機セット
31 第1アクティブセット
32 第2待機セット
33 第2アクティブセット
34 第3待機セット
35 第3アクティブセット
40 取得部
41 判定部
42 出力部
43 第1判定部
44 第2判定部
DESCRIPTION OF SYMBOLS 10 System 12 Abnormality detection apparatus 21 Memory | storage part 22 Control part 30 1st standby set 31 1st active set 32 2nd standby set 33 2nd active set 34 3rd standby set 35 3rd active set 40 Acquisition part 41 Determination part 42 Output Unit 43 First determination unit 44 Second determination unit

Claims (14)

監視対象の状態を示す検出値を取得し、
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも大きいかを判定し、
前記検出値が前記特定期間での検出値の最小値よりも大きいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する
ことを特徴とする異常検知方法。
Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is larger than the minimum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
An abnormality detection method comprising: outputting an alert when a determination result that the detection value is larger than a minimum detection value in the specific period is continuously obtained for a predetermined time or more.
前記検出値は、メモリの使用率である
ことを特徴とする請求項1に記載の異常検知方法。
The abnormality detection method according to claim 1, wherein the detected value is a memory usage rate.
監視対象の状態を示す検出値を取得し、
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも小さいかを判定し、
前記検出値が前記特定期間での検出値の最大値よりも小さいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する
ことを特徴とする異常検知方法。
Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is smaller than the maximum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
An abnormality detection method comprising: outputting an alert when a determination result that the detection value is smaller than a maximum value of the detection value in the specific period is continuously obtained for a predetermined time or more.
監視対象の状態を示す検出値を取得し、
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも大きいかを判定し、
前記検出値が前記特定期間での最大値よりも大きいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定し、
前記検出値が前記特定期間での最大値よりも大きいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータが実行することを特徴とする異常検知方法。
Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is larger than the maximum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
Determining whether the determination result that the detected value is larger than the maximum value in the specific period is obtained at least once within a first predetermined time;
A determination result that a determination result that the detected value is larger than the maximum value in the specific period is obtained at least once within the first predetermined time is continuously obtained over a second predetermined time or more. An abnormality detection method characterized in that a computer executes a process of outputting an alert when an error occurs.
前記検出値は、CPU(Central Processing Unit)の利用率である
ことを特徴とする請求項4に記載の異常検知方法。
The abnormality detection method according to claim 4, wherein the detected value is a utilization rate of a CPU (Central Processing Unit).
監視対象の状態を示す検出値を取得し、
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも小さいかを判定し、
前記検出値が前記特定期間での最小値よりも小さいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定し、
前記検出値が前記特定期間での最小値よりも小さいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータが実行することを特徴とする異常検知方法。
Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is smaller than the minimum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
Determining whether the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within a first predetermined time;
The determination result that the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within the first predetermined time is continuously obtained over the second predetermined time or more. An abnormality detection method characterized in that a computer executes a process of outputting an alert when an error occurs.
監視対象の状態を示す検出値を取得し、
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも大きいかを判定し、
前記検出値が前記特定期間での検出値の最小値よりも大きいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータに実行させることを特徴とする異常検知プログラム。
Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is larger than the minimum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
An abnormality characterized by causing a computer to execute a process of outputting an alert when a determination result that the detected value is larger than a minimum value of the detected value in the specific period is continuously obtained for a predetermined time or more. Detection program.
監視対象の状態を示す検出値を取得し、
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも小さいかを判定し、
前記検出値が前記特定期間での検出値の最大値よりも小さいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータに実行させることを特徴とする異常検知プログラム。
Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is smaller than the maximum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
An abnormality characterized by causing a computer to execute a process of outputting an alert when a determination result that the detected value is smaller than the maximum detected value in the specific period is continuously obtained for a predetermined time or more. Detection program.
監視対象の状態を示す検出値を取得し、
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも大きいかを判定し、
前記検出値が前記特定期間での最大値よりも大きいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定し、
前記検出値が前記特定期間での最大値よりも大きいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータに実行させることを特徴とする異常検知プログラム。
Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is larger than the maximum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
Determining whether the determination result that the detected value is larger than the maximum value in the specific period is obtained at least once within a first predetermined time;
A determination result that a determination result that the detected value is larger than the maximum value in the specific period is obtained at least once within the first predetermined time is continuously obtained over a second predetermined time or more. An abnormality detection program that causes a computer to execute a process of outputting an alert when an error occurs.
監視対象の状態を示す検出値を取得し、
取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも小さいかを判定し、
前記検出値が前記特定期間での最小値よりも小さいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定し、
前記検出値が前記特定期間での最小値よりも小さいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する
処理をコンピュータに実行させることを特徴とする異常検知プログラム。
Obtain a detection value that indicates the status of the monitoring target,
For each acquired detection value, determine whether the detection value is smaller than the minimum value of the detection value in a specific period before the predetermined time interval from the acquisition of the detection value,
Determining whether the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within a first predetermined time;
The determination result that the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within the first predetermined time is continuously obtained over the second predetermined time or more. An abnormality detection program that causes a computer to execute a process of outputting an alert when an error occurs.
監視対象の状態を示す検出値を取得する取得部と、
前記取得部により取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも大きいかを判定する判定部と、
前記判定部により前記検出値が前記特定期間での検出値の最小値よりも大きいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する出力部と
を有することを特徴とする異常検知装置。
An acquisition unit for acquiring a detection value indicating a state of a monitoring target;
For each detection value acquired by the acquisition unit, a determination unit that determines whether the detection value is greater than the minimum value of the detection value in a specific period before a predetermined time interval from the acquisition of the detection value;
An output unit for outputting an alert when the determination result that the detection value is larger than the minimum value of the detection value in the specific period is continuously obtained for a predetermined time or more by the determination unit. An anomaly detection device.
監視対象の状態を示す検出値を取得する取得部と、
前記取得部により取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも小さいかを判定する判定部と、
前記判定部により前記検出値が前記特定期間での検出値の最大値よりも小さいとの判定結果が所定時間以上にわたり連続して得られた場合、アラートを出力する出力部と
を有することを特徴とする異常検知装置。
An acquisition unit for acquiring a detection value indicating a state of a monitoring target;
For each detection value acquired by the acquisition unit, a determination unit that determines whether the detection value is smaller than the maximum value of the detection value in a specific period before a predetermined time interval from the acquisition of the detection value;
An output unit for outputting an alert when the determination result that the detection value is smaller than the maximum value of the detection value in the specific period is continuously obtained for a predetermined time or more by the determination unit. An anomaly detection device.
監視対象の状態を示す検出値を取得する取得部と、
前記取得部により取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最大値よりも大きいかを判定する第1判定部と、
前記第1判定部により前記検出値が前記特定期間での最大値よりも大きいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定する第2判定部と、
前記第2判定部により前記検出値が前記特定期間での最大値よりも大きいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する出力部と
を有することを特徴とする異常検知装置。
An acquisition unit for acquiring a detection value indicating a state of a monitoring target;
For each detection value acquired by the acquisition unit, a first determination unit that determines whether the detection value is greater than the maximum value of the detection value in a specific period before a predetermined time interval from the acquisition of the detection value;
A second determination unit that determines whether the determination result that the detection value is larger than the maximum value in the specific period is obtained at least once within a first predetermined time by the first determination unit;
A determination result that the determination result that the detection value is greater than the maximum value in the specific period is obtained at least once within the first predetermined time by the second determination unit is a second predetermined time or more And an output unit that outputs an alert when continuously obtained.
監視対象の状態を示す検出値を取得する取得部と、
前記取得部により取得した検出値ごとに、当該検出値が、当該検出値の取得時から所定時間間隔前の特定期間での検出値の最小値よりも小さいかを判定する第1判定部と、
前記第1判定部により前記検出値が前記特定期間での最小値よりも小さいとの判定結果が第1の所定時間以内に少なくとも1回得られるかを判定する第2判定部と、
前記第2判定部により前記検出値が前記特定期間での最小値よりも小さいとの判定結果が前記第1の所定時間以内に少なくとも1回得られるとの判定結果が、第2の所定時間以上にわたり連続して得られた場合、アラートを出力する出力部と
を有することを特徴とする異常検知装置。
An acquisition unit for acquiring a detection value indicating a state of a monitoring target;
For each detection value acquired by the acquisition unit, a first determination unit that determines whether the detection value is smaller than the minimum value of the detection value in a specific period before a predetermined time interval from the acquisition of the detection value;
A second determination unit that determines whether the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within a first predetermined time by the first determination unit;
The determination result that the determination result that the detection value is smaller than the minimum value in the specific period is obtained at least once within the first predetermined time by the second determination unit is a second predetermined time or more And an output unit that outputs an alert when continuously obtained.
JP2014118173A 2014-06-06 2014-06-06 Abnormality detection method, abnormality detection program, and abnormality detection device Expired - Fee Related JP6349983B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014118173A JP6349983B2 (en) 2014-06-06 2014-06-06 Abnormality detection method, abnormality detection program, and abnormality detection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014118173A JP6349983B2 (en) 2014-06-06 2014-06-06 Abnormality detection method, abnormality detection program, and abnormality detection device

Publications (2)

Publication Number Publication Date
JP2015230714A JP2015230714A (en) 2015-12-21
JP6349983B2 true JP6349983B2 (en) 2018-07-04

Family

ID=54887419

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014118173A Expired - Fee Related JP6349983B2 (en) 2014-06-06 2014-06-06 Abnormality detection method, abnormality detection program, and abnormality detection device

Country Status (1)

Country Link
JP (1) JP6349983B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9320780B2 (en) 2008-06-26 2016-04-26 Curemark Llc Methods and compositions for the treatment of symptoms of Williams Syndrome
JP7028124B2 (en) * 2018-09-25 2022-03-02 オムロン株式会社 CPU unit, CPU unit control method, information processing program, and recording medium

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001331368A (en) * 2000-05-19 2001-11-30 Oki Electric Ind Co Ltd Method for discriminating omission of memory release
JP2008003945A (en) * 2006-06-23 2008-01-10 Toshiba Corp Monitoring control system and computer management method and program thereof
JP5313101B2 (en) * 2009-09-30 2013-10-09 富士通フロンテック株式会社 Information management program, information management method, and information management apparatus
JP5659108B2 (en) * 2011-08-31 2015-01-28 富士通エフ・アイ・ピー株式会社 Operation monitoring device, operation monitoring program, and recording medium
JP5908122B2 (en) * 2012-05-18 2016-04-26 株式会社日立製作所 Management system and management method
JP5597293B2 (en) * 2013-10-09 2014-10-01 株式会社日立製作所 Computer system and program

Also Published As

Publication number Publication date
JP2015230714A (en) 2015-12-21

Similar Documents

Publication Publication Date Title
US9954887B2 (en) Targeted attack discovery
EP2414932B1 (en) Execution of a plugin according to plugin stability level
US8949658B1 (en) Load balancer host selection and fault detection
US11163630B2 (en) Using real-time analytics to manage application features
CN104778111A (en) Alarm method and alarm device
US20190065302A1 (en) Detecting computer system anomaly events based on modified z-scores generated for a window of performance metrics
CN104503840A (en) Method and device for optimizing terminal resources
JP2019536146A (en) Programmable clock monitor
US20220398105A1 (en) Out-of-band custom baseboard management controller (bmc) firmware stack monitoring system and method
JP2009237859A (en) Virtual machine management system
JP6349983B2 (en) Abnormality detection method, abnormality detection program, and abnormality detection device
KR101212496B1 (en) Method of representing usage of monitoring resource, computing apparatus for performing the same and record medium recording program for implementing the method
US11811803B2 (en) Method of threat detection
US10084887B2 (en) Device and method for controlling remote procedure call
US9401854B2 (en) System and method for slow link flap detection
JP6294145B2 (en) Monitoring method, monitoring device and monitoring control program
US20170053117A1 (en) Management apparatus and management method
US20200174868A1 (en) Detection of event storms
US10157116B2 (en) Window deviation analyzer
JP6497278B2 (en) Log management program, log management method, and log management apparatus
JP5121347B2 (en) Network application use restriction system, use restriction method, and program.
JP6819610B2 (en) Diagnostic equipment, diagnostic methods, and diagnostic programs
CN115729779A (en) Sensor data processing method, device, equipment and storage medium
US20210279114A1 (en) Event loop diagnostics
JP6209138B2 (en) Operation management server, operation program, and server operation method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180323

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180508

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180521

R150 Certificate of patent or registration of utility model

Ref document number: 6349983

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees