-
GEBIET DER
ERFINDUNG
-
Die
vorliegende Erfindung betrifft im Allgemeinen die Überwachung
von Netzwerkelementen in Verbindung mit Anordnungen zur Netzwerkverwaltung,
und insbesondere eine Technik zur leistungsfähigen reaktiven Überwachung
einer Vielzahl von Netzwerkelementen, wie sie in einer Internet-
oder Intranetumgebung gefunden werden können.
-
ALLGEMEINER
STAND DER TECHNIK
-
Effiziente
Netzwerkverwaltung setzt voraus, über zuverlässige Informationen über das
verwaltete System zu verfügen.
Der einzige Weg, um solche Informationen an der Verwaltungsstation
zu erhalten, besteht in kontinuierlicher Überwachung der Systemparameter,
welche Verwaltungsentscheidungen beeinflussen. Die zunehmende Komplexität von verwalteten
Systemen und der durch sie bereitgestellten Dienste erzeugt einen
Bedarf an Überwachung
von mehr und mehr Parametern. Wenn das verwaltete System aus einem
Netzwerk besteht, werden dieselben Verbindungen häufig verwendet,
um sowohl die Nutzinformationen als auch die Überwachungsdaten zu übermitteln.
In diesem Fall hat das Volumen der gerade übermittelten Überwachungsdaten
einen direkten Einfluss auf die Leistung des verwalteten Systems.
Aus diesem Grund ist die Minimierung der Menge von Verkehr, der
in solchen Netzwerken die Überwachung
betrifft, ein wichtiges Ziel.
-
Es
können
zwei Arten von Überwachung
unterschieden werden: statistische Überwachung und reaktive Überwachung.
Bei statistischer Überwachung
leitet die Verwaltungsstation von „Rohdaten" einige statistische Eigenschaften ab,
welche häufig zum
Vorhersagen einiger zukünftiger
Trends verwendet werden. Grundsätzlich
bedeutet dies, dass alle „Rohdaten" an die Verwaltungsstation übermittelt werden
müssen.
In diesem Fall ist das Potenzial zum Reduzieren des Überwachungsverkehrs
nicht groß, weil
alle Daten an der Verwaltungsstation ankommen müssen.
-
Bei
reaktiver Überwachung
benötigt
die Verwaltungsstation Informationen über den Netzwerkzustand, damit
sie auf bestimmte Alarmzustände
(in Echtzeit oder Halbechtzeit), die innerhalb des Netzwerks entstehen
können,
reagieren kann. Derartige Zustände
zeigen häufig
entweder einen Fehler oder ein von der Regel abweichendes Verhalten
an, was später
eine Störung
verursachen kann. In diesem Fall besteht eine gute Möglichkeit,
einen Mechanismus zu finden, welcher die zu der Verwaltungsstation übermittelte
Datenmenge minimiert.
-
Zwei
Grundtechniken werden zur reaktiven Netzwerküberwachung verwendet: Abfragen
und Ereignismeldung (vgl. William Stallings, SNMP, SNMPv2, SNMPv3,
RMON1 und 2, Adison Wesley, 1998). Abfragen ist ein Verfahren, bei
welchem die Verwaltungsstation Anforderungen an Netzwerkelemente
sendet, um die Statusinformationen zu erhalten. Typischerweise wird
das Abfragen periodisch durchgeführt,
wobei die festgelegte Frequenz durch das Zeitfenster bestimmt wird,
in dem der Alarmzustand erfasst werden muss. Ereignismeldung ist
ein Verfahren, bei dem ein lokales Ereignis in einem Netzwerkelement
eine Meldung auslöst,
die durch das Element an die Verwaltungsstation gesendet wird. In
vielen praktischen Netzwerkverwaltungsanwendungen können asynchrone
Fangvorrichtungen in Netzwerkelementen definiert werden, so dass
Ereignismeldung an Stelle von explizitem Abfragen verwendet werden
kann. Dies kann leistungsfähiger sein,
weil ein Ereignis nur erzeugt wird, wenn der Wert einer Statusvariablen
eines Netzwerkelementes einen bestimmten Schwellenwert erreicht.
In vielen Fällen
besteht allerdings die Notwendigkeit, ein globales Systemparameter
zu überwachen,
welches als eine Funktion von lokalen Eigenschaften von unterschiedlichen
Netzwerkelementen definiert ist. Damit solche globalen Parameter
unter Verwendung von Ereignismeldung überwacht werden können, müssen lokale
Fangvorrichtungen kontinuierlich mit der festgelegten Frequenz ausgesendet
werden, wodurch die Ereignismeldung genauso kostenintensiv wie periodisches
Abfragen wird.
-
Kürzlich ist
ein neuartiges theoretisches Rahmenwerk zum Minimieren von Abfragen
im Fall von reaktiver Überwachung
in einem Artikel von Jia Jiao, Shamim Naqvi, Danny Raz und Binay
Sugla mit dem Titel „Toward
efficient monitoring" (In
Richtung leistungsfähiger Überwachung),
in dem IEEE Journal on Selected Areas in Communications (IEEE Magazin über ausgewählte Bereiche
der Kommunikation) beschrieben worden, 18(5):723–732, Mai 2000. Der von Jiao
et al. beschriebene Lösungsangang
beruht auf der Tatsache, dass die Entwicklung von Statusvariablen
gewöhnlich
durch einige Begrenzungen eingeschränkt ist. Die Berücksichtigung
dieser Begrenzungen ermöglicht
der Verwaltungsstation, den zukünftigen
Status auf der Grundlage von historischen Informationen vorherzusagen,
und aperiodisches Abfragen nur dann durchzuführen, wenn eine Möglichkeit
eines Alarmzustandes vorliegt. Das Rahmenwerk von Jiao et al. beschäftigt sich
nur mit Abfragen. Dementsprechend ist diese Technik nicht in der
Lage, die erforderliche Leistungsfähigkeit herzustellen, die benötigt wird,
um einen reales Netzwerk mit einer großen Anzahl von Elementen erfolgreich
zu verwalten.
-
Das
Dokument US-A-5 459 837 offenbart selektive Bereitstellung einer
Vielzahl von Monitoren in einem Netzwerk, um einen Systemverwalter
auf potenzielle Probleme in dem Netzwerk aufmerksam zu machen. Die
Monitore messen periodisch Reaktionszeitinformationen für verschiedenartige
Serverparameter, wie beispielsweise durchschnittliche Mediumvarianz
und Vertrauensbereichs-Reaktionszeit. Die periodisch gemessene Reaktionszeit
wird dem Verwalter gesendet, wo sie mit der Basis-Reaktionszeit verglichen
wird, um anzuzeigen, wie sehr die Leistung eines Servers abgefallen
ist. Die von der Basis abgefallenen Werte können verwendet werden, um dem
Systemverwalter anzuzeigen, ob irgendwelche Server überlastet
sind. Wenn die Werte des Leistungsabfalls andere unverhältnismäßig überschreiten,
löst das
System einen Alarm als eine Vergleichsfunktion der Werte des Leistungsabfalls
aus.
-
Lazar,
A. A. et al.: „Exploiting
virtual reality for network management" (Verwendung virtueller Realität zur Netzwerkverwaltung),
Singapur ICCS/ISITA '92. „Communications
on the Move" (Kommunikation in
Bewegung), Singapur 16. – 20.
Nov. 1992, New York, NY, USA, IEEE, US, 16. November 1992 (1992-11-16),
Seiten 979–983,
XP010067213 ISBN: 0-7803-0803-4, offenbart einen Verwalter, der
Ereignismitteilungen von Agenten empfängt, die interessierende Ereignisse
in dem Netzwerk befördern.
Derartige Ereignisse enthalten Leistungsschwellenwerte, die bei
Fehlern überschritten
werden. Diese Ereignisse können
das Abfragen der Agenten nach zugehörigen Daten unter Verwendung
von Mitteilungen auslösen.
Die daraus resultierenden Daten werden einem Front-End-Rechner in Mitteilungen
gesendet.
-
KURZDARSTELLUNG
DER ERFINDUNG
-
Verfahren
gemäß der Erfindung
werden in den unabhängigen
Ansprüchen
dargestellt. Bevorzugte Ausführungsformen
werden in den abhängigen Ansprüchen dargestellt.
-
Gemäß der vorliegenden
Erfindung wird die Menge von Verkehr, der Überwachung betrifft, durch eine
Technik zum Verwalten von Netzwerkelementen unter Verwendung einer
Kombination aus aperiodischem Abfragen und asynchroner Ereignismeldung, bedeutend
reduziert.
-
Gemäß einer
Ausführungsform
der vorliegenden Erfindung, ist eine auf Geschwindigkeit beruhende
Technik dergestalt aufgebaut, dass ein lokales Element (Knoten)
seine eigene Betriebsmittelnutzung lokal überwacht, und nur dann meldet
(d.h. einer zentralen Überwachungsstelle
eine Mitteilung sendet), wenn die Geschwindigkeit, mit welcher sich der
Wert einer lokalen Variable verändert,
beispielsweise zu hoch ist. Dies ermöglicht dem zentralen Verwalter
anzunehmen, dass, solange keine Meldung empfangen wird, die Änderungsgeschwindigkeit
an jedem Knoten begrenzt ist. Wenn der Knoten eine Meldung auslöst, dann
gibt der zentrale Verwalter, und nur dann, eine globale Abfrage
für alle
(oder im Wesentlichen alle) Knoten in dem Netzwerk aus.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
Der
Wert der vorliegenden Erfindung wird vollständig erkannt, indem die nachfolgende
ausführliche
Beschreibung in Betracht gezogen wird, welche im Zusammenhang mit
den beigefügten
Zeichnungen gelesen werden sollte. Es zeigen:
-
1 ein
Blockdiagramm, welches ein Netzwerk von untereinander verbundenen
Knoten darstellt, und eine Netzwerkverwaltungsstation, die angeordnet
ist, um die Betriebsmittelausnutzung an den Knoten zu überwachen
und zu steuern, das zum Zweck des Verständnisses der vorliegenden Erfindung
eingeschlossen ist;
-
2 ein
Ablaufdiagramm des Verfahrens zur Überwachung der Betriebsmittelverwendung,
das an den Knoten in 1 durchgeführt wird, welches den Wert
der genutzten Betriebsmittel überwacht;
-
3 ein
Ablaufdiagramm des Verfahrens zur Überwachung der Betriebsmittelverwendung,
das an der Netzwerkverwaltungsstation in 1 durchgeführt wird,
welches den Wert der genutzten Betriebsmittel überwacht;
-
4 ein
Ablaufdiagramm des Verfahrens zur Überwachung der Betriebsmittelverwendung,
das an den Knoten in 1 durchgeführt wird, in einer Ausführungsform
der Erfindung, welche die Änderungsgeschwindigkeit
der genutzten Betriebsmittel überwacht;
-
5 ein
Ablaufdiagramm des Verfahrens zur Überwachung der Betriebsmittelverwendung,
das an der Netzwerkverwaltungsstation in 1 durchgeführt wird,
in der Ausführungsform
der Erfindung, welche die Änderungsgeschwindigkeit
der genutzten Betriebsmittel überwacht;
und
-
6 ein
Ablaufdiagramm des Verfahrens zur Überwachung der Betriebsmittelverwendung,
das an den Knoten in 1 durchgeführt wird, in einer zweiten
Ausführungsform
der Erfindung, welche die Änderungsgeschwindigkeit
der genutzten Betriebsmittel überwacht.
-
AUSFÜHRLICHE
BESCHREIBUNG
-
Bevor
eine Beschreibung der Einzelheiten der vorliegenden Erfindung ausgeführt wird,
ist es sinnvoll, die Erfindung im Zusammenhang darzustellen, indem
eine Anzahl von Anwendungen beschrieben wird, bei denen die Erfindung
verwendet werden kann.
-
Zunächst kann
die Erfindung verwendet werden, um Netzwerkverkehr zu überwachen.
Beispielsweise kann eine Netzwerkverwaltungsanwendung verwendet
werden, um die gesamte Verkehrsmenge von einem Organisationsteilnetzwerk
zu dem Internet zu überwachen.
Sobald diese Menge irgendeinen Schwellenwert überschreitet, sollten bestimmte
Aktionen vorgenommen werden, um angemessene Dienstleistung für die Kunden
der Organisation sicherzustellen. Solche Aktionen können enthalten: Aktivieren von
Ersatzleitungen, Verteilen von mehr Kontext von den Organisations-Webservern
zu ihrem Kontextlieferungsvertragspartner, oder Beschränken des
Internetzugangs für
Angestellte. Es wird darauf hingewiesen, dass die Organisation über mehrere Verbindungen
mit dem Internet verbunden sein kann, die sich jeweils an einer
anderen Stelle befinden, und die Funktion, die von Interesse ist,
besteht aus der Summe der lokalen Variablen.
-
Als
zweites kann die Erfindung verwendet werden, um Belastung zu spiegeln.
Die Website einer Organisation kann beispielsweise über mehrere
gespiegelte Seiten verteilt werden. Um den Kundendienst zu optimieren
und um den Verkauf zu steigern, besteht ein Bedarf daran, zu wissen,
welches die populärsten
Seiten sind. Anders ausgedrückt,
es ist wünschenswert,
zu wissen (in Echtzeit, um zu reagieren), wann die gesamte Anzahl
von Treffern in den letzten fünf
Minuten für
eine spezielle Seite eine bestimmte Anzahl übersteigt. Es wird noch einmal
darauf hingewiesen, dass es wünschenswert
ist, zu wissen, wann eine Funktion, welche aus der Summe von verteilten
Werten besteht, einen Schwellenwert überschreitet.
-
Als
drittes kann die Erfindung verwendet werden, um Dienstverweigerungsangriffe
zu bekämpfen.
Um einen Dienstverweigerungsangriff zu bekämpfen, müssen die in dem Organisationsnetzwerk
eintreffenden SYN-Pakete gezählt
werden. Es sollte wiederum eine Aktion erfolgen, wenn die gesamte
Anzahl solcher Pakete in einem gegebenen Zeitintervall, beispielsweise
in der letzten Minute, zu groß ist.
-
Als
viertes kann die Erfindung in Verbindung mit Lizenzierungsinformationen
verwendet werden. In vielen Fällen
ermöglicht
Softwarelizenzierung nur einer begrenzten Anzahl von Benutzern,
bestimmte Software zu einer gegebenen Zeit zu verwenden. Wenn die
Software auf vielen Computern installiert ist, kann das Prüfen der
ak tuellen Anzahl von aktiven Kopien problematisch werden. Es wird
darauf hingewiesen, dass es nicht wirklich notwendig ist, die tatsächliche
Anzahl von Anwendern zu kennen, sondern nur gewarnt zu werden, wenn
diese Anzahl den Schwellenwert der Lizenzen überschreitet.
-
Letztendlich
kann die Erfindung in Verbindung mit Verkehrstechnik verwendet werden.
Bei vielen vorgeschlagenen Architekturen ist eine zentrale Entität (beispielsweise
ein Bandbreitenmakler) damit beauftragt, die Parameter der Dienstqualität (QoS, quality
of service) der Kommunikationsserver in einem Teilnetzwerk bereitzustellen,
und mit den benachbarten Netzwerken und/oder ankommenden Strömen die
mögliche
Stufe von verfügbarem
Service zu verhandeln. Damit dies auf eine kosteneffektive Weise
geschehen kann, sollten die Bandbreitenmakler von den Kommunikationsservern
Rückmeldung
bezüglich
der Parameter über
die Dienstqualität für die unterschiedlichen
Ströme
empfangen. In vielen Fällen
bestehen die relevanten Informationen einfach aus der Summe von
mehreren Variablen aus unterschiedlichen Kommunikationsservern (zum
Beispiel besteht die gesamte Verzögerung eines Stromes auf seinem
Pfad aus der Summe der tatsächlichen
Verzögerung
in jedem Kommunikationsserver), und ist nur dann wichtig, wenn dieser
Wert zu groß ist.
-
Es
wird darauf hingewiesen, dass die Kennzeichnung der Daten variiert:
die Menge von unterschiedlichen Standorten kann von einigen wenigen
in den ersten beiden Beispielen bis zu mehreren 1000 in den letzten
zwei Beispielen variieren, und die Geschwindigkeit, mit welcher
sich die Daten verändern, variiert
bedeutend bei den unterschiedlichen Beispielen. Allerdings besteht
bei allen vorstehenden Beispielen eine Notwendigkeit, gewarnt zu
werden, wenn die Summe von mehreren Variablen, die jeweils an einem
unterschiedlichen Netzwerkstandort erhalten werden, einen vordefinierten
Schwellenwert überschreitet.
Selbstverständlich
kann ein zen traler Algorithmus ausgegeben werden, der alle Knoten
periodisch abfragen und Warnungen ausgeben wird, wenn sie erforderlich
sind. Das Problem besteht darin, wie dieselbe Funktionalität mit den
geringsten Kommunikationskosten erreicht wird.
-
Um
die Techniken der vorliegenden Erfindung vollständig würdigen zu können, ist es vorteilhaft, zunächst die
Netzwerkumgebung zu verstehen, in welcher die vorliegende Erfindung
betrieben werden soll, und die Annahmen, welche der vorliegenden
Erfindung zugrundeliegen. Insbesondere wird angenommen, dass n Variablen
x1, x2, ..., xn, mit reellem Wert gegeben sind. Für jedes
x1 sind positive Fixkosten ci gegeben,
welche die Kosten des Messens von xi zu
jeder Zeit darstellen. Die Zeit t ist eine ganze Zahl, die bei t
= 1 beginnt. Es soll xi(t) den Wert von xi
zu dem Zeitpunkt t bezeichnen. Es ist ebenfalls eine allgemeine
Funktion ƒ(x1, x2, ..., xn) gegeben. Der Wert ƒ zu dem Zeitpunkt t, ƒt = ƒ(x1(t), x2(t), ...,
xn(t)) hängt
nur von den Werten der xi s zu einem einzigen Zeitpunkt,
t, ab. Außerdem
ist ƒ einem
allgemeinen Schwellenwert T zugeordnet. Wenn der Wert von ƒ diesen
Schwellenwert überschreitet,
liegt ein Alarmzustand vor. Die Alarmzustandsbewertung wird am Knoten
0 durch einen zentralisierten Verwalter vorgenommen. Die Werte der
unterschiedlichen Variablen xi(t) sind an
diesem Knoten nicht notwendigerweise bekannt.
-
Es
wird zwischen zwei unterschiedlichen Verfahren unterschieden, um
Informationen zu erhalten, die mit den Werten dieser Variablen verbunden sind,
nämlich
Abfragebetrieb und Ereignismeldung.
- 1. Abfragebetrieb:
der zentralisierte Verwalter fragt eine oder mehrere Variablen ab.
Die Entscheidung abzufragen, und die genaue Teilmenge der abzufragenden
Variablen, ist ein Ergebnis einer Berechnung aufgrund von Informationen,
die dem zentralisierten Verwalter zur Verfügung stehen.
- 2. Ereignismeldung: Ein Knoten initiiert eine Meldung, welche
den Wert der Variable xi(t) enthalten kann.
Die Meldung wird durch irgendein lokales Ereignis ausgelöst, welches
ein Ergebnis einer lokalen Berechnung auf der Grundlage der Werte von
xi(t) ist.
-
Es
besteht Interesse daran, Kommunikationskosten zu minimieren, die
zur Erfassung von Alarmzuständen
erforderlich sind. Das bedeutet, dass die Messungskosten minimiert
werden sollen, wobei allerdings immer noch die Alarmzustände erfasst
werden, sobald sie andauern. Es wird darauf hingewiesen, dass hauptsächlich die
Komplexität
der Kommunikation berücksichtigt
wird, und nicht die Komplexität
der Berechnung des Algorithmus oder die Komplexität des Berechnens
der Ereignisse berücksichtigt
wird, welche das lokale Ereignis auslösen. Es wird außerdem angenommen,
dass die Kommunikation zuverlässig
ist und dass die (Kommunikations) Kosten des Abfragens der Variable
xi genauso hoch sind wie die (Kommunikations)
Kosten, um eine Ereignismeldung für diese Variable zu senden.
-
Das
Verfahren, welches entscheidet, welche Variablen auf der Grundlage
von Werten, die in der Vergangenheit erhalten wurden, und der lokalen
Ereignismeldung gemessen werden sollen, zusammen mit dem Verfahren,
welches die lokale Ereignismeldung auslöst, machen das Überwachungsverfahren der
vorliegenden Erfindung aus. Das Überwachungsverfahren
ist „richtig", das heißt, es arbeitet
wie gewünscht,
wenn es immer Alarmzustände
erfasst, und es ist „optimal", wenn seine Kosten
niemals höher sind,
als die Kosten von irgendeinem anderen Korrekturalgorithmus. Deswegen
ist es das Ziel der vorliegenden Erfindung, über ein Überwachungsverfahren zu verfügen, das
sowohl richtig als auch optimal ist.
-
In
der nachfolgenden Beschreibung liegt das Augenmerk auf dem Fall,
in dem ƒ = Σuixi ist. Dies ist sowohl
an sich eine bedeutende Funktion als auch allgemein genug, um einen
tieferen Einblick in das Problem zu gewinnen. Es wird darauf hingewiesen, dass
unter Verwendung der log Funktion dieser Fall außerdem Funktionen wie ƒ = Πixi abdeckt. Aus Gründen der Einfachheit wird angenommen,
dass die Kosten für
alle Knoten identisch sind, dass der Bereich für alle lokalen Variablen xi derselbe ist, und dass die Wertigkeit eins
ist. Außerdem
wird von einer globalen Zeitsynchronisierung ausgegangen, so dass
die individuellen Verfahren an den überwachten Knoten und an der
Netzwerkverwaltungsstation als Schritte beschrieben werden, von
denen angenommen wird, dass sie im Wesentlichen zu demselben Zeitpunkt durchgeführt werden.
In der Praxis kann die benötigte
Zeit, um irgendeinen gegebenen Schritt auszuführen, bedeutend sein, und dieses
Problem wird nachstehend ausführlicher
erläutert.
-
1 ist
ein Blockdiagramm, welches ein Netzwerk 100 von untereinander
verbundenen Knoten 130 bis 132 und 150 bis 152 darstellt,
von denen jeder über
einen zugeordneten Budgetwert verfügt. In einer realen Ausführungsform
können
die Knoten 130 bis 132 und 150 bis 152 aus
Schaltern in einem Geldautomatennetzwerk bestehen, von denen einige mit
Benutzern, wie beispielsweise dem Benutzer 101, durch andere
Netzwerke verbunden sind, wie beispielsweise dem Netzwerk 141,
welches weitere Knoten enthält,
wie beispielsweise den Knoten 140. Weitere Knoten, wie
beispielsweise der Knoten 153, können aus Kommunikationsservern,
Brücken
und weiteren ähnlichen
Netzwerkelementen bestehen. Die Knoten können außerdem mit einem Server 120 innerhalb
eines Netzwerks 122 über
eine Firewall 121 verbunden sein. Eine Netzwerkverwaltungsstation 160,
die mit dem Netzwerk 100 über den Knoten 132 verbunden
ist, ist ausgestaltet, um die Betriebsmittelausnutzung an den anderen
Netzwerkknoten in Übereinstimmung
mit den Prinzipien der vorliegenden Erfindung zu überwachen
und zu steuern. Diese Netzwerkverwaltungsstation 160 ist
der vorstehend angesprochene zentralisierte Verwalter.
-
2 ist
ein Ablaufdiagramm des Verfahrens zur Überwachung der Betriebsmittelverwendung,
das an den Knoten durchgeführt
wird, wie beispielsweise den Knoten 130 bis 132 und 150 bis 152 in 1,
in einem Verfahren, welches den Wert der genutzten Betriebsmittel überwacht.
Das Verfahren beginnt mit Schritt 201 und geht weiter,
um in Schritt 203 zu überwachen,
ob die lokal überwachte
Variable xi(t) in dem Knoten ihr Budget
T/n überschreitet. Wenn
ein negatives Ergebnis vorkommt, wiederholt das Verfahren den Schritt 203,
wobei das Überwachungsverfahren
weitergeführt
wird. Wenn allerdings in Schritt 203 ein positives (JA)
Ergebnis vorkommt, dann geht das Verfahren zu Schritt 205 weiter,
wo eine Meldung, die den Wert der überwachten Variable xi(t) enthält,
an die Netzwerkverwaltungsstation 160 übermittelt wird. Das Überwachen
wird dann weiter fortgesetzt, indem es zu Schritt 203 zurückkehrt.
-
3 ist
ein Ablaufdiagramm des Verfahrens zur Überwachung der Betriebsmittelverwendung,
das an der Netzwerkverwaltungsstation 160 in 1 durchgeführt wird,
in einem Verfahren, welches den Wert der genutzten Betriebsmittel überwacht.
Diese Figur ist infolgedessen eine Entsprechung zu dem in 2 gezeigten
Verfahren. Das Verfahren beginnt in Schritt 301 und geht
zu Schritt 303 weiter, wo der Empfang einer Meldung, die
den Wert der überwachten
Variable xi(t) enthält, von irgendeinem der Knoten überwacht
wird (wie in Schritt 205 von 2 vorgekommen).
Wenn keine derartige Meldung empfangen wird, kehrt das Verfahren
zu Schritt 303 zurück;
wenn allerdings eine Meldung empfangen wird, kommt im Schritt 303 ein
JA-Ergebnis vor und das Verfahren geht zu Schritt 305 weiter, in
welchem die Netzwerkverwaltungsstation 160 angewiesen wird,
eine allgemeine Abfrage von allen weiteren überwachten Knoten auszugeben.
An diesem Punkt, und nur dann, wird eine Entscheidung darüber getroffen,
ob ein Alarmzustand vorliegt oder nicht, indem die Summe von allen
n-Werten von xi(t) mit einem Schwellenwert
T verglichen wird. Wenn die Summe den Schwellenwert überschreitet,
wird ein Alarm erzeugt.
-
Aus
der vorhergehenden Beschreibung von 2 und 3 ist
zu erkennen, dass die Technik zwei Komponenten aufweist, ein zentralisiertes Überwachungsverfahren
und ein Verfahren, das in den verteilten Knoten durchgeführt wird.
Das Verfahren in den Knoten ist sehr einfach: Zu jedem Zeitpunkt
t, wenn xi(t) > T, dann sende dem zentralisierten Verwalter
den Wert xi(t). Auch das zentralisierte
Verfahren ist einfach: Zu jedem Zeitpunkt t, wenn ein oder mehrere
Meldungen empfangen werden, dann (und nur dann) werden alle weiteren
Knoten nach ihren Werten abgefragt. Wenn die Abfrageergebnisse ausgewertet
sind, dann wird, wenn ƒt > T,
ein Alarm erzeugt.
-
Nun
wird eine Ausführungsform
der Erfindung beschrieben, die auf Geschwindigkeit beruht und derart
ausgestaltet ist, dass ein lokaler Knoten oder ein weiteres Element
nur dann meldet, wenn die Geschwindigkeit, mit welcher sich der
Wert der überwachten
Variablen lokal verändert,
zu hoch ist. Dies ermöglicht
dem zentralen Verwalter, d.h. der Netzwerkverwaltungsstation 160,
anzunehmen, dass, solange keine Meldung empfangen wird, die Änderungsgeschwindigkeit
an jedem Knoten, d.h. die erste Ableitung des Wertes von jeder der
lokalen Variablen, begrenzt ist. Dies stellt sicher, dass der zentrale Verwalter
eine sichere Grenze für
den Zeitpunkt der nächsten
notwendigen Messung berechnen kann.
-
Diese
Ausführungsform
weist wiederum zwei Komponenten auf, nämlich das zentralisierte Überwachungsverfahren,
für welches
in 5 ein Ablaufdiagramm gezeigt wird, und das Verfahren,
das in den verteilten Knoten durchgeführt wird, für welches in 4 ein
Ablaufdiagramm gezeigt wird. Das Verfahren von 4,
das in den Knoten durchgeführt wird,
ist relativ einfach und beginnt mit Schritt 401. In Schritt 403 wird
zu jedem Zeitpunkt t eine Entscheidung darüber getroffen, ob die Änderungsgeschwindigkeit
der überwachten
Variable an irgendeinem Knoten eine feste Menge Delta überschreitet.
Wenn ein NEIN-Ergebnis vorkommt, wiederholt das Verfahren den Schritt 403.
Wenn allerdings ein JA-Ergebnis vorkommt, weil xi(t) – x(i, t – 1) > δ, dann wird in Schritt 405 der
Wert xi(t) an die Netzwerkverwaltungsstation 160 gesendet.
-
Das
zentralisierte Verfahren von 5 ist ein bisschen
komplizierter. Das Verfahren beginnt bei Schritt 501 und
geht zu Schritt 503 weiter, in welchem eine erste Variable
tm, welche den nächsten
Zeitpunkt zum Abfragen anzeigt, bei Null initialisiert wird. Dann,
in Schritt 505 zu irgendeinem Zeitpunkt t, wenn t ≥ tm oder eine Meldung empfangen wurde, geht
das Verfahren zu Schritt 507 weiter, in welchem alle nicht meldenden
Knoten abgefragt werden. Wenn in Schritt 505 ein NEIN-Ergebnis vorkommt,
wird dieser Schritt wiederholt.
-
Nachdem
in Schritt 507 alle Knoten abgefragt worden sind, wird
in Schritt 509 die Summe aller n-Werte von xi(t)
mit einem Schwellenwert T verglichen. Wenn die Summe den Schwellenwert überschreitet,
wird in Schritt 513 ein Alarm erzeugt. Andernfalls geht
das Verfahren zu Schritt 511 weiter, in welchem der Wert
von tm so eingestellt wird, dass er t +
((T – Σxi(t))/δn)
ist. Dieser Wert ist der größte „sichere" Zeitraum, d.h.,
bis zu dem Zeitpunkt tm, wenn kein Knoten
eine Meldung sendet, der Wert der Funktion kann dann T nicht überschreiten.
Das Verfahren wiederholt dann den Schritt 505.
-
Aus
dem Vorhergehenden ist zu erkennen, dass die Strategie der Verfahren
von 4 und 5 darin besteht, die Änderungsgeschwindigkeit der überwachten
Variable xi(t) zu überwachen. Der zentralisierte
Knoten ist ausgestaltet, um alle Knoten (oder eine bestimmte Anzahl
von Knoten) abzufragen, wenn entweder die Änderungsgeschwindigkeit einen
Schwellenwert überschreitet
oder ein Zeitintervall überschritten
wird. Die Werte, die durch die abgefragten Knoten gemeldet werden,
verursachen nur dann einen Alarm, wenn der kumulierte Wert der Variable
xi(t) an den abgefragten Knoten einen weiteren Schwellenwert überschreitet.
-
6 ist
ein Ablaufdiagramm des Verfahrens zur Überwachung der Betriebsmittelverwendung,
das an den Knoten in 1 durchgeführt wird, in einer weiteren
Ausführungsform
der Erfindung, welche die Änderungsgeschwindigkeit
der genutzten Betriebsmittel überwacht.
Das Verfahren startet bei Schritt 601 und geht zu Schritt 603 weiter,
in welchem eine zuletzt aktualisierte Variable initialisiert wird. Diese
Variable verfolgt den Zeitpunkt, zu welchem eine Entscheidung über die Änderungsgeschwindigkeit
getroffen wurde, wie nachstehend zu sehen sein wird. Das Verfahren
geht zu Schritt 605 weiter, in welchem eine Entscheidung
darüber
getroffen wird, ob dieser Knoten „kürzlich" durch die Netzwerkverwaltungsstation 160 abgefragt
wurde oder nicht. Wenn das so ist, kommt in Schritt 605 ein
JA-Ergebnis vor, und das Verfahren geht zu Schritt 607 weiter,
in welchem eine Meldung über
den Wert xi(t) an die Netzwerkverwaltungsstation 160 gesendet
wird. Zu derselben Zeit wird die Variable zuletzt aktualisiert auf den
Zeitpunkt eingestellt, zu welchem die Abfrage stattgefunden hat,
und eine zweite Variable, Wert zuletzt aktualisiert, wird auf den
Wert der Variable xi(t) eingestellt, zu
dem Zeitpunkt, zu welchem die Abfrage stattgefunden hat. Das Verfahren
kehrt dann zu Schritt 605 zurück.
-
Wenn
ein NEIN-Ergebnis in Schritt 605 vorkommt, geht das Verfahren
zu Schritt 609 weiter, in welchem die Änderungsgeschwindigkeit der
Variable xi(t) im Vergleich zu ihrem Wert
(Wert zuletzt aktualisiert), zu dem Zeitpunkt der letzten Abfrage
bestimmt wird, über
den Zeitraum zwischen dem aktuellen Zeitpunkt t und dem Zeitpunkt
der letzten Aktualisierung, zuletzt aktualisiert. Anders ausgedrückt, in
Schritt 609 wird bestimmt, wie schnell sich die überwachte Variable
in dem Zeitraum seit der letzten Abfrage verändert. Dies unterscheidet sich
von der Änderungsgeschwindigkeit,
die in dem Verfahren von 4 bestimmt wurde, welches ein
festes Zeitintervall verwendete.
-
Wenn
die Änderungsgeschwindigkeit
einen Schwellenwert Delta überschreitet,
kommt in Schritt 609 ein JA-Ergebnis vor und in Schritt 611 wird
eine Meldung des aktuellen Wertes von xi(t)
an die Netzwerkverwaltungsstation 160 gesendet, woraufhin
das Verfahren den Schritt 605 wiederholt. Als Alternative, wenn
ein NEIN-Ergebnis in Schritt 609 vorkommt, wiederholt das
Verfahren auch den Schritt 605.
-
Das
Verfahren von 6 wird mit demselben zentralisierten
Verfahren verwendet, das in der Netzwerkverwaltungsstation 160 durchgeführt wird
und im Zusammenhang mit 5 beschrieben wurde.
-
Die
vorliegende Erfindung bietet praktische und leistungsfähige Überwachung
von Betriebsmitteln, indem ein zentraler Überwachungsalgorithmus mit
einfacher lokaler Zwangsüberprüfung kombiniert wird.
Die Erfindung passt natürlicherweise
in das SNMP-Rahmenwerk und kann verwendet werden, um einen beachtlichen
Betrag an laufenden Überwachungskosten
einzusparen. Während
das Auslegen von optimaler Durchführung der Überwachungstechniken von der
Datenkennzeichnung abhängt,
kann der durch die vorliegende Erfindung erzielte Einsparungsbetrag
sehr beachtlich sein. Außerdem
hängt die
Leistung der Techniken der vorliegenden Erfindung (das bedeutet
die Menge an benötigten
Meldungen, um die Erfassung von allen Alarmzuständen zu garantieren) stark
von der sta tistischen Kennzeichnung der gesammelten Daten und der
Anzahl von unterschiedlichen Knoten ab. Für realen Netzwerkverkehr in
einer ähnlichen
Umgebung, wie dem beschriebenen Fall des vorstehenden ersten Beispiels,
kann allerdings der Einsparungsbetrag an Überwachungsverkehr bis zu 97
% ausmachen.
-
Verschiedenartige
Modifikationen der gerade beschriebenen Ausführungsformen sind möglich und in
dem Umfang der vorliegenden Erfindung eingeschlossen. Dementsprechend
ist beabsichtigt, dass die Erfindung nur durch die beigefügten Ansprüche beschränkt ist.