JP6463703B2 - Network monitoring apparatus and network monitoring method - Google Patents
Network monitoring apparatus and network monitoring method Download PDFInfo
- Publication number
- JP6463703B2 JP6463703B2 JP2016060219A JP2016060219A JP6463703B2 JP 6463703 B2 JP6463703 B2 JP 6463703B2 JP 2016060219 A JP2016060219 A JP 2016060219A JP 2016060219 A JP2016060219 A JP 2016060219A JP 6463703 B2 JP6463703 B2 JP 6463703B2
- Authority
- JP
- Japan
- Prior art keywords
- alarm
- confirmation
- state
- necessity
- network monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワーク監視装置およびネットワーク監視方法に関する。 The present invention relates to a network monitoring apparatus and a network monitoring method.
IP(Internet Protocol)ネットワークは、ルータ、スイッチ、サーバなどの種々の装置(NE:Network Element)で構成されている。インターネットが広く普及した近年では、ネットワークやサービスの拡大に伴い、NEの数と種類が増加している。 An IP (Internet Protocol) network is composed of various devices (NE: Network Element) such as routers, switches, and servers. In recent years when the Internet has become widespread, the number and types of NEs have increased with the expansion of networks and services.
サービスの提供を行う上で、NEが正常に動作していることはとても重要である。その為、通信事業者は、オペレーションシステム(OpS:Operation System)を用いて、NEの状態を常に監視している。 In providing a service, it is very important that the NE is operating normally. Therefore, the communication carrier always monitors the state of the NE using an operation system (OpS: Operation System).
例えば、ISO(国際標準化機構:International Organization for Standardization)が規定したOSI(開放型システム間相互接続:Open Systems Interconnection)管理では、OpSが持つべき機能として5つのシステム管理機能エリア(Fault Management,Accounting Management,Configuration Management,Security Management,Performance Management)が規格化されている。これらの5つの機能エリアのうちのFault Managementとして、OpSは、通信装置から通知される警報をオペレータに対して表示する機能(監視機能)を持つべきとされている。 For example, in OSI (Open Systems Interconnection) management defined by ISO (International Organization for Standardization), there are five system management function areas (Fault Management, Accounting Management) as functions that OpS should have. , Configuration Management, Security Management, and Performance Management). As fault management in these five functional areas, OpS should have a function (monitoring function) for displaying an alarm notified from a communication device to an operator.
また、TMF(TeleManagement Forum)が規定したビジネスプロセスフレームワークであるe−TOM(enhanced Telecom Operations Map)では、通信キャリアが持つべき業務として3つの基本オペレーション(Fulfillment,Assurance,Billing)が規定されている(非特許文献1参照)。Assuranceの業務を実行する際には、オペレータはOpSの監視機能を活用する。OpSの監視機能は、標準化プロトコルであるSNMP(Simple Network Management Protocol)(非特許文献2参照)のTrap通知を用いて通信装置から通知される警報を表示する場合が多い。Trap通知の中に含まれる発生日時や重要度等の情報により、オペレータは、警報内容の把握とともに確認の優先度を判断している。 In addition, e-TOM (enhanced Telecom Operations Map), which is a business process framework defined by TMF (TeleManagement Forum), defines three basic operations (Fulfillment, Assurance, Billing) as business that a communication carrier should have. (Refer nonpatent literature 1). When executing an Assurance operation, the operator uses the OpS monitoring function. The OpS monitoring function often displays an alarm notified from the communication device using a trap notification of SNMP (Simple Network Management Protocol) (see Non-Patent Document 2), which is a standardized protocol. Based on information such as the date of occurrence and importance included in the Trap notification, the operator determines the priority of the confirmation as well as grasping the alarm contents.
ここで、通信キャリアのように大規模NWを監視する場合、多数のNEを管理対象として一元監視するため、オペレータは大量の警報を取り扱うことになる。オペレータは、発生日時や重要度等の情報により確認の優先度を判断しているが、大量の警報が発生する場合、作業効率がオペレータの経験やスキルに大きく依存してしまい、オペレータが優先的に確認すべき警報を見誤る可能性が増えるという問題がある。 Here, when monitoring a large-scale NW such as a communication carrier, the operator handles a large amount of alarms because a large number of NEs are monitored as a management target. The operator determines the priority of confirmation based on information such as the date and time of occurrence and the importance level. However, when a large number of alarms occur, the work efficiency greatly depends on the experience and skills of the operator, and the operator has priority. There is a problem that there is an increased possibility of mistaken alarms to be confirmed.
本発明は、前記問題に鑑みてなされたものであり、オペレータの経験やスキルに依存することなく、複数の警報の中から重要なものを優先的に確認することができる、ネットワーク監視装置およびネットワーク監視方法を提供することを課題とする。 The present invention has been made in view of the above-described problem, and is capable of preferentially checking important alarms from a plurality of alarms without depending on the experience and skill of the operator. It is an object to provide a monitoring method.
前記課題を解決するため、本発明に係るネットワーク監視装置は、通信装置から通知される警報を用いてネットワークの監視を行うネットワーク監視装置であって、オペレータによる前記警報の確認を必要とする確認必要度を、確認対象の警報である確認対象警報と当該確認対象警報に対して相関関係にある相関関係警報との組合せを条件とする条件付き確率で定義したポリシー情報が記憶される記憶部と、前記通信装置から新たな第1の警報が通知された場合に、前記第1の警報をキーにして前記ポリシー情報の前記確認対象警報を検索し、今後取り得る警報の組合せから前記第1の警報の確認必要度を計算する確認必要度計算部と、を備え、前記確認必要度計算部は、前記第1の警報が通知された場合に、前記第1の警報と相関関係にあると共に前記第1の警報よりも前に通知されたことで既に確認必要度を計算済みの第2の警報の前記確認必要度を、前記第2の警報をキーにして前記ポリシー情報を参照することで再計算する、ことを特徴とする。 In order to solve the above problem, the network monitoring device according to the present invention is a network monitoring device that monitors a network using an alarm notified from a communication device, and needs to be confirmed by an operator that requires confirmation of the alarm. A storage unit that stores policy information in which a degree is defined as a conditional probability that is a combination of a confirmation target alarm that is a confirmation target alarm and a correlation alarm that is correlated with the confirmation target alarm; When a new first alarm is notified from the communication device, the confirmation target alarm of the policy information is searched using the first alarm as a key, and the first alarm is obtained from a combination of alarms that can be taken in the future. A confirmation necessity calculation unit for calculating the confirmation necessity degree, and the confirmation necessity calculation unit is correlated with the first alarm when the first alarm is notified. In addition, referring to the policy information using the second alarm as a key for the confirmation necessity of the second alarm whose confirmation necessity has already been calculated by being notified before the first alarm. It is characterized by recalculating with.
前記課題を解決するため、本発明に係るネットワーク監視方法は、通信装置から通知される警報を用いてネットワークの監視を行うネットワーク監視装置のネットワーク監視方法であって、前記ネットワーク監視装置が、オペレータによる前記警報の確認を必要とする確認必要度を、確認対象の警報である確認対象警報と当該確認対象警報に対して相関関係にある相関関係警報との組合せを条件とする条件付き確率で定義したポリシー情報が記憶される記憶部を有し、前記通信装置から新たな第1の警報が通知された場合に、前記第1の警報をキーにして前記ポリシー情報の前記確認対象警報を検索し、今後取り得る警報の組合せから前記第1の警報の確認必要度を計算するステップと、前記第1の警報が通知された場合に、前記第1の警報と相関関係にあると共に前記第1の警報よりも前に通知されたことで既に確認必要度を計算済みの第2の警報の前記確認必要度を、前記第2の警報をキーにして前記ポリシー情報を参照することで再計算するステップとを実行する、ことを特徴とする。 In order to solve the above problems, a network monitoring method according to the present invention is a network monitoring method of a network monitoring device that monitors a network using an alarm notified from a communication device, and the network monitoring device is operated by an operator. The degree of confirmation that requires confirmation of the alarm is defined by a conditional probability that is conditional on a combination of a confirmation target alarm that is a confirmation target alarm and a correlation alarm that is correlated with the confirmation target alarm. When a new first alarm is notified from the communication device, the policy information is stored, and when the first alarm is used as a key to search for the confirmation target alarm of the policy information, Calculating the degree of necessity of confirmation of the first alarm from combinations of alarms that can be taken in the future, and when the first alarm is notified, the first alarm The policy information with the second alarm as a key is used as the confirmation necessity of the second alarm that has been correlated and is notified before the first alarm, and has already calculated the confirmation necessity. And performing a recalculation step by referring to.
このようにすることで、本発明に係るネットワーク監視装置およびネットワーク監視方法は、警報が発生する度に、予め定義されたポリシー情報を用いて、通知された警報の確認必要度および通知された警報と相関関係にある警報の確認必要度を計算する。その為、計算された確認必要度をオペレータに対して出力することで、オペレータは複数の警報の中から重要なものを優先的に確認することができる。 By doing in this way, the network monitoring apparatus and the network monitoring method according to the present invention use the predefined policy information every time an alarm is generated, and the degree of confirmation of the notified alarm and the notified alarm Calculate the degree of alarm confirmation that is correlated with For this reason, the operator can preferentially confirm important ones from a plurality of alarms by outputting the calculated degree of confirmation to the operator.
前記ポリシー情報は、例えば、前記確認対象警報が発生したという事象全体に対して、当該確認対象警報のみが発生する状態の割合と当該確認対象警報が発生するときに相関関係にある前記相関関係警報が同時に発生する状態の割合とを定義し、定義した各状態の割合に対してオペレータによる前記確認対象警報の確認の要否を示す割合がさらに定義されているものがよい。 The policy information includes, for example, the correlation alarm that is correlated with the ratio of the state in which only the confirmation target alarm is generated with respect to the entire event that the confirmation target alarm has occurred, and the confirmation target alarm is generated. Are defined at the same time, and a ratio indicating whether or not the operator needs to confirm the confirmation target alarm is further defined with respect to the defined ratio of each state.
このようにすることで、状態毎に場合分けをして確認必要度を詳細に設定することができる。その為、オペレータは、複数の警報の中からより重要なものを優先的に確認することができる。 By doing in this way, it is possible to set the necessity of confirmation in detail by dividing the case for each state. Therefore, the operator can preferentially check the more important ones from the plurality of alarms.
また、本発明に係るネットワーク監視装置は、前記確認の要否を示す割合が、前記確認対象警報と当該確認対象警報に対して相関関係にある相関関係警報との組合せを一つのグループとした場合に、他のグループに属する警報との関係に応じて決定されていてもよい。 In the network monitoring device according to the present invention, a combination of the confirmation target alarm and the correlation alarm correlated with the confirmation target alarm in a ratio indicating the necessity of confirmation is a group. In addition, it may be determined according to the relationship with alarms belonging to other groups.
このようにすることで、本発明に係るネットワーク監視装置は、直接的には相関関係のない警報間であっても、例えば、より重要な警報に対して確認必要度が大きくなるようにすることができる。 In this way, the network monitoring apparatus according to the present invention increases the necessity of confirmation for more important alarms, for example, even between alarms that are not directly correlated. Can do.
本発明によれば、オペレータの経験やスキルに依存することなく、複数の警報の中から重要なものを優先的に確認することができる。 According to the present invention, important alarms can be preferentially confirmed from a plurality of alarms without depending on the experience and skills of the operator.
[発明の概要]
本発明者は、大量の警報が発生した場合に、熟練したオペレータが発生日時や重要度等の情報の他に警報間の相関関係に注目して確認の優先度を判断していることを見出した。警報間の相関関係とは、例えば、ある光パスの運用系信号の光損失(LOS:Loss of Signal)を示す警報と同時に、予備系信号の光損失を示す警報を検出することである。また、例えば、ある光インタフェースカード自体が故障した場合に、カードの故障を示す警報と同時に、光インタフェース上の通信の光損失を示す警報を検出することである。これらの場合に、熟練したオペレータであれば、前者の場合は運用系信号の光損失の警報に注目し、運用系の故障復旧対応を先に行うことが想定される。また後者の場合は通信の光損失の警報ではなく、カードの故障を示す警報に注目して、ケーブルや光素子の確認ではない光インタフェースカード自体の確認を先に行うことが想定される。本発明では、オペレータがこの警報間の相関関係を明示的に認識できるように表示する。
[Summary of Invention]
The present inventor has found that when a large number of alarms occur, a skilled operator determines the priority of confirmation by paying attention to the correlation between alarms in addition to information such as the date and time of occurrence and importance. It was. The correlation between alarms is, for example, detecting an alarm indicating an optical loss of a standby system signal simultaneously with an alarm indicating an optical loss (LOS: Loss of Signal) of an operation system signal of a certain optical path. For example, when a certain optical interface card itself fails, an alarm indicating an optical loss of communication on the optical interface is detected simultaneously with an alarm indicating a card failure. In these cases, it is assumed that the skilled operator pays attention to the light loss alarm of the operational system signal in the former case, and first performs the recovery recovery of the operational system. In the latter case, it is assumed that the optical interface card itself is confirmed first, not the cable or the optical element, focusing on the alarm indicating the card failure rather than the optical loss alarm of communication. In the present invention, the display is made so that the operator can explicitly recognize the correlation between the alarms.
具体的には、オペレータによる警報の確認を必要とする割合を、確認対象の警報である確認対象警報と当該確認対象警報に対して相関関係にある相関関係警報との組合せを条件とする条件付き確率で定義したポリシーとして事前に設定しておく。そして、時間の経過とともに新たな警報が発生する度に、このポリシーを用いて各時点におけるオペレータが警報を確認する必要がある割合を算出する。以下では、オペレータが警報を確認する必要がある割合を「確認必要度」や「期待値」と呼ぶことにする。 Specifically, the ratio that requires alarm confirmation by the operator is conditional on a combination of a confirmation target alarm that is a confirmation target alarm and a correlation alarm that is correlated with the confirmation target alarm. Set in advance as a policy defined by probability. Then, every time a new alarm is generated as time passes, the ratio at which the operator needs to confirm the alarm at each time point is calculated using this policy. Hereinafter, the ratio at which the operator needs to confirm the alarm is referred to as “confirmation necessity” or “expected value”.
例えば、警報Aが発生したという事象の全体P(A)を「1」とし、警報Aが発生するときに結果的にどのような状態が存在し得るかを定義する。結果的とは、警報Aの発生とほぼ同時に発生した他の警報や、警報Aの発生から長い時間経過後に発生した他の警報を含む意味である。ここでは、「警報Aのみが発生する状態」、「警報Aおよび警報Bのみが発生する状態」、「警報A、警報Bおよび警報Cのみが発生する状態」、「警報A、警報Bおよび警報Dのみが発生する状態」の4つの状態が存在し得ると仮定する。
そして、警報Aのみが発生する状態となる割合をP(JA)で表す。同様にその他の状態となる割合を各々P(JAB)、P(JABC)、P(JABD)で表し、「P(A)=P(JA)+P(JAB)+P(JABC)+P(JABD)」とする。ここで定義した状態の割合を四角形の面積で表すと、図1に示すようになる。なお、これらの状態の割合は、例えば、熟練のオペレータの経験などに基づいて決定されればよく、ポリシー設定時に事前に決めておくようにする。
For example, the entire event P (A) that the alarm A has occurred is set to “1”, and what kind of state can exist as a result when the alarm A occurs is defined. As a result, the meaning includes other alarms that are generated almost simultaneously with the generation of the alarm A and other alarms that are generated after a long time has elapsed since the generation of the alarm A. Here, “a state where only alarm A occurs”, “a state where only alarm A and alarm B occur”, “a state where only alarm A, alarm B and alarm C occur”, “alarm A, alarm B and alarm” Assume that there can be four states, “a state in which only D occurs”.
The rate at which only alarm A occurs is represented by P (JA). Similarly, the ratio of other states is represented by P (JAB), P (JABC), and P (JABD), respectively, and `` P (A) = P (JA) + P (JAB) + P (JABC) + P ( JABD) ”. When the ratio of the state defined here is represented by a square area, it is as shown in FIG. Note that the ratio of these states may be determined based on, for example, the experience of a skilled operator, and is determined in advance at the time of policy setting.
次に、警報Aのみが発生する状態において、警報Aをオペレータが確認する必要がある割合をP(JAO)とし、そうでない割合をP(JAX)とすると、「P(JA)=P(JAO)+P(JAX)」となる。なお、これらの確認の要否を示す割合も、例えば、熟練のオペレータの経験などに基づいて決定されればよく、ポリシー設定時に事前に決めておくようにする。確実に確認が必要であればP(JAX)を「0(ゼロ)」とする。同様にP(JABO)、P(JABX)、P(JABCO)、P(JABCX)、P(JABDO)、P(JABDX)とすると、「P(JAB)=P(JABO)+P(JABX)」、「P(JABC)=P(JABCO)+P(JABCX)」、「P(JABD)=P(JABDO)+P(JABDX)」となる。ここで定義した確認の要否を示す割合を四角形の面積で表すと、図2に示すようになる。これにより、本発明に係るポリシーが完成する。 Next, in a state where only alarm A occurs, if P (JAO) is the rate at which the operator needs to check alarm A, and P (JAX) is the rate at which it is not, then “P (JA) = P (JAO ) + P (JAX) ”. It should be noted that the ratio indicating whether or not these confirmations are necessary may be determined based on, for example, the experience of a skilled operator, and is determined in advance at the time of policy setting. Set P (JAX) to “0” if confirmation is necessary. Similarly, if P (JABO), P (JABX), P (JABCO), P (JABCX), P (JABDO), P (JABDX), then `` P (JAB) = P (JABO) + P (JABX) '' , “P (JABC) = P (JABCO) + P (JABCX)”, “P (JABD) = P (JABDO) + P (JABDX)”. When the ratio indicating the necessity of confirmation defined here is represented by a square area, it is as shown in FIG. Thereby, the policy according to the present invention is completed.
ここで、実際に警報Aが発生した時点で他に警報が無い場合に、今後どの状態になるのかがその時点では不明である。その為、警報Aをオペレータが確認する必要がある期待値は、「(P(JAO)+P(JABO)+P(JABCO)+P(JABDO))/P(A)」といえる。図3の例では、太い実線で囲んだ部分であり「17/36=47%」となる。
次に、警報Aに続いて警報Dが発生した場合を想定する。この場合に、P(JA)、P(JAB)、P(JABC)の状態は今後とりえないので、警報Aをオペレータが確認する必要がある期待値は、「P(JABDO)/P(JABD)」に変化する。図3の例では、破線で囲んだ部分であり「(1/36)/(1/6)=17%」となる。
このように、新たな警報が発生する度に、オペレータは発生している警報を確認する必要がある割合が分かるので、実務経験が浅いオペレータであっても優先的に確認すべき警報を見誤る可能性が減少する。
Here, when there is no other alarm when alarm A actually occurs, it is unclear at that time which state will be in the future. Therefore, the expected value that the operator needs to confirm alarm A can be said to be “(P (JAO) + P (JABO) + P (JABCO) + P (JABDO)) / P (A)”. In the example of FIG. 3, the portion surrounded by a thick solid line is “17/36 = 47%”.
Next, it is assumed that a warning D occurs after the warning A. In this case, since the status of P (JA), P (JAB), and P (JABC) cannot be taken in the future, the expected value that the operator needs to confirm alarm A is "P (JABDO) / P (JABD ) ". In the example of FIG. 3, the portion surrounded by a broken line is “(1/36) / (1/6) = 17%”.
In this way, every time a new alarm occurs, the operator knows the proportion of the alarm that needs to be confirmed, so even an operator with little practical experience mistakes the alarm that should be confirmed with priority. The possibility is reduced.
なお、確認の要否を示す割合(例えば、P(JAO)など)は、確認対象警報(ここでは、警報A)と当該確認対象警報に対して相関関係にある相関関係警報(ここでは、警報B,C,D)との組合せを一つのグループとした場合に、他のグループに属する警報との関係に応じて決定されてもよい。
例えば、第1の光インタフェースカードと第2の光インタフェースカードとの二つが存在しており、これらの光インタフェースカードの間には相関関係がないと仮定する。オペレータが第1の光インタフェースカードに比べて第2の光インタフェースカードの故障を重要視したい場合に、例えば、第1の光インタフェースカードのポリシーを図3に示すように定義し、第2の光インタフェースカードのポリシーを図4に示すように定義する。図4では、「P(JAO)= 13/36」と定義されているので、両カードからカードの故障を示す警報が通知された場合に、第2の光インタフェースカードの確認を必要とする割合が第1の光インタフェースカードの確認を必要とする割合に比べて高くなる。その為、直接的には相関関係のない警報間であっても、例えば、より重要な警報に対して確認必要度が大きくなるようにすることができる。
The ratio indicating the necessity of confirmation (for example, P (JAO)) is the correlation alarm (here, alarm A) that is correlated with the alarm to be confirmed (here, alarm A) and the alarm to be confirmed. When the combination with (B, C, D) is one group, it may be determined according to the relationship with the alarm belonging to the other group.
For example, it is assumed that there are two optical interface cards, a first optical interface card and a second optical interface card, and there is no correlation between these optical interface cards. When the operator wants to place more importance on the failure of the second optical interface card than the first optical interface card, for example, the policy of the first optical interface card is defined as shown in FIG. The interface card policy is defined as shown in FIG. In FIG. 4, since it is defined as “P (JAO) = 13/36”, the ratio that requires confirmation of the second optical interface card when both cards receive an alarm indicating card failure. Is higher than the ratio requiring confirmation of the first optical interface card. For this reason, even between alarms that are not directly correlated, for example, it is possible to increase the necessity of confirmation for more important alarms.
以下、本発明の実施するための形態を、適宜図面を参照しながら詳細に説明する。
各図は、本発明を十分に理解できる程度に、概略的に示してあるに過ぎない。よって、本発明は、図示例のみに限定されるものではない。なお、各図において、共通する構成要素や同様な構成要素については、同一の符号を付し、それらの重複する説明を省略する。
Hereinafter, embodiments for carrying out the present invention will be described in detail with reference to the drawings as appropriate.
Each figure is only schematically shown so that the invention can be fully understood. Therefore, the present invention is not limited to the illustrated example. In addition, in each figure, about the same component or the same component, the same code | symbol is attached | subjected and those overlapping description is abbreviate | omitted.
≪本実施形態に係るネットワーク監視装置の構成について≫
図5を参照して、本実施形態に係るネットワーク監視装置3について説明する。図5は、本実施形態に係るネットワーク監視装置3を用いたネットワーク監視システム1の概略構成図である。ネットワーク監視システム1は、ネットワークNWを監視するものであり、ネットワークNWを構成する#1〜#n(nは任意の自然数)のNE2,2・・(図では#1NE〜#nNEと表示)と、ネットワークNWを監視するネットワーク監視装置(NMS:Network Management System)3と、オペレータ端末4とを備えて構成されている。
<< Configuration of network monitoring device according to this embodiment >>
With reference to FIG. 5, the
NE2は、通信装置の一例であり、例えば、ルータ,スイッチ,サーバなど様々な装置であってよい。NE2には、SNMPエージェント機能が実装されており、例えば、予め設定された閾値を超える値や特定の信号を検出した場合に、ネットワーク監視装置3に対してTrap通知を送信することで警報を通知する。Trap通知には、例えば、警報名、発生日時、重要度等の警報に関する情報が含まれている。
The
ネットワーク監視装置3は、ネットワークNWを監視するものである。ネットワーク監視装置3には、SNMPマネージャ機能が実装されており、各NE2からTrap通知を受信して、受信したTrap通知に格納される警報に関する情報をオペレータ端末4に表示させる。これによって、オペレータは、例えば、「運用系信号の切断」,「予備系信号の切断」などのネットワークNWの異常を確認することができる。また、ネットワーク監視装置3は、各警報をオペレータが確認する必要がある割合(確認必要度)を発生日時や重要度と共に表示させる。ネットワーク監視装置3の機能の詳細については後記する。
The
オペレータ端末4は、オペレータによって操作される端末であり、図示しない入力部や表示部を備えて構成されている。オペレータ端末4の表示部には、ネットワーク監視装置3によって警報に関する情報が表示され、オペレータは、表示された情報を参照して警報への対応を行う。
The
図6を参照して、ネットワーク監視装置3の詳細な構成について説明する。図6は、本実施形態に係るネットワーク監視装置3の機能構成図である。ネットワーク監視装置3は、記憶部10と、処理部20と、通信部30とを備えて構成されている。
A detailed configuration of the
記憶部10は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ等の記憶媒体から構成される。なお、ネットワーク監視装置3をプログラム実行処理により実現する場合、記憶部10には、このネットワーク監視装置3の機能を実現するためのネットワーク監視プログラムが格納される。処理部20は、このネットワーク監視装置3が備えるCPU(Central Processing Unit)によるプログラム実行処理や、専用回路等により実現される。通信部30は、例えば、通信モジュールである。
The
本実施形態に係るネットワーク監視装置3は、前記したような処理を実行させるプログラムによって実現することができ、そのプログラムをコンピュータによる読み取り可能な記録媒体(CD−ROM等)に記憶して提供することが可能である。また、そのプログラムを、インターネット等のネットワークを通して提供することも可能である。
The
記憶部10は、NE情報DB11と、ポリシーDB12と、警報情報DB13とを備えて構成されている。
NE情報DB11には、NE2へのコネクションの確立に必要な最小限の情報(例えば、IPアドレスや装置名)が格納されている。NE情報DB11は、ネットワークNWの監視前に予め作成され、ネットワークNWの構成が変更された場合に更新される。
The
The
ポリシーDB12には、ポリシーに関する情報が格納されている。ポリシーDB12は、ネットワークNWの監視前に予め作成される。ポリシーDB12の構成は、特に限定されるものではなく、様々な構成にすることが可能である。ここでは、ポリシーDB12が状態定義テーブル12aと、組合せ別割合テーブル12bとからなるとして説明するが、例えば、ポリシーDB12が一つのテーブルからなっていてもよいし、また、正規化されてさらに細分化されていてもよい。
The
状態定義テーブル12aのデータ構成例を図7に示す。状態定義テーブル12aは、状態情報と、グループ情報と、警報間の相関関係情報とからなる。
状態情報は、ネットワークNWの状態を示す情報である。ここでの状態は、ネットワークNWを構成するNE2に異常が発生することによりNE2から警報が通知され、オペレータが通知された警報に対して何かしらの対応を行わないといけない場面を想定している。例えば、「状態ABC」は、三つの警報A,B,Cが通知され、オペレータが警報Aの確認を行う場面を想定しており、「状態BAC」は、三つの警報A,B,Cが通知され、オペレータが警報Bの確認を行う場面を想定している。
A data configuration example of the state definition table 12a is shown in FIG. The state definition table 12a includes state information, group information, and correlation information between alarms.
The state information is information indicating the state of the network NW. The state here assumes a situation in which an alarm is notified from the
グループ情報は、状態の集合を示すグループを示す情報である。「グループ1−A」は、#1のNE2から通知される警報Aを確認対象警報とし、警報Aと警報Aに対して相関関係にある相関関係警報との組合せをまとめたものである。また、「グループ1−B」は、#1のNE2から通知される警報Bを確認対象警報とし、警報Bと警報Bに対して相関関係にある相関関係警報との組合せをまとめたものである。「グループ1−A」と「グループ1−B」とは他のグループである。
The group information is information indicating a group indicating a set of states. “Group 1-A” is a collection of combinations of alarm A and a correlation alarm that is correlated with alarm A, with alarm A notified from
警報間の相関関係情報は、警報を識別する情報(例えば、警報名)と当該警報の発行元の部位を識別する情報(例えば、部位名)との組合せで構成される。なお、部位は、装置(NE2)とインタフェース番号等のセットにするのがよいが、ここでは説明を簡単にするために装置単位とする。第1警報名には、確認対象警報の名称が格納されており、第2警報名や第3警報名には確認対象警報に対して相関関係にある相関関係警報の名称が格納されている。例えば、「状態ABC」では、#1のNE2から通知される警報Aが確認対象警報であり、#1のNE2から通知される警報B,Cが警報Aに対する相関関係警報であることを示す。また、「状態BAC」では、#1のNE2から通知される警報Bが確認対象警報であり、#1のNE2から通知される警報A,Cが警報Bに対する相関関係警報であることを示す。 The correlation information between alarms is composed of a combination of information for identifying an alarm (for example, an alarm name) and information for identifying a part from which the alarm is issued (for example, a part name). The part is preferably a set of the device (NE2) and the interface number, etc., but here, in order to simplify the description, it is a unit. The name of the confirmation target alarm is stored in the first alarm name, and the name of the correlation alarm correlated with the confirmation target alarm is stored in the second alarm name and the third alarm name. For example, in the “status ABC”, the alarm A notified from the NE2 of # 1 is a confirmation target alarm, and the alarms B and C notified from the NE2 of # 1 are correlation alarms for the alarm A. In the “state BAC”, the alarm B notified from the NE2 of # 1 is a confirmation target alarm, and the alarms A and C notified from the NE2 of # 1 are correlation alarms for the alarm B.
組合せ別割合テーブル12bのデータ構成例を図8に示す。組合せ別割合テーブル12bは、状態情報と、グループ内割合と、確認必要度と、確認不要度とからなる。
状態情報は、状態定義テーブル12aで説明したものと同様であり、ネットワークNWの状態を示す情報である。
グループ内割合は、グループ内での各状態の割合を示す情報である。例えば、「状態A」,「状態AB」,「状態ABC」は、「グループ1−A」内で共に「1/3」の割合であることを示している。つまり、結果的に「状態A」,「状態AB」,「状態ABC」に至る割合は共に「1/3」で同じであることを示している。
A data configuration example of the combination ratio table 12b is shown in FIG. The combination-specific ratio table 12b includes state information, an in-group ratio, a confirmation necessity degree, and a confirmation unnecessary degree.
The state information is the same as that described in the state definition table 12a, and is information indicating the state of the network NW.
The in-group ratio is information indicating the ratio of each state in the group. For example, “state A”, “state AB”, and “state ABC” indicate that the ratio is “1/3” in “group 1-A”. That is, as a result, the ratios to “state A”, “state AB”, and “state ABC” are all “1/3” and the same.
確認必要度は、オペレータが確認対象警報を確認する必要がある割合を示す情報である。例えば、「状態A」,「状態AB」,「状態ABC」の各状態(状態の割合は共に「1/3」)では、共に「9/30」の割合で確認対象警報である警報Aを確認する必要があることを示している。
確認不要度は、オペレータが確認対象警報を確認する必要がない割合を示す情報である。例えば、「状態A」,「状態AB」,「状態ABC」の各状態(状態の割合は共に「1/3」)では、共に「1/30」の割合で確認対象警報である警報Aを確認する必要がないことを示している。
The degree of necessity of confirmation is information indicating a ratio at which the operator needs to confirm the confirmation target alarm. For example, in each of the states “state A”, “state AB”, and “state ABC” (the ratio of the states is “1/3”), the alarm A that is the confirmation target alarm is set at a ratio of “9/30”. Indicates that confirmation is required.
The confirmation unnecessary degree is information indicating a ratio that the operator does not need to confirm the confirmation target alarm. For example, in each of the states “state A”, “state AB”, and “state ABC” (the ratio of the states is “1/3”), the alarm A that is the confirmation target alarm is set at the ratio of “1/30”. Indicates that there is no need to check.
警報情報DB13(図6参照)には、NE2によって通知された警報の情報(例えば、重要度、発生日時、警報名、警報の発行元の部位など)が格納されている。警報情報DB13は、NE2から警報が通知された場合に更新される。
The alarm information DB 13 (see FIG. 6) stores alarm information notified by the NE 2 (for example, importance, occurrence date / time, alarm name, alarm issue source part, etc.). The
次に、図6を参照して、処理部20の構成について説明する。処理部20は、ポリシー定義部21と、SNMPマネージャ部22と、確認必要度計算部23と、HMI(Human-Machine Interface)部24とを備えて構成されている。なお、ここでは処理の概要のみを説明し、その詳細については動作で説明を行う。
ポリシー定義部21は、オペレータによるポリシーDB12の作成を支援する。SNMPマネージャ部22は、各NE2からTrap通知を受信して、受信したTrap通知に格納される警報に関する情報を警報情報DB13に格納する。確認必要度計算部23は、確認必要度を計算する。HMI部24は、オペレータ端末4に対してユーザインタフェースを提供し、算出した警報に関する情報をオペレータ端末4に対して送信する。また、オペレータ端末4を介したオペレータによる警報に関する情報の入力を受け付ける。
Next, the configuration of the
The
確認必要度計算部23の具体的な処理を図9に示す。図9に示す処理は、NE2から新たな警報が通知された場合に開始される。最初に、確認必要度計算部23は、新たに通知された警報についてオペレータが確認する必要がある期待値(確認必要度)を計算する(ステップU1)。具体的には、確認必要度計算部23は、新たに通知された警報の識別情報(例えば、警報名)をキーにして状態定義テーブル12aの第1警報名を参照し、通知された警報に対応する状態を状態情報から取得する。例えば、新たに警報Bが通知された場合に、状態B,状態BA,状態BAC,状態BCを取得する。
そして、確認必要度計算部23は、取得した状態をキーにして組合せ別割合テーブル12bの状態情報を参照して、対応する確認必要度をグループ内割合で除算することで期待値(確認必要度)を計算する。例えば、状態B,状態BA,状態BAC,状態BCを取得した場合に「((9/60)+ (1/60)+ (1/60)+ (9/20) /(1/6)+ (1/6)+ (1/6) +(1/2))= (38/60)/ (6/6)=63%」を警報Bの確認必要度として計算する。
Specific processing of the confirmation
Then, the confirmation necessity
続いて、確認必要度計算部23は、既に期待値(確認必要度)を計算した警報の中に、新たに通知された警報に相関した警報が存在するか否かを判定する(ステップU2)。具体的には、既に期待値(確認必要度)を計算した警報の識別情報(例えば、警報名)をキーにして状態定義テーブル12aの第1警報名を参照すると共に、新たに通知された警報の識別情報(例えば、警報名)をキーにして状態定義テーブル12aの第2警報名,第3警報名を参照して、これらの条件を満たす状態があるか否かを判定する。相関した警報が存在する場合(ステップU2で“Yes”)に処理をステップU3に進め、一方、相関した警報が存在しない場合(ステップU2で“No”)に処理を終了する。例えば、期待値を「63%」として既に計算した警報Bが存在した状態で新たに警報Aが通知された場合を想定すると、状態BA,状態BACが条件を満たす状態となる。
Subsequently, the confirmation
相関した警報が存在する場合(ステップU2で“Yes”)に、確認必要度計算部23は、相関した警報についてオペレータが確認する必要がある期待値(確認必要度)を再計算する(ステップU3)。具体的には、確認必要度計算部23は、条件を満たすと判定された状態をキーにして組合せ別割合テーブル12bの状態情報を参照して、対応する確認必要度をグループ内割合で除算することで期待値(確認必要度)を再計算する。例えば、状態BA,状態BACが条件を満たすと判定された場合に「((1/60)+ (1/60) /(1/6)+ (1/6))= (2/60)/ (2/6)=10%」を警報A通知後における警報Bの確認必要度として再計算する。
When there is a correlated alarm (“Yes” in step U2), the
≪本実施形態に係るネットワーク監視装置の動作について≫
以下では、本実施形態に係るネットワーク監視装置の動作について説明する。最初に、図10ないし図14を参照して、前提となるポリシーの説明を行い、その後に、図15ないし図22を参照して、説明したポリシーを用いたオペレータへの確認必要度の表示の動作について説明する。
<< Operation of network monitoring apparatus according to this embodiment >>
Below, operation | movement of the network monitoring apparatus which concerns on this embodiment is demonstrated. First, with reference to FIG. 10 to FIG. 14, a premise policy will be described, and thereafter, with reference to FIG. 15 to FIG. 22, an indication of the necessity of confirmation to the operator using the described policy is displayed. The operation will be described.
<ポリシーの説明>
ポリシーは、例えば、経験豊富な熟練のオペレータによって決定され、ポリシー定義部21(図6参照)によってポリシーDB12に事前に登録される。ここでは、例として、ある部位(説明を簡単にするために装置単位とする。)について、下記の5つの警報が発生する可能性があるとする。
・警報A:故障対応するためにほぼ確実に確認が必要な警報。例えば、重要度がMajorのLOS(運用系信号断)。
・警報B:警報Aが発生していれば確認する必要がない警報。例えば、重要度がMinorのLOS(予備系信号断)。冗長構成の場合は、ほとんどの場合、警報Cを伴う。
・警報C:単なる情報であり関連警報が発生していれば確認する必要がない警報。例えば、重要度がInfoのSW-WORK(パス切替)。関連する警報とは、警報A、警報B、警報Dである。
・警報D:警報A、警報B、警報Eとは独立で発生するものである。警報Aより確認の優先度が高い。例えば、重要度がMajorのEQP(装置故障)。
・警報E:警報A、警報B、警報C、警報Dとは独立で発生するものである。警報Dより確認の優先度が低く、警報Aより確認の優先度が高い。例えば、重要度がMajorのEQP(装置故障)。
<Description of policy>
The policy is determined, for example, by an experienced operator who is experienced and registered in advance in the
-Alarm A: An alarm that needs to be confirmed almost certainly in order to cope with a failure. For example, LOS (major signal loss) with a Majority of Major.
Alarm B: An alarm that does not need to be confirmed if alarm A has occurred. For example, LOS with importance Minor (spare system signal loss). In the redundant configuration, alarm C is almost always accompanied.
Alarm C: An alarm that is merely information and does not need to be confirmed if a related alarm has occurred. For example, SW-WORK (path switching) whose importance is Info. Related alarms are alarm A, alarm B, and alarm D.
Alarm D: Alarm A, Alarm B, and Alarm E are generated independently. Confirmation priority is higher than alarm A. For example, EQP (equipment failure) with an importance of Major.
Alarm E: The alarm A, the alarm B, the alarm C, and the alarm D are generated independently. The priority of confirmation is lower than alarm D, and the priority of confirmation is higher than alarm A. For example, EQP (equipment failure) with an importance of Major.
(確認対象警報が警報Aの場合のポリシー)
警報Aが発生する際の起こりうる状態を「状態A」,「状態AB」,「状態ABC」の3つの状態とする。
・状態A:結果的に警報Aのみが発生する状態。
・状態AB:結果的に警報A、警報Bのみが発生する状態。
・状態ABC:結果的に警報A、警報B、警報Cのみが発生する状態。
(Policy when the alarm to be confirmed is alarm A)
Possible states when the alarm A occurs are “state A”, “state AB”, and “state ABC”.
-State A: As a result, only alarm A occurs.
State AB: State where only alarm A and alarm B occur as a result.
-State ABC: As a result, only alarm A, alarm B, and alarm C are generated.
また、「状態A」の割合P(JA),「状態AB」の割合P(JAB),「状態ABC」の割合P(JABC)の内訳を図10のように定義する。ここでは、警報Aを「故障対応するためにほぼ確実に確認が必要な警報」と定義しており、状態A、状態AB、状態ABCのいずれであっても警報Aをほぼ確実に確認すべきなので、特に特定の状態に重みはつけず「P(JA)= P(JAB)= P(JABC)= 1/3」としている。また、いずれの状態でも警報Aをオペレータが確認する必要がある確認必要度を「P(JAO)/P(JA)= P(JABO)/P(JAB)= P(JABCO)/P(JABC)= (9/30)/(1/3)」で示すように「9割」とする。 Further, the breakdown of the ratio P (JA) of “state A”, the ratio P (JAB) of “state AB”, and the ratio P (JABC) of “state ABC” is defined as shown in FIG. Here, alarm A is defined as “alarm that needs to be confirmed almost certainly in order to deal with a failure”, and alarm A should be confirmed almost certainly in any of state A, state AB, and state ABC. Therefore, no weight is given to a specific state, and “P (JA) = P (JAB) = P (JABC) = 1/3” is set. Also, in any state, the level of confirmation that the operator needs to confirm alarm A is “P (JAO) / P (JA) = P (JABO) / P (JAB) = P (JABCO) / P (JABC) = “90%” as shown in (9/30) / (1/3) ”.
(確認対象警報が警報Bの場合のポリシー)
警報Bが発生する際の起こりうる状態を「状態B」,「状態BA」,「状態BAC」,「状態BC」の4つの状態とする。
・状態B:結果的に警報Bのみが発生する状態。
・状態BA:結果的に警報B、警報Aのみが発生する状態。
・状態BAC:結果的に警報B、警報A、警報Cのみが発生する状態。
・状態BC:結果的に警報B、警報Cのみが発生する状態。
(Policy when the alarm to be confirmed is alarm B)
Possible states when the alarm B is generated are four states of “state B”, “state BA”, “state BAC”, and “state BC”.
-State B: As a result, only alarm B occurs.
State BA: State where only alarm B and alarm A occur as a result.
State BAC: A state in which only alarm B, alarm A, and alarm C occur as a result.
-State BC: As a result, only alarm B and alarm C occur.
また、「状態B」の割合P(JB),「状態BA」の割合P(JBA),「状態BAC」の割合P(JBAC),「状態BC」の割合P(JBC)の内訳を図11のように定義する。ここでは、警報Bを「冗長構成の場合は、ほとんどの場合、警報Cを伴う」と定義しており、状態BCとなることが多いので「P(JBC)=1/2」とする。また、警報Bを「警報Aが発生していれば確認する必要がない警報」と定義しており、警報Aがないときに警報Bをオペレータが確認する必要がある確認必要度を「P(JBO)/P(JB)= (9/60)/(1/6)、P(JBCO)/P(JBC)= (9/20)/(1/2))」で示すように「9割」とする。逆に、警報Aがあるときに警報Bをオペレータが確認する必要がある確認必要度を「P(JBAO)/P(JBA)= (1/60)/(1/6)、P(JBACO)/P(JBAC)= (1/60)/(1/6)」で示すように「1割」とする。 FIG. 11 shows a breakdown of the ratio P (JB) of “state B”, the ratio P (JBA) of “state BA”, the ratio P (JBAC) of “state BAC”, and the ratio P (JBC) of “state BC”. Define as follows. Here, the alarm B is defined as “almost always accompanied by the alarm C in the case of a redundant configuration”, and since the state BC is often obtained, “P (JBC) = 1/2” is set. Also, alarm B is defined as “alarm that does not need to be confirmed if alarm A has occurred”, and the degree of confirmation that the operator needs to confirm alarm B when there is no alarm A is “P ( (JBO) / P (JB) = (9/60) / (1/6), P (JBCO) / P (JBC) = (9/20) / (1/2)) ” " On the other hand, when there is an alarm A, the level of confirmation that the operator needs to confirm alarm B is “P (JBAO) / P (JBA) = (1/60) / (1/6), P (JBACO) As shown by “/ P (JBAC) = (1/60) / (1/6)”, “10%” is set.
(確認対象警報が警報Cの場合のポリシー)
警報Cが発生する際の起こりうる状態を「状態C」,「状態CB」,「状態CAB」,「状態CD」,「状態CBD」,「状態CABD」の6つの状態とする。
・状態C:結果的に警報Cのみが発生する状態。
・状態CB:結果的に警報C、警報Bのみが発生する状態。
・状態CAB:結果的に警報C、警報A、警報Bのみが発生する状態。
・状態CD:結果的に警報C、警報Dのみが発生する状態。
・状態CBD:結果的に警報C、警報B、警報Dのみが発生する状態。
・状態CABD:結果的に警報C、警報A、警報B、警報Dのみが発生する状態。
(Policy when the alarm to be confirmed is alarm C)
The possible states when the alarm C is generated are six states of “state C”, “state CB”, “state CAB”, “state CD”, “state CBD”, and “state CABD”.
-State C: As a result, only alarm C occurs.
-State CB: As a result, only alarm C and alarm B are generated.
State CAB: A state in which only alarm C, alarm A, and alarm B are generated as a result.
State CD: A state in which only alarm C and alarm D are generated as a result.
-State CBD: As a result, only alarm C, alarm B, and alarm D are generated.
State CABD: A state in which only alarm C, alarm A, alarm B, and alarm D are generated as a result.
また、6つの状態である「状態C」の割合P(JC),「状態CB」の割合P(JCB),「状態CAB」の割合P(JCAB),「状態CD」の割合P(JCD),「状態CBD」の割合P(JCBD),「状態CABD」の割合P(JCABD)の内訳を図12のように定義する。ここでは、警報Cを「単なる情報であり関連警報が発生していれば確認する必要がない警報」と定義しており、警報Cが先に発生している際には警報Cを確認させたいとして、P(JC)の割合を大きくする。また、警報A、警報B、警報Dの何れかがあるときに警報Cをオペレータが確認する必要がある確認必要度を「P(JCBO)/P(JCB)= P(JCABO)/P(JCAB)= P(JCDO)/P(JCD)= P(JCBDO)/P(JCBD)= P(JCABDO)/P(JCABD)= (1/120)/ (1/12)」で示すように「1割」とする。 Further, the ratio P (JC) of the “state C”, which is the six states, the ratio P (JCB) of the “state CB”, the ratio P (JCAB) of the “state CAB”, and the ratio P (JCD) of the “state CD” , The breakdown of the ratio P (JCBD) of the “state CBD” and the ratio P (JCABD) of the “state CABD” is defined as shown in FIG. Here, the alarm C is defined as “alarm that is just information and does not need to be confirmed if a related alarm has occurred”. When the alarm C has occurred first, the alarm C should be confirmed. The ratio of P (JC) is increased. In addition, when there is any one of alarm A, alarm B and alarm D, the confirmation necessity degree that the operator needs to confirm alarm C is expressed as “P (JCBO) / P (JCB) = P (JCABO) / P (JCAB ) = P (JCDO) / P (JCD) = P (JCBDO) / P (JCBD) = P (JCABDO) / P (JCABD) = (1/120) / (1/12) ” Discount ".
(確認対象警報が警報Dの場合のポリシー)
警報Dが発生する際の起こりうる状態を「状態D」,「状態DC」の2つの状態とする。
・状態D:結果的に警報Dのみが発生する状態。
・状態DC:結果的に警報D、警報Cのみが発生する状態。
また、「状態D」の割合P(JD),「状態DC」の割合P(JDC)の内訳を図13のように定義する。ここでは、警報Dを「警報A、警報B、警報Eとは独立で発生するものである。警報Aより確認の優先度が高い。」と定義しており、警報Dの確認の優先度を警報Aの確認の優先度よりも高くしたいので、「P(JD),P(JDC) =1/2」における割合を「P(JDO),P(JDCO) =99/200」とする。
(Policy when the alarm to be confirmed is alarm D)
Possible states when the alarm D is generated are two states of “state D” and “state DC”.
State D: A state in which only alarm D occurs as a result.
State DC: A state in which only alarm D and alarm C occur as a result.
Further, the breakdown of the ratio P (JD) of “state D” and the ratio P (JDC) of “state DC” is defined as shown in FIG. Here, the alarm D is defined as “the alarm A, the alarm B, and the alarm E are generated independently. The confirmation priority is higher than the alarm A”. Since we want to make it higher than the priority of confirmation of alarm A, the ratio in “P (JD), P (JDC) = 1/2” is set to “P (JDO), P (JDCO) = 99/200”.
(確認対象警報が警報Eの場合のポリシー)
警報Eが発生する際の起こりうる状態を「状態E」の1つの状態とする。
・状態E:結果的に警報Eのみが発生する状態。
また、「状態E」の割合P(JE)の内訳を図14のように定義する。ここでは、警報Eを「警報A、警報B、警報C、警報Dとは独立で発生するものである。警報Dより確認の優先度が低く、警報Aより確認の優先度が高い。」と定義しており、警報Eは他のどの警報とも相関がないとし、警報Eの確認の優先度を警報Dの確認の優先度よりも低く、警報Aの確認の優先度よりも高くしたいので、「P(JE)=1」における割合を「P(JEO)=95/100」とする。
(Policy when the alarm to be confirmed is alarm E)
A possible state when the alarm E is generated is defined as one state of “state E”.
-State E: As a result, only the alarm E occurs.
Further, the breakdown of the ratio P (JE) of “state E” is defined as shown in FIG. Here, the alarm E is generated independently of the alarm A, alarm B, alarm C, and alarm D. The confirmation priority is lower than the alarm D, and the confirmation priority is higher than the alarm A. Since alarm E has no correlation with any other alarms, we want to make alarm E confirmation priority lower than alarm D confirmation priority and higher than alarm A confirmation priority. The ratio in “P (JE) = 1” is “P (JEO) = 95/100”.
<オペレータへの確認必要度の表示の動作>
図15を参照して、オペレータへの確認必要度の表示の動作について説明する。最初に、#1のNE2で警報Cが発生したとする。すると、#1のNE2は、警報Cを示すトラップ通知をネットワーク監視装置3に対して送信する(ステップS11)。トラップ通知を受信したネットワーク監視装置3の確認必要度計算部23は、警報Cの確認必要度を算出する(ステップS12)。具体的には、この時点において将来的にどの状態になるのか不明であるため、確認必要度計算部23は、オペレータが警報Cを確認する必要がある期待値を、図16の太線で囲まれた領域「(P(JCO)+P(JCBO)+P(JCABO)+P(JCDO)+P(JCBDO)+P(JCABDO))/P(C) = 74/120 =62%」として算出する。
<Operation of displaying the necessity of confirmation to the operator>
With reference to FIG. 15, the operation of displaying the degree of necessity for confirmation to the operator will be described. First, it is assumed that alarm C is generated at NE2 of # 1. Then, the
続いて、ネットワーク監視装置3のHMI部24は、算出した警報Cの確認必要度の情報などをオペレータ端末4に対して送信する(ステップS13)。そして、オペレータ端末4は、警報Cの確認必要度の情報などを含んだ画面(図22(a)参照)を表示する(ステップS14)。オペレータは、この画面の警報Cに注目して警報Cの確認および対応を行うことも可能であるが、ここでは、警報Cへの確認および対応をすぐに行わなかったことにする(ステップT1)。
Subsequently, the
次に、#1のNE2で警報Bが発生したとする。すると、#1のNE2は、警報Bを示すトラップ通知をネットワーク監視装置3に対して送信する(ステップS21)。トラップ通知を受信したネットワーク監視装置3の確認必要度計算部23は、警報Cおよび警報Bの確認必要度を算出する(ステップS22)。
Next, it is assumed that alarm B is generated at NE2 of # 1. Then, the
警報Cの確認必要度の算出において、警報Bが発生したことにより、状態C(P(JC))および状態CD(P(JCD))はとり得なくなるので、確認必要度計算部23は、警報Cをオペレータが確認する必要がある期待値を、図17の太線で囲まれた領域「(P(JCBO)+P(JCABO)+P(JCBDO)+P(JCABDO))/(P(JCB)+P(JCAB)+P(JCBD)+P(JCABD)) = (4/120)/(4/12) = 1/10 = 10%」として算出する。つまり、警報Bが発生したことで、オペレータが警報Cを確認する必要がある期待値は、「62%」から「10%」に変化する。 In the calculation of the necessity level of the alarm C, the condition C (P (JC)) and the state CD (P (JCD)) cannot be obtained because the alarm B is generated. The expected value that the operator needs to confirm C is indicated by the area “(P (JCBO) + P (JCABO) + P (JCBDO) + P (JCABDO)) / (P (JCB)) surrounded by a thick line in FIG. + P (JCAB) + P (JCBD) + P (JCABD)) = (4/120) / (4/12) = 1/10 = 10% ”. That is, when the alarm B occurs, the expected value that the operator needs to confirm the alarm C changes from “62%” to “10%”.
また、警報Bの確認必要度の算出において、警報Cが既に発生しているため、状態B(P(JB))および状態BA(P(JBA))はとり得ないので、確認必要度計算部23は、警報Bをオペレータが確認する必要がある期待値を、図18の太線で囲まれた領域「(P(JBACO)+P(JBCO))/(P(JBAC)+P(JBC)) = (28/60)/(4/6) = 28/40 = 70%」として算出する。 In addition, since the alarm C has already occurred in the calculation of the necessity level of the alarm B, the state B (P (JB)) and the state BA (P (JBA)) cannot be taken. 23, an expected value that the operator needs to confirm alarm B is displayed in the area “(P (JBACO) + P (JBCO)) / (P (JBAC) + P (JBC)) surrounded by a thick line in FIG. = (28/60) / (4/6) = 28/40 = 70% ".
続いて、ネットワーク監視装置3のHMI部24は、算出した警報B,Cの確認必要度の情報などをオペレータ端末4に対して送信する(ステップS23)。そして、オペレータ端末4は、警報B発生後における警報B,Cの確認必要度の情報などを含んだ画面(図22(b)参照)を表示する(ステップS24)。ここでは、警報Cの確認必要度に比べて警報Bの確認必要度が高くなっている。その為、オペレータは、この画面の警報Bに注目して警報Bの確認および対応を行うことも可能であるが、ここでは、警報Bへの確認および対応をすぐに行わなかったことにする(ステップT2)。
Subsequently, the
次に、#1のNE2で警報Aが発生したとする。すると、#1のNE2は、警報Aを示すトラップ通知をネットワーク監視装置3に対して送信する(ステップS31)。トラップ通知を受信したネットワーク監視装置3の確認必要度計算部23は、警報C,BおよびAの確認必要度を算出する(ステップS32)。
Next, it is assumed that alarm A occurs at NE2 of # 1. Then, the
警報Cの確認必要度の算出において、警報Aが発生したことにより、状態C(P(JC))および状態CD(P(JCD))に加えて状態CB(P(JCB))および状態CDB(P(JCBD))はとり得なくなるので、確認必要度計算部23は、警報Cをオペレータが確認する必要がある期待値を、図19の太線で囲まれた領域「(P(JCABO)+P(JCABDO))/(P(JCAB)+P(JCABD)) = (2/120)/(2/12) = 1/10 = 10%」として算出する。つまり、警報Aが発生したとしても、オペレータが警報Cを確認する必要がある期待値は、「10%」のままとなる。
In the calculation of the necessity of confirmation of alarm C, the occurrence of alarm A causes state CB (P (JCB)) and state CDB (in addition to state C (P (JC)) and state CD (P (JCD)). P (JCBD)) cannot be taken, so the confirmation
また、警報Bの確認必要度の算出において、警報Aが発生したことにより、状態B(P(JB))および状態BA(P(JBA))に加えて状態BC(P(JBC))はとり得ないので、確認必要度計算部23は、警報Bをオペレータが確認する必要がある期待値を、図20の太線で囲まれた領域「P(JBACO)/P(JBAC) = (1/60)/(1/6) = 1/10 = 10%」として算出する。つまり、警報Aが発生したことで、オペレータが警報Bを確認する必要がある期待値は、「70%」から「10%」に変化する。
In addition, in the calculation of the necessity of confirmation of alarm B, state BC (P (JBC)) is taken in addition to state B (P (JB)) and state BA (P (JBA)) because alarm A occurs. Since it is not obtained, the confirmation necessity
また、警報Aの確認必要度の算出において、警報B,Cが既に発生しているため、状態A(P(JA))および状態AB(P(JAB))はとり得ないので、確認必要度計算部23は、警報Aをオペレータが確認する必要がある期待値を、図21の太線で囲まれた領域「P(JABCO)/P(JABC) = (9/30)/(1/3) = 9/10 = 90%」として算出する。
In the calculation of the necessity of confirmation of alarm A, since alarms B and C have already occurred, state A (P (JA)) and state AB (P (JAB)) cannot be taken. The
続いて、ネットワーク監視装置3のHMI部24は、算出した警報A,B,Cの確認必要度の情報などをオペレータ端末4に対して送信する(ステップS33)。そして、オペレータ端末4は、警報A発生後における警報A,B,Cの確認必要度の情報などを含んだ画面(図22(c)参照)を表示する(ステップS34)。ここでは、警報B,Cの確認必要度に比べて警報Aの確認必要度が高くなっている。その為、オペレータは、この画面の警報Aに注目して警報Aの確認および対応を行うことも可能であるが、ここでは、警報Aへの確認および対応をすぐに行わなかったことにする(ステップT3)。
Subsequently, the
次に、#1のNE2で警報D,Eが発生したとする。すると、#1のNE2は、警報D,Eを示すトラップ通知をネットワーク監視装置3に対して送信する(ステップS41)。トラップ通知を受信したネットワーク監視装置3の確認必要度計算部23は、警報C,B,AおよびD,Eの確認必要度を同様のやり方で算出する(ステップS42)。なお、警報A,Bは、警報D,Eと相関関係にないので、警報D,Eが発生したとしても確認必要度の算出を行わず、警報C,D,Eについてのみ確認必要度の算出を行う。これにより、オペレータが警報C,B,Aを確認する必要がある期待値は、「10%」,「10%」,「90%」のままとなる。また、オペレータが警報D,Eを確認する必要がある期待値は、それぞれ「99%」,「95%」となる。
Next, it is assumed that alarms D and E occur at
続いて、ネットワーク監視装置3のHMI部24は、算出した警報A,B,C,D,Eの確認必要度の情報などをオペレータ端末4に対して送信する(ステップS43)。そして、オペレータ端末4は、警報D,E発生後における警報A,B,C,D,Eの確認必要度の情報などを含んだ画面(図22(d)参照)を表示する(ステップS44)。ここでは、警報A,B,C,Eの確認必要度に比べて警報Dの確認必要度が高くなっている。その為、オペレータは、この画面の警報Dに注目して警報Dの確認および対応を行う(ステップT4)。
Subsequently, the
次に、オペレータは、警報A,B,Cの確認必要度に比べて確認必要度が高くなっている警報Eの確認および対応を行い(ステップT5)、最後に警報B,Cの確認必要度に比べて確認必要度が高くなっている警報Aの確認および対応を行う(ステップT6)。なお、警報B,Cは、警報Aと相関関係にあるので、警報Aの確認および対応を行うことにより警報B,Cの確認および実行を省略することができる。 Next, the operator confirms and responds to alarm E, which requires a higher degree of confirmation than the degree of confirmation of alarms A, B, and C (step T5). The alarm A, which has a higher degree of necessity for confirmation, is confirmed and dealt with (step T6). Since alarms B and C are correlated with alarm A, confirmation and execution of alarms B and C can be omitted by confirming and responding to alarm A.
以上のように、実施形態に係るネットワーク監視装置3は、警報が発生する度に、予め登録されたポリシーDB12を用いて、通知された警報の確認必要度および通知された警報と相関関係にある警報の確認必要度を計算する。その為、計算された確認必要度をオペレータに対して出力することで、オペレータは複数の警報の中から重要なものを優先的に確認することができる。
As described above, the
また、実施形態に係るネットワーク監視装置3は、直接的には相関関係のない警報間(例えば、警報A,D間や警報A,E間)であっても、例えば、より重要な警報(例えば、警報D,E)に対して確認必要度が大きくなるようにすることができる。
In addition, the
[変形例]
以上、本発明の実施形態について説明したが、本発明はこれに限定されるものではなく、特許請求の範囲の趣旨を変えない範囲で実施することができる。実施形態の変形例を以下に示す。
[Modification]
As mentioned above, although embodiment of this invention was described, this invention is not limited to this, It can implement in the range which does not change the meaning of a claim. The modification of embodiment is shown below.
本実施形態では、SNMPを前提としていたが、これに限定されるものではない。例えば、ネットワーク監視装置3は、SNMP以外のプロトコルを使用して、NE2から警報を受信することも可能である。
In the present embodiment, SNMP is assumed, but the present invention is not limited to this. For example, the
また、本実施形態では、ネットワークNWを構成するNE2に異常が発生することによりNE2から警報が通知され、警報の数が増加する場合を想定していた。しかしながら、異常が解消することにより警報の数が減少する場合についても本発明を適用することができる。例えば、警報A,B,Cが通知され、それぞれの警報に対する確認必要度を計算している状態から警報Cが解消した場合に、警報Cと相関関係にある警報A,Bの確認必要度を再計算するようにしてもよい。
Further, in the present embodiment, it is assumed that an alarm is notified from the
1 ネットワーク監視システム
2 NE(通信装置)
3 ネットワーク監視装置
4 オペレータ端末
10 記憶部
11 NE情報DB
12 ポリシーDB(ポリシー情報)
12a 状態定義テーブル
12b 組合せ別割合テーブル
13 警報情報DB
20 処理部
21 ポリシー定義部
22 SNMPマネージャ部
23 確認必要度計算部
24 HMI部
30 通信部
1
3
12 Policy DB (policy information)
12a State definition table 12b Ratio table according to
DESCRIPTION OF
Claims (4)
オペレータによる前記警報の確認を必要とする確認必要度を、確認対象の警報である確認対象警報と当該確認対象警報に対して相関関係にある相関関係警報との組合せを条件とする条件付き確率で定義したポリシー情報が記憶される記憶部と、
前記通信装置から新たな第1の警報が通知された場合に、前記第1の警報をキーにして前記ポリシー情報の前記確認対象警報を検索し、今後取り得る警報の組合せから前記第1の警報の確認必要度を計算する確認必要度計算部と、を備え、
前記確認必要度計算部は、前記第1の警報が通知された場合に、前記第1の警報と相関関係にあると共に前記第1の警報よりも前に通知されたことで既に確認必要度を計算済みの第2の警報の前記確認必要度を、前記第2の警報をキーにして前記ポリシー情報を参照することで再計算する、
ことを特徴とするネットワーク監視装置。 A network monitoring device that monitors a network using an alarm notified from a communication device,
The degree of necessity of confirmation requiring confirmation of the alarm by the operator is a conditional probability based on a combination of a confirmation target alarm that is a confirmation target alarm and a correlation alarm that is correlated with the confirmation target alarm. A storage unit for storing the defined policy information;
When a new first alarm is notified from the communication device, the confirmation target alarm of the policy information is searched using the first alarm as a key, and the first alarm is obtained from a combination of alarms that can be taken in the future. A confirmation necessity calculator for calculating the confirmation necessity of
When the first alarm is notified, the confirmation necessity degree calculation unit is correlated with the first alarm and is notified before the first alarm, so that the confirmation necessity degree has already been obtained. Recalculating the degree of necessity of confirmation of the calculated second alarm by referring to the policy information using the second alarm as a key;
A network monitoring device.
ことを特徴とする請求項1に記載のネットワーク監視装置。 The policy information includes a ratio of a state in which only the confirmation target alarm is generated with respect to an entire event that the confirmation target alarm is generated and a correlation alarm that is correlated when the confirmation target alarm is generated at the same time. The ratio of the state that occurs is defined, and the ratio that indicates the necessity of confirmation of the confirmation target alarm by the operator is further defined for the defined ratio of each state.
The network monitoring apparatus according to claim 1.
ことを特徴とする請求項2に記載のネットワーク監視装置。 The ratio indicating the necessity of confirmation is the relationship with the alarm belonging to another group when the combination of the confirmation target alarm and the correlation alarm correlated with the confirmation target alarm is made into one group. Is determined according to the
The network monitoring apparatus according to claim 2.
前記ネットワーク監視装置は、
オペレータによる前記警報の確認を必要とする確認必要度を、確認対象の警報である確認対象警報と当該確認対象警報に対して相関関係にある相関関係警報との組合せを条件とする条件付き確率で定義したポリシー情報が記憶される記憶部を有し、
前記通信装置から新たな第1の警報が通知された場合に、前記第1の警報をキーにして前記ポリシー情報の前記確認対象警報を検索し、今後取り得る警報の組合せから前記第1の警報の確認必要度を計算するステップと、
前記第1の警報が通知された場合に、前記第1の警報と相関関係にあると共に前記第1の警報よりも前に通知されたことで既に確認必要度を計算済みの第2の警報の前記確認必要度を、前記第2の警報をキーにして前記ポリシー情報を参照することで再計算するステップとを実行する、
ことを特徴とするネットワーク監視方法。 A network monitoring method of a network monitoring device for monitoring a network using an alarm notified from a communication device,
The network monitoring device
The degree of necessity of confirmation requiring confirmation of the alarm by the operator is a conditional probability based on a combination of a confirmation target alarm that is a confirmation target alarm and a correlation alarm that is correlated with the confirmation target alarm. A storage unit for storing the defined policy information;
When a new first alarm is notified from the communication device, the confirmation target alarm of the policy information is searched using the first alarm as a key, and the first alarm is obtained from a combination of alarms that can be taken in the future. Calculating the confirmation level of
When the first alarm is notified, the second alarm that has a correlation with the first alarm and that has already been calculated prior to the first alarm is already calculated. Recalculating the degree of confirmation necessity by referring to the policy information with the second alarm as a key,
A network monitoring method characterized by the above.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016060219A JP6463703B2 (en) | 2016-03-24 | 2016-03-24 | Network monitoring apparatus and network monitoring method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016060219A JP6463703B2 (en) | 2016-03-24 | 2016-03-24 | Network monitoring apparatus and network monitoring method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017175423A JP2017175423A (en) | 2017-09-28 |
| JP6463703B2 true JP6463703B2 (en) | 2019-02-06 |
Family
ID=59972375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016060219A Active JP6463703B2 (en) | 2016-03-24 | 2016-03-24 | Network monitoring apparatus and network monitoring method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6463703B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6988727B2 (en) | 2018-07-31 | 2022-01-05 | 日本電信電話株式会社 | Maintenance task management device and maintenance task management method |
| WO2022259324A1 (en) * | 2021-06-07 | 2022-12-15 | 日本電信電話株式会社 | Correct answer data generation device, correct answer data generation method, and correct answer data generation program |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2001295016A1 (en) * | 2000-09-01 | 2002-03-13 | Sri International, Inc. | Probabilistic alert correlation |
| JP3902564B2 (en) * | 2003-04-15 | 2007-04-11 | 中部日本電気ソフトウェア株式会社 | Fault reporting device and fault reporting method |
| JP4679314B2 (en) * | 2005-09-15 | 2011-04-27 | 株式会社富士通エフサス | Notification method and system for failure notification |
| JP4612525B2 (en) * | 2005-10-25 | 2011-01-12 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Network fault site identification apparatus and method |
| EP1785866A1 (en) * | 2005-11-08 | 2007-05-16 | Hewlett-Packard Development Company, L.P. | Alarm consolidaton in IT infrastructures |
-
2016
- 2016-03-24 JP JP2016060219A patent/JP6463703B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017175423A (en) | 2017-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7416919B2 (en) | Data processing methods and devices and computer storage media | |
| Potharaju et al. | When the network crumbles: An empirical study of cloud network failures and their impact on services | |
| US7836354B2 (en) | Method and system for providing automatic disabling of network debugging | |
| US11502895B1 (en) | Internet failover connectivity and monitoring | |
| CN114172794B (en) | Network fault location method and server | |
| EP3811216B1 (en) | Method and system for assessing network resource failures using passive shared risk resource groups | |
| US11711281B2 (en) | Methods and network devices for detecting and resolving abnormal routes | |
| EP3203684A1 (en) | Method, apparatus and system for network operations, administration and maintenance | |
| CN102006202A (en) | Router identification collision detection method and router | |
| CN102710450A (en) | Fault location method and device thereof | |
| Doerr et al. | All quiet on the internet front? | |
| CN118282886A (en) | Detecting Wired Client Stuck | |
| JP6463703B2 (en) | Network monitoring apparatus and network monitoring method | |
| CN116708129B (en) | A method, apparatus, and storage medium for link fault detection and rapid recovery. | |
| US11329862B2 (en) | Method and system for assigning resource failure severity in communication networks | |
| JP5292929B2 (en) | Monitoring device | |
| CN109688242B (en) | Cloud protection system and method | |
| CN102143011B (en) | Device and method for realizing network protection | |
| US10402765B1 (en) | Analysis for network management using customer provided information | |
| US20090238077A1 (en) | Method and apparatus for providing automated processing of a virtual connection alarm | |
| CN113824595B (en) | Link switching control method and device and gateway equipment | |
| CN112448828B (en) | High availability implementation method and device for CE router in IP bearing network | |
| Evang | A 10-Layer Model for Service Availability Risk Management. | |
| US20190332463A1 (en) | Hardware error corrections based on policies | |
| JP2013206047A (en) | Failure spread management system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180220 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181217 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181225 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190104 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6463703 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |