JP6432377B2 - メッセージログ除去装置、メッセージログ除去方法、及びメッセージログ除去プログラム - Google Patents

メッセージログ除去装置、メッセージログ除去方法、及びメッセージログ除去プログラム Download PDF

Info

Publication number
JP6432377B2
JP6432377B2 JP2015023377A JP2015023377A JP6432377B2 JP 6432377 B2 JP6432377 B2 JP 6432377B2 JP 2015023377 A JP2015023377 A JP 2015023377A JP 2015023377 A JP2015023377 A JP 2015023377A JP 6432377 B2 JP6432377 B2 JP 6432377B2
Authority
JP
Japan
Prior art keywords
message
information
size
transmission source
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015023377A
Other languages
English (en)
Other versions
JP2016146588A (ja
Inventor
淳一 樋口
淳一 樋口
祐士 野村
祐士 野村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015023377A priority Critical patent/JP6432377B2/ja
Priority to US14/974,412 priority patent/US20160234344A1/en
Publication of JP2016146588A publication Critical patent/JP2016146588A/ja
Application granted granted Critical
Publication of JP6432377B2 publication Critical patent/JP6432377B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0829Packet loss
    • H04L43/0841Round trip packet loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • Environmental & Geological Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、メッセージログ除去装置、メッセージログ除去方法、及びメッセージログ除去プログラムに関する。
通信装置間では通信ネットワークを介してデータの送受信が行われる。通信ネットワーク機器では、そのようなデータの送受信についてのログが蓄積され、ログの解析に利用される。
近年、通信ネットワークで送受信される通信量の増加に応じて、蓄積されるログ量も増大することになり、ログの解析に時間を要する。そこで、例えば、以下に示すようなログ解析の効率化を図る技術がある。
第1技術として、複数のサーバが接続されたネットワークの運用形態をコンピュータで分析するためのシステム分析方法がある(例えば、特許文献1)。当該システム分析方法では、メッセージ解析手段により、収集したメッセージの内容が解析され、メッセージの発生時刻、メッセージで要求されている処理種別、及びリクエストメッセージかレスポンスメッセージかが判別される。モデル生成指示が入力されると、モデル生成手段により、処理間の呼出関係の確からしさに基づく選択基準に従って選択されたメッセージ集合に基づきサーバ間の呼出の制約条件を満たすトランザクションモデルが生成される。また、分析指示が入力されると、分析手段により、トランザクションモデルに合致するプロトコルログによりトランザクションの処理状態が分析される。
第2技術として、クライアントとサーバにネットワークを介して相互接続される中継装置において、クライアントから受信した要求をサーバへ送信しサーバから受信した応答をクライアントへ送信する際のアクセスログ管理方法がある(例えば、特許文献2)。当該アクセスログ管理方法では、クライアントからサーバへのアクセスに用いられるプロトコル毎にアクセスログの分別を行う。アクセスログのうち、事前に圧縮の対象として指定される種類のアクセスログを圧縮し、事前に無圧縮の対象として指定される種類のアクセスログを無圧縮する。
特開2006−11683号公報 特開2011−91465号公報
クライアントとサーバの間の通信では、種々のパケットが送受信される。送受信されるパケットの中には、リクエストとそのレスポンスとは関係のないパケットが含まれる。このようなパケットには例えば、死活監視のためのパケット等がある。
第1の技術では、応答時間の計測においては、取得した複数の通信パケットから、上記のようなリクエスト及びレスポンスとは関係のないメッセージを除外する処理が行われる。この除外処理は、メッセージのアプリケーション層を解析することにより可能であるが、このような解析は非常に負荷が高い。また、通信メッセージのプロトコルの仕様が不明である場合や、メッセージが暗号化されている場合には、アプリケーション層の解析自体が不可能である場合もある。
また、第2技術を用いた場合、事前に圧縮の対象として指定されていないログは、不要なものであっても圧縮されないという問題がある。
そこで、1つの側面では、本発明は、応答時間の計測に無関係なメッセージのログを効率的に除去することを目的とする。
一態様によるメッセージログ除去装置は、格納部、生成部、及び、削除部を含む。格納部は、通信装置間で通信されるデータパケットの取得に応じて、データパケットの受信時刻、サイズ、及び送信先情報及び送信元情報を含む第1履歴情報を格納する。生成部は、第1履歴情報を用いて、送信元から送信先へ送信されるデータパケットから組み立てられる第1メッセージと、第1メッセージの次に取得したデータパケットから組み立てられる第2メッセージであって送信先から送信元へ送信される第2メッセージとの組毎に、第1及び第2メッセージそれぞれの受信時刻とサイズと送信元情報と送信先情報と、を対応付けた第2履歴情報を生成する。削除部は、第2履歴情報から、送信元情報及び送信先情報が同じ組同士の、第1及び第2メッセージのサイズに応じて、何れかの組を削除する。
一側面によれば、応答時間の計測に無関係なメッセージのログを効率的に除去することができる。
実施形態に係るメッセージログ除去装置の構成の一例を示す。 クライアントとサーバの間の通信において、トランスポート層の通信シーケンスの一例を示す。 クライアントとサーバの間の通信において、ロングポーリングが行われる場合の通信シーケンスの一例を示す。 実施形態に係るメッセージログ除去システムの構成の一例を示す。 メッセージログ除去装置の構成の一例を示す。 メッセージログ除去装置の処理の全体の流れを示す。 トランスポート層の階層におけるパケットと、アプリケーション層の階層におけるメッセージの扱いに関する説明図である。 メッセージログの構成の一例を示す。 コネクション管理情報の構成の一例を示す。 コネクション管理情報を用いたメッセージログの作成方法の処理の詳細を図解したフローチャートの一例(その1)である。 コネクション管理情報を用いたメッセージログの作成方法の処理の詳細を図解したフローチャートの一例(その2)である。 コネクション管理情報を用いたメッセージログの作成方法の処理の詳細を図解したフローチャートの一例(その3)である。 除去対象の条件の抽出処理についての説明図である。 除去対象情報の構成の一例を示す。 除去対象判定処理の詳細を図解したフローチャートの一例である。 メッセージログから除去対象の組を除去する処理の説明図である。 除去処理の詳細を図解したフローチャートの一例である。 実施形態に係るメッセージログ除去装置のハードウェア構成の一例を示す。 応答時間の算出に関する比較例と実施形態の比較図である。
図1は、実施形態に係るメッセージログ除去装置の構成の一例を示す。
図1において、メッセージログ除去装置1は、格納部2、生成部3、及び、削除部4を含む。
格納部2は、通信装置間で通信されるデータパケットの取得に応じて、データパケットの受信時刻、サイズ、及び送信先情報及び送信元情報を含む第1履歴情報を格納する。
生成部3は、第1履歴情報を用いて、第1メッセージと第2メッセージとの組毎に、第1及び第2メッセージそれぞれの受信時刻とサイズと送信元情報と送信先情報と、を対応付けた第2履歴情報を生成する。ここで、第1メッセージは、送信元から送信先へ送信されるデータパケットから組み立てられるメッセージである。第2メッセージは、第1メッセージの次に取得したデータパケットから組み立てられるメッセージであって送信先から送信元へ送信されるメッセージである。
削除部4は、第2履歴情報から、送信元情報及び送信先情報が同じ組同士の、第1及び第2メッセージのサイズに応じて、何れかの組を削除する。
実施形態に係るメッセージログ除去装置1は、パケットのトランスポート層での解析により、応答時間の計測に無関係なパケットのログを識別できる。すなわち、メッセージログ除去装置1は、パケットのアプリケーション層での解析をすることなしに、応答時間の計測に無関係なメッセージのログを識別できる。これにより、メッセージログ除去装置1は、応答時間の計測に無関係なメッセージのログを効率的に除去することができる。
また、削除部4は、送信元情報及び送信先情報が同じ組同士の、第1及び第2メッセージのサイズと、第1メッセージと第2メッセージの受信時刻の間隔と、に応じて、第2履歴情報から、第1及び第2メッセージの何れかの組を削除する。これにより、応答時間の計測に無関係なメッセージのログの識別精度を向上させることができる。
また、削除部4は、以下のように応答時間の計測に無関係なメッセージのログを除去する。すなわち、削除部4は、先ず、第2履歴情報の組のうち、第1メッセージと第2メッセージの受信時刻の間隔が所定の閾値以上である組を特定する。次に、削除部4は、特定した複数の組の間で、以下の4つの条件を満たす組同士を所定の数以上含むグループを識別する。(1)送信元情報及び送信先情報報が同じである。(2)第1メッセージ同士のサイズの差分が所定の閾値以内である。(3)第2メッセージ同士のサイズの差分が所定の閾値以内である。(4)第1メッセージと第2メッセージの受信時刻の間隔の標準偏差が所定の閾値以内である。そして、削除部4は、識別したグループに含まれる組の第1及び第2メッセージサイズに応じて、第2履歴情報から何れかの組を削除する。これにより、応答時間の計測に無関係なメッセージのログの識別精度を向上させることができる。
以下、実施形態に係るメッセージログ除去装置の詳細について説明する。先ず、実施形態の効果を説明するために比較例に係る応答時間の算出方法について説明する。尚、以下の説明では、クライアントからサーバに対するパケットまたはメッセージの通信方向を「上り」と記し、サーバからクライアントに対するパケットまたはメッセージの通信方向を「下り」と記す場合がある。また、「メッセージ」は、アプリケーション層の階層において、複数の機器が所定のプロコルに基づいてやりとりするデータの最小単位とする。
比較例に係る応答時間算出方法は、同一コネクションにおける通信パケットの通信方向が、上りから下りに変化するときの時間間隔に基づいて、応答時間間隔を算出するものである。
図2は、クライアントとサーバの間の通信において、トランスポート層の通信シーケンスの一例を示す。図2においては、SYN(synchronize packet)、ACK(ACKnowledgement)、FIN(finish packet)等の通信制御用のパケットは点線で示している。また、TCPペイロードに送信対象データを含むデータパケットは実線で示している。
比較例においては、データパケットの通信方向が上りから下りに変化するときの、上りと下りのパケットの取得時刻から応答時間を算出している。具体的には、中継装置において、上りのデータパケットの取得時刻と下りのデータパケットの取得時刻の間隔を応答時間として算出している。
比較例では、リクエストを受けてからレスポンスを返すまでは、サーバまたは後段のサーバ群で処理が行われていると想定されている。しかしながら、例えば、ロングポーリング等の技術が用いられる場合には、リクエストを受けてから最初のレスポンスまでの間にサーバにおいて処理が行われない場合もある。
ロングポーリングは、サーバ側から一方的にデータをリアルタイムに送信する技術である。リクエストを受信したサーバは、サーバ側から送りたいデータが生じるまで、レスポンスを返信せずにコネクションを維持する。コネクションのタイムアウトが発生した場合には、すぐに接続し直すように制御される。もしくは、コネクションのタイムアウトが発生しないように、サーバは、一定の間隔でダミーのデータをクライアントに送信する。そして、サーバにおいて何らかのイベントが発生したときに、レスポンスを返信する。
図3は、クライアントとサーバの間の通信において、ロングポーリングが行われる場合の通信シーケンスの一例を示す。図3では、ロングポーリング処理において、サーバからの送信対象の送信データが発生するまでに、複数回のタイムアウトが発生している例を示している。タイムアウト時には、サーバからクライアントにパケットが返信され、そのパケットを受信したクライアントは直ぐにサーバにパケットを送信することで、コネクションが維持された状態が続いている。ただし、サーバでは、最初のリクエストを受信してから送信データが発生するまでの間は、待ち時間となっている。
比較例において、ロングポーリング処理が発生した場合を考える。比較例のように、上りと下りのパケットの取得時刻から応答時間を算出すると、実際にはサーバでは処理が行われず単に待ち状態であった時間を、応答時間として算出してしまう。例えば、リクエストと、タイムアウトによるレスポンスの間の時間も応答時間として算出されることとなる。よって、比較例では、ロングポーリング処理が発生した場合、応答時間の算出の精度が低下する。
ロングポーリングが発生した場合にも、応答時間の算出精度の低下を防ぐために、実施形態では、リクエストとレスポンスの組のうち、タイムアウトによるレスポンスを含む組などを判別する処理を行う。そして実施形態では、判別した組を、応答時間の算出対象から除外する。これにより、実施形態では、正確な応答時間の算出が可能となる。
(実施形態)
図4は、実施形態に係るパケット除去システムの構成の一例を示す。図4において、パケット除去システムは、1以上のクライアント端末21(21a、21b)、1以上のサーバ装置22(22a、22b、22c)、中継装置23、及び、メッセージログ除去装置24を含む。クライアント端末21とサーバ装置22は中継装置23を介して接続される。また、中継装置23はメッセージログ除去装置24と接続する。
クライアント端末21は、サーバ装置22に対してリクエストを送信する。また、クライアント端末21は、リクエストに対するレスポンスを受信する。
サーバ装置22は、クライアント端末21からリクエストを受信する。また、サーバ装置22は、リクエストに対するレスポンスを返信する。
中継装置23は、クライアント端末21とサーバ装置22の間で送受信されるパケットを中継する。また、中継装置23は、クライアント端末21とサーバ装置22の間で送受信されるパケットをキャプチャする。そして、中継装置23は、キャプチャしたパケットを複製して、メッセージログ除去装置24に転送する。尚、中継装置23は、例えば、タップ、リピータハブ、またはスイッチ等である。例えば、中継装置23のミラーポートをメッセージログ除去装置24に接続して、ミラーポートからメッセージログ除去装置24にパケットを転送してもよい。
メッセージログ除去装置24は、クライアント端末21とサーバ装置22の間で送受信されるパケットを中継装置23から取得する。そして、取得したパケットを用いて、メッセージログ除去装置24は、応答時間の計測に関係ないメッセージを除去する。
図5は、メッセージログ除去装置24の構成の一例を示す。メッセージログ除去装置24は、記憶部31、取得部32、解析部33、判定部34、及び除去部35を含む。
メッセージログ除去装置24は、メッセージログ除去装置1の一例である。記憶部31は、格納部2の一例である。解析部33は、生成部3の一例である。除去部35は、削除部4の一例である。
記憶部31は、メッセージログ41、コネクション管理情報42、除去対象情報43を記憶する。メッセージログ41は、第2履歴情報の一例である。コネクション管理情報42は、第1履歴情報の一例である。
メッセージログ41は、リクエストメッセージとレスポンスメッセージの組毎に、サイズと応答時間と送信元及び送信先の識別情報とを対応付けた情報を含む情報である。コネクション管理情報42は、取得したパケットからメッセージログ41を作成するために用いられる一時ファイルである。除去対象情報43は、除去対象の組の条件を示す情報である。除去対象情報43は、すなわち、メッセージログ41のうち、応答時間の計測に無関係な情報を示すものである。各情報の詳細は、後ほど説明する。
取得部32は、中継装置23からパケットを取得する。取得部32は、取得したパケットを取得時刻と対応付けて、例えば記憶部などの所定の記憶領域に記憶してもよい。
解析部33は、取得部32により取得されたパケットをトランスポート層以下の階層で解析し、メッセージログ41の作成を行う。メッセージログ41の作成では、解析部33は、一時ファイルとしてコネクション管理情報42を利用する。メッセージログ41の作成処理の詳細は、後ほど説明する。
判定部34は、メッセージログ41に記録されたリクエストとレスポンスのメッセージの組から、除去対象の組の条件を抽出する。そして判定部34は、抽出した除去対象の組の条件を除去対象情報43に記録する。除去対象の組の条件の抽出処理の詳細は、後ほど説明する。
除去部35は、除去対象情報43に基づいて、メッセージログ41から除去対象の組を除去する。除去処理の詳細は、後ほど説明する。
図6は、メッセージログ除去装置24の処理の全体の流れを示す図である。図6において、先ず、取得部32がパケットを取得する。取得部32は、取得したパケットを、パケットの取得時刻に対応づけて、パケットデータとして所定の記憶領域に記録してもよい。次に、解析部33は、パケットの簡易解析を行うことでメッセージログ41を作成する(S1)。ここで、メッセージログ41の作成においては、コネクション管理情報42が使用される。次に、判定部34は、メッセージログ41を用いて除去対象判定処理を行うことで、除去対象情報43を作成する(S2)。そして、除去部35は、除去対象情報43を用いて、メッセージログ41から除去対象のメッセージを除去することで、メッセージログ41を更新する(S3)。
以下、各部の処理の詳細について順に説明する。
先ず、解析部33によるパケットの簡易解析処理(図6のS1)について説明する。
解析部33は、取得部32により取得されたパケットデータからメッセージログ41を作成する。上述したようにメッセージログ41は、リクエストメッセージとレスポンスメッセージの組毎に、サイズと応答時間と送信元及び送信先の識別情報とを対応付けた情報を含む情報である。
具体的には、解析部33は、パケットをトランスポート層の階層で解析する。この解析により、解析部33は、アプリケーション層の階層におけるリクエストメッセージとレスポンスメッセージの組毎に、サイズと応答時間を算出する。そして、解析部33は、算出した情報をメッセージログ41に記録する。実施形態では、解析部33による解析はトランスポート層の階層で行われるが、メッセージログ41に記録されるリクエストとレスポンスのメッセージの組は、アプリケーション層の階層におけるものとなる。
ここで、トランスポート層の階層におけるパケットと、アプリケーション層の階層におけるメッセージの扱いについて、図7を参照して説明する。
図7は、トランスポート層の階層におけるパケットと、アプリケーション層の階層におけるメッセージの扱いに関する説明図である。図7(A)は、トランスポート層の階層におけるパケットの通信シーケンスの一例を示す。図7(B)は、アプリケーション層の階層におけるメッセージの通信シーケンスの一例を示す。
ここで、リクエストは、クライアントからサーバに送信されるパケットまたはメッセージを指す。レスポンスは、サーバからクライアントに送信されるパケットまたはメッセージを指す。レスポンスは、同一コネクションにおいて、直近にサーバが受信したリクエストに対応するものとする。
図7(A)と図7(B)を比較すると、図7(A)におけるいくつかのリクエスト及びレスポンスパケットは、図7(B)において1つのメッセージとして集約されている。集約されるリクエストパケットは、連続するリクエストパケットである。ただし、連続するリクエストパケット間の間隔が所定の閾値以上開く場合には、所定の閾値以上間隔が開いた後に送信された連続するリクエストパケットが集約される。ここで、連続するリクエストパケットとは、2つのリクエストパケット間にレスポンスパケットを挟まない関係にあるリクエストパケットを指す。集約されるレスポンスパケットも、連続するレスポンスパケットである。ただし、連続するレスポンスパケット間の間隔が所定の閾値以上開く場合には、所定の閾値以上間隔が開く前に送信された連続するレスポンスパケットが集約される。ここで、連続するレスポンスパケットとは、2つのレスポンスパケット間にリクエストパケットを挟まない関係にあるレスポンスパケットを指す。
図7(A)においては、レスポンスパケットD1〜D5が連続している。また、レスポンスパケットD3とD4の間は、所定の閾値以上、時間間隔が開いている。この場合、レスポンスパケットD1〜D3は、図7(B)において、レスポンスメッセージD’に集約されている。また、図7(A)において、リクエストパケットE1〜E4が連続している。リクエストパケットE2とE3の間は、所定の閾値以上、時間間隔が開いている。この場合、リクエストパケットE3〜E4は、図7(B)において、レスポンスメッセージE’に集約されている。
集約されたリクエストメッセージのサイズは、集約前のリクエストパケットのサイズの合計である。また、集約されたリクエストメッセージの取得時刻は、集約前のリクエストパケットのうち、取得時間が最も遅いリクエストパケットの取得時刻とする。例えば、図7(B)のリクエストメッセージE’のサイズは、図7(A)のリクエストパケットE3、E4のサイズの合計である。また、リクエストメッセージE’の取得時刻は、リクエストパケットE4の取得時刻と同じである。
集約されたレスポンスメッセージのサイズは、集約前のレスポンスパケットのサイズの合計である。また、集約されたレスポンスメッセージの取得時刻は、集約前のレスポンスパケットのうち、取得時刻が最も早いレスポンスパケットの取得時刻とする。例えば、図7(B)のレスポンスメッセージD’のサイズは、図7(A)のレスポンスパケットD1〜D3のサイズの合計である。また、レスポンスメッセージD’の取得時刻は、レスポンスパケットD1の取得時刻と同じである。
解析部33は、パケットをトランスポート層の階層で解析し、パケットの通信方向と間隔とに基づいて、アプリケーション層でのリクエストメッセージとレスポンスメッセージの組毎に情報をまとめる。そして、解析部33は、リクエストメッセージとレスポンスメッセージの組毎にサイズと応答時間とクライアント及びサーバの識別情報とを対応付けた情報をメッセージログ41に出力する。図7の例の場合には、メッセージログ41には、組(A、B)、組(C、D’)、組(E’、F)毎に、サイズと応答時間とクライアント及びサーバの識別情報とを対応付けた情報を含む情報がメッセージログ41に出力される。
図8は、メッセージログ41の構成の一例を示す。図8において、メッセージログ41は、「リクエストタイムスタンプ」、「レスポンスタイムスタンプ」、「クライアントIPアドレス」、「クライアントポート番号」、「サーバIPアドレス」、及び「サーバポート番号」のデータ項目を含む。さらに、メッセージログ41は、「トランスポート層プロトコル」、「リクエストメッセージサイズ」、「レスポンスメッセージサイズ」、及び「応答時間」のデータ項目を含む。各データ項目は、レコード(行)毎に対応付けられる。
メッセージログ41の各レコードは、アプリケーション層の階層におけるリクエストメッセージとレスポンスメッセージの組にそれぞれ対応する。
「リクエストタイムスタンプ」は、リクエストメッセージの取得時刻を示す情報である。「レスポンスタイムスタンプ」は、レスポンスメッセージの取得時刻を示す情報である。「クライアントIPアドレス」は、リクエストメッセージを送信したクライアント端末21のIPアドレスを示す情報である。「クライアントポート番号」は、リクエストメッセージを送信したクライアント端末21のポート番号を示す情報である。「サーバIPアドレス」は、レスポンスメッセージを送信したサーバのIPアドレスを示す情報である。「サーバポート番号」は、レスポンスメッセージを送信したサーバのポート番号を示す情報である。「トランスポート層プロトコル」は、リクエストとレスポンスの組の通信で用いられるトランスポート層のプロトコルの種類を示す情報である。「リクエストメッセージサイズ」は、リクエストメッセージのサイズを示す情報である。「レスポンスメッセージサイズ」は、レスポンスメッセージのサイズを示す情報である。「応答時間」は、リクエストメッセージとレスポンスメッセージを取得部32が取得した時刻の間隔を示す情報である。すなわち「応答時間」の値は、「レスポンスタイムスタンプ」と「リクエストタイムスタンプ」の差分と等しくなる。
「クライアントIPアドレス」、「クライアントポート番号」、「サーバIPアドレス」、「サーバポート番号」、及び、「トランスポート層プロトコル」のデータ項目の組み合わせにより、コネクションが一意に識別される。以下の説明では、これらのデータ項目の組み合わせを「コネクション情報」と記す場合がある。
解析部33は、以上のようなメッセージログ41を、取得部32により取得されたパケットから作成する。以下、メッセージログ41の作成処理を詳細に説明する。尚、解析部33は、コネクション確立時の最初のSYNパケットの受信側、またはWell−knownポート側をサーバと判定する。
解析部33は、先ず、取得部32により取得されたパケットをトランスポート層以下の階層で解析する。具体的には、解析部33は、パケットのTCP/IPヘッダを解析する。この解析により、解析部33は、パケットが通信されるコネクションの情報、パケットの通信方向、及び、パケットのサイズを取得する。コネクションの情報には、クライアント及びサーバそれぞれの、IPアドレス及びポート番号を示す情報が含まれる。また、コネクションの情報には、通信で使用されるトランスポート層プロトコルの種類を示す情報が含まれる。通信方向は、パケットの宛先がクライアントかサーバかを示す情報である。そして、解析部33は、解析により取得した、パケットのコネクションの情報、通信方向、及びサイズを、パケットの取得時間とともにコネクション管理情報42に格納する。コネクション管理情報42は、上述したように、メッセージログ41を作成するための一時ファイルである。
図9は、コネクション管理情報42の構成の一例を示す。図9において、コネクション管理情報42は、「クライアントIPアドレス」、「クライアントポート番号」、「サーバIPアドレス」、「サーバポート番号」、「トランスポート層プロトコル」、及び「最新タイムスタンプ」を含む。さらに、コネクション管理情報42は、「最新通信方向」、「リクエストタイムスタンプ」、「レスポンスタイムスタンプ」、「リクエストメッセージサイズ」、「レスポンスメッセージサイズ」、及び「応答時間」のデータ項目を含む。各データ項目は、レコード(行)毎に対応付けられる。コネクション管理情報42の各レコードは、各コネクションに対応する。
コネクション管理情報42における、「クライアントIPアドレス」、「クライアントポート番号」、「サーバIPアドレス」、「サーバポート番号」、及び、「トランスポート層プロトコル」は、図8のメッセージログ41の対応するデータ項目と同様である。また、コネクション管理情報42における、「リクエストタイムスタンプ」、「レスポンスタイムスタンプ」、「リクエストメッセージサイズ」、「レスポンスメッセージサイズ」、及び「応答時間」も、図8のメッセージログ41の対応するデータ項目と同様である。「最新タイムスタンプ」は、同一コネクションのパケット通信において、1つ前に通信されたパケット(リクエストまたはレスポンス)の取得時刻を示す情報である。「最新通信方向」は、同一コネクションのパケット通信において、1つ前に通信されたパケットの通信方向を示す情報である。
次に、解析部33は、コネクション管理情報42を用いて、パケットの通信方向の変化を検出する。具体的には、解析部33は、コネクション管理情報42の「最新通信方向」を参照することにより通信方向の変化を検出する。これにより解析部33は、リクエストとレスポンスの対応関係を認識する。また解析部33は、通信方向が同じパケットが連続した場合に、連続したパケットの間隔が閾値以上であるか否かを判別する。具体的には、解析部33は、コネクション管理情報42の「最新タイムスタンプ」を参照することにより連続したパケットの間隔が閾値以上か否かを判別する。これにより解析部33は、パケットを適切に集約して、メッセージの情報に変換することができる。
そして、解析部33は、アプリケーション層の階層におけるリクエストとレスポンスの組毎に、コネクションの情報、パケットのサイズ、パケットの取得時刻、応答時間を対応付けて、メッセージログ41に出力する。
図10〜図12は、コネクション管理情報42を用いたメッセージログ41の作成方法の処理の詳細を図解したフローチャートの一例である。
図10において、先ず解析部33は、解析対象のパケットが存在するか否かを判定する(S101)。解析対象のパケットが存在しないと判定された場合は(S101でNo)、処理は終了する。
一方、解析対象のパケットが存在すると判定した場合は(S101でYes)、解析部33は、パケットデータを読み込む(S102)。ここで読み込んだパケットを図10〜図12の説明では、対象パケットと記す。
次に、解析部33は、対象パケットをトランスポート層以下の階層で解析する(S103)。この解析により、解析部33は、対象パケットが通信されるコネクションの情報、パケットの通信方向、パケットのサイズ、及び取得時刻を取得する。尚、解析部33は、パケットの取得時刻については、取得部32から取得してもよい。
次に、解析部33は、コネクション管理情報42を検索し(S104)、コネクション管理情報42に、対象パケットに対応するレコードが存在するか否かを判定する(S105)。具体的には、解析部33は、S103で取得した対象パケットのコネクションの情報と、コネクション管理情報42のコネクション情報が一致するレコードが存在するか否かを判定する。コネクション情報は、具体的には、「クライアントIPアドレス」、「クライアントポート番号」、「サーバIPアドレス」、「サーバポート番号」、及び「トランスポート層プロトコル」のデータ項目である。これらのデータ項目が一致するレコードが存在する場合、解析部33は、対象パケットのコネクションがコネクション管理情報42に存在すると判定する。
対象パケットのコネクションに対応するレコードがコネクション管理情報42に存在しないと判定した場合(S105でNo)、解析部33は、対象パケットの情報をコネクション管理情報42に格納する(S106)。具体的には、解析部33は、コネクション管理情報42に対象パケットに対応するレコードを新規作成する。そして、解析部33は、作成したレコードのコネクション情報に、対象レコードのコネクションの情報を格納する。次に、処理はS107に遷移する。
一方、対象パケットのコネクションに対応するレコードがコネクション管理情報42に存在すると判定した場合(S105でYes)、解析部33は、対象パケットはデータパケットであるか否かを判定する(S107)。データパケットではないと判定した場合(S107でNo)、解析部33は、処理をS101に遷移させる。
対象パケットはデータパケットであると判定した場合(S107でYes)、解析部33は、処理を図11のS108に遷移させる。
図11のS108において、コネクション管理情報42のうち、対象パケットに対応するレコード(以下、対象レコードと記す)の「最新タイムスタンプ」に値が格納済みか否かを判定する(S108)。値が格納済みでないと判定した場合(S108でNo)、解析部33は、処理を図12のS121に遷移させる。
図12のS121において、解析部33は、対象パケットの取得時刻、及び通信方向を示す情報それぞれを、対象レコードの「最新タイムスタンプ」、及び「通信方向」に格納する(S121)。
次に、解析部33は、対象パケットのサイズを対象レコードに格納する(S122)。具体的には、対象パケットの通信方向が上りである場合には、対象レコードの「リクエストメッセージサイズ」の値に対象パケットのサイズを加算する。対象パケットの通信方向が下りである場合には、対象レコードの「レスポンスメッセージサイズ」の値に対象パケットのサイズを加算する。そして、解析部33は、処理を再びS101に遷移させる。
図11のS108に説明を戻す。対象レコードの「最新タイムスタンプ」に値が格納済みであると判定した場合(S108でYes)、対象パケットの通信方向が上りか否かを判定する(S109)。通信方向が下りであると判定した場合(S109でNo)、解析部33は、対象レコードの「通信方向」が上りか否かを判定する(S110)。対象レコードの「通信方向」が上りであると判定した場合(S110でYes)、解析部33は、応答時間を算出して対象レコードに格納する(S111)。具体的には、解析部33は、対象パケットの取得時刻と対象レコードの「最新タイムスタンプ」の差分を、応答時間として算出する。そして解析部33は、算出した応答時間を対象レコードの「応答時間」に格納する。
次に、解析部33は、対象レコードの「リクエストタイムスタンプ」、及び「レスポンスタイムスタンプ」に値を格納する(S112)。具体的には、解析部33は、対象レコードの「最新タイムスタンプ」の値を「リクエストタイムスタンプ」に、対象パケットの取得時刻を対象レコードの「レスポンスタイムスタンプ」に格納する。次に、解析部33は、処理を図12のS121に遷移させる。
図11のS110に説明を戻す。対象レコードの「通信方向」が下りであると判定した場合(S110でNo)、解析部33は、パケットの取得時刻間隔を算出する(S113)。具体的には、解析部33は、対象パケットの取得時刻と対象レコードの「最新タイムスタンプ」の差分を、パケットの取得時間間隔として算出する。
次に、解析部33は、S113で算出したパケットの取得時間間隔が、所定の閾値以上であるか否かを算出する(S114)。パケットの取得時間間隔が所定の閾値未満であると判定した場合(S114でNo)、解析部33は、処理を図12のS121に遷移させる。一方、パケットの取得時間間隔が所定の閾値以上であると判定した場合(S114でYes)、解析部33は、処理を図12のS118に遷移させる。
図12のS118において、解析部33は、対象レコードの「応答時間」に値が格納されているか否かを判定する(S118)。対象レコードの「応答時間」に値が格納されていないと判定した場合(S118でNo)、解析部33は、処理をS120に遷移させる。
一方、対象レコードの「応答時間」に値が格納されていると判定した場合(S118でYes)、解析部33は、メッセージログ41に、対象レコードの情報を出力する(S119)。具体的には、解析部33は、メッセージログ41に新規のレコードを作成し、作成したレコードの各データ項目に、対象レコードの対応するデータ項目(同一名称のデータ項目)の値を格納する。
次に、解析部33は、対象レコードの初期化を行う(S120)。具体的には、解析部33は、対象レコードの「リクエストタイムスタンプ」、「レスポンスタイムスタンプ」、「リクエストメッセージサイズ」、及び「レスポンスメッセージサイズ」の値を消去する。そして、解析部33は、処理をS121に遷移させる。
図11のS109に説明を戻す。通信方向が上りであると判定した場合(S109でYes)、解析部33は、処理を図12のS115に遷移させる。
図12のS115において、解析部33は、対象レコードの「通信方向」が上りか否かを判定する(S115)。「通信方向」が下りであると判定した場合(S115でNo)、解析部33は、処理をS118に遷移させる。
一方、「通信方向」が上りであると判定した場合(S115でYes)、解析部33は、パケットの取得時刻間隔を算出する(S116)。具体的には、解析部33は、対象パケットの取得時刻と対象レコードの「最新タイムスタンプ」の差分を、パケットの取得時間間隔として算出する。
次に、解析部33は、S116で算出したパケットの取得時間間隔が、所定の閾値以上であるか否かを算出する(S117)。パケットの取得時間間隔が所定の閾値未満であると判定した場合(S117でNo)、解析部33は、処理をS121に遷移させる。一方、パケットの取得時間間隔が所定の閾値以上であると判定した場合(S117でYes)、解析部33は、処理をS120に遷移させる。
以上、コネクション管理情報42を用いたメッセージログ41の作成方法の処理の詳細を説明した。
次に、判定部34による除去対象判定処理(図6のS2)について説明する。
判定部34は、メッセージログ41から除去対象のリクエストとレスポンスの組の条件(以下、除去条件と記す)を抽出する。そして、判定部34は、抽出した除去条件を除去対象情報43に記録する。尚、除去対象判定処理で使用されるメッセージログ41は、取得時刻が所定の期間内におけるものを対象とする。
具体的には、判定部34は、先ず、メッセージログ41において応答時間が所定の閾値(Δtth)以上である組を抽出する。そして、判定部34は、応答時間が所定の閾値(Δtth)以上である組のうち、以下の4つの判定条件を満たす組同士を同一のグループに属するとして識別する。判定条件とは、すなわち、(1)集計単位のデータ項目の値が同一であること、(2)リクエストのサイズが同一であること、(3)レスポンスのサイズが同一であること、及び(4)連続する組であること、である。尚、判定条件は、複数の組間での比較によるものである。
ここで、(1)の集計単位は、具体的には、単一コネクション、または、複数コネクションの何れかである。具体的には、集計単位が単一コネクションである場合には、(1)の条件は以下となる。すなわち、(1)の条件は、メッセージログ41の「クライアントIPアドレス」、「クライアントポート番号」、「サーバIPアドレス」、「サーバポート番号」、及び「トランスポート層プロトコル」の全ての値が同一であることとなる。また、集計単位が複数コネクションである場合には、(1)の条件は、メッセージログ41の「クライアントIPアドレス」、「サーバIPアドレス」、「サーバポート番号」、及び「トランスポート層プロトコル」の全ての値が同一であることとなる。
また、(4)の連続する組同士とは、時系列で連続して通信された組同士を指す。具体的には、連続する組同士とは、メッセージログ41のレコードを集計単位毎に「リクエストタイムスタンプ」の昇順に並べたときに、連続する組同士のレコードの間に、他のレコードが存在しない組同士を指す。
尚、(2)、(3)のリクエスト、レスポンスのサイズに関する条件は、多少の誤差を許容してもよい。すなわち、組同士のサイズの差が所定の閾値未満であれば、それらの組同士のサイズは同一としてみなしてもよい。また、判定条件の(4)は、判定条件に含めなくてもよい。
グループの識別が完了すると、次に、判定部34は、識別したグループに含まれる組の数が所定の閾値(t1)以上であるか否かを判定する。抽出したグループに含まれる組の数が所定の閾値(t1)以上であると判定した場合、判定部34は、グループに含まれる組の応答時間の標準偏差が所定の閾値(σth)以下であるか否かを判定する。そして、グループに含まれる組の応答時間の標準偏差が所定の閾値(σth)以下であると判定した場合、判定部34は、そのグループに属する組の集計単位のデータ項目と、リクエストのサイズと、レスポンスのサイズとを、除去条件として抽出する。ここで、グループに含まれる組のうち、閾値(t1)以上の組合せのいずれかの標準偏差が閾値(σth)以下であれば、除去条件として抽出されるものとしてもよい。例えば、グループに含まれる組が(A、B、C、D)で、閾値(t1)が「3」であるとすると、以下の組合せのいずれかの標準偏差が閾値(σth)以下であれば、除去条件として抽出される。この組合せは、すなわち、(A、B、C)、(A、B、D)、(A、C、D)、(B、C、D)、(A、B、C、D)である。
図13は、除去対象の条件の抽出処理についての説明図である。図13では、アプリケーション層の階層でのクライアントとサーバの間の通信シーケンスの一例が示されている。図13の例では、Δtth=10[sec]、σth=0.5[sec]、t1=3とする。このとき、リクエストとレスポンスの組X1〜X4の応答時間は、Δtth以上であり、また、(1)〜(4)の判定条件をすべて満たしている。よって、組X1〜X4は同一グループZに属し、このグループZに含まれる組の数は4 > t1となる。そして、組X1〜X4の応答時間の標準偏差は、σth以下である。したがって、この場合、判定部34は、除去条件として、X1〜X4のコネクションであって、リクエストサイズが80byte、且つ、レスポンスサイズが64byteであることを抽出する。
そして、判定部34は、抽出した除去条件を除去対象情報43に格納する。除去対象情報43は、除去条件として、コネクションを示す情報と、リクエストとレスポンスのサイズを示す情報とを対応付けて記憶する。
図14は、除去対象情報43の構成の一例を示す。図14において、除去対象情報43は、「クライアントIPアドレス」、「クライアントポート番号」、「サーバIPアドレス」、「サーバポート番号」、及び「トランスポート層プロトコル」のデータ項目を含む。さらに、除去対象情報43は、「リクエストメッセージサイズ」、及び「レスポンスメッセージサイズ」のデータ項目を含む。各データ項目は、レコード(行)毎に対応付けられる。
「クライアントIPアドレス」は、リクエストを送信したクライアント端末21のIPアドレスを示す情報である。「クライアントポート番号」は、リクエストを送信したクライアント端末21のポート番号を示す情報である。「サーバIPアドレス」は、レスポンスを送信したサーバのIPアドレスを示す情報である。「サーバポート番号」は、レスポンスを送信したサーバのポート番号を示す情報である。「トランスポート層プロトコル」は、リクエストとレスポンスの組の通信で用いられるトランスポート層のプロトコルの種類を示す情報である。「リクエストメッセージサイズ」は、リクエストメッセージのサイズを示す情報である。「レスポンスメッセージサイズ」は、レスポンスメッセージのメッセージサイズを示す情報である。
図15は、除去対象判定処理の詳細を図解したフローチャートの一例である。
図15において、先ず、判定部34は、メッセージログ41を読み込む(S201)。尚、判定部34は、メッセージログ41の全てのレコードを一括で読み込む。
次に、判定部34は、集計単位を選択する(S202)。すなわち、判定条件の(1)の集計単位を、単一コネクションか複数コネクションのどちらにするかを選択する。尚、判定部34は両方の集計単位を同時に選択し、以降の処理を行うことも可能である。
次に、判定部34は、メッセージログ41のうち、集計対象の組のグループを1つ抽出する(S203)。具体的には、判定部34は、先ず、メッセージログ41の「応答時間」が所定の閾値(Δtth)以上のレコードのうち、上述した判定条件を満たす複数の組を同一のグループに属すると識別する。そして、判定部34は、同一グループに属する組の数が所定の閾値(t1)以上であるグループのうちの1つを抽出する。
次に、判定部34は、抽出したグループに属する組の応答時間の標準偏差を算出する(S204)。そして、判定部34は、算出した標準偏差が、所定の閾値(σth)以下であるか否かを判定する(S205)。標準偏差が所定の閾値(σth)より大きいと判定した場合(S205でNo)、判定部34は、処理をS207に遷移させる。
一方、標準偏差が所定の閾値(σth)以下であると判定した場合(S205でYes)、判定部34は、除去対象情報43に、抽出したグループの、集計単位のデータ項目、リクエストのサイズ、及びレスポンスのサイズを格納する(S206)。すなわち、判定部34は、除去対象情報43に新規レコードを作成し、作成したレコードの各データ項目に、抽出したグループに属する組のレコードのデータ項目(同一名称のデータ項目)の値を格納する。尚、集計単位が複数コネクションである場合には、除去対象情報43の「クライアントポート番号」の項目は省略される。
次に、判定部34は、集計対象の組のグループをすべてS203において抽出したか否かを判定する(S207)。集計対象の組のグループのうち、S203において抽出していないグループが存在すると判定した場合(S207でNo)、判定部34は、処理をS203に遷移させ、未抽出のグループを抽出する。集計対象の組のすべてのグループをS203において抽出済みであると判定した場合(S207でYes)、判定部34は、処理を終了させる。
次に、除去部35による除去処理(図6のS3)について説明する。
除去部35は、除去対象情報43に基づいて、メッセージログ41から除去対象の組を除去する。
具体的には、除去部35は、メッセージログ41のリクエストとレスポンスの組が、除去対象情報43の除去条件を満たすか否かを判定する。除去条件を満たすか否かは、判定単位に応じて判定される。判定単位とは、すなわち、(A)サーバ単位、(B)クライアント単位、(C)コネクション単位のいずれかである。
(A)サーバ単位の場合、除去部35は、メッセージログ41と除去対象情報43との間で、以下のデータ項目が一致するか否かを判定する。データ項目とは、すなわち、「サーバIPアドレス」、「サーバポート番号」、「トランスポート層プロトコル」、「リクエストメッセージサイズ」、及び「レスポンスメッセージサイズ」である。これらの項目が全て一致する場合、除去部35は、リクエストとレスポンスの組が、除去対象情報43の除去条件を満たすと判定する。
(B)クライアント単位の場合、除去部35は、メッセージログ41と除去対象情報43との間で、以下のデータ項目が一致するか否かを判定する。データ項目とは、すなわち、「クライアントIPアドレス」、「サーバIPアドレス」、「サーバポート番号」、「トランスポート層プロトコル」、「リクエストメッセージサイズ」、及び「レスポンスメッセージサイズ」である。これらの項目が全て一致する場合、除去部35は、リクエストとレスポンスの組が、除去対象情報43の除去条件を満たすと判定する。
(C)コネクション単位の場合、除去部35は、メッセージログ41と除去対象情報43との間で、以下のデータ項目が一致するか否かを判定する。データ項目とは、すなわち、「クライアントIPアドレス」、「クライアントポート番号」、「サーバIPアドレス」、「サーバポート番号」、「トランスポート層プロトコル」、「リクエストメッセージサイズ」、及び「レスポンスメッセージサイズ」である。これらの項目が全て一致する場合、除去部35は、リクエストとレスポンスの組が、除去対象情報43の除去条件を満たすと判定する。
そして、除去部35は、除去条件を満たすと判定されたメッセージをメッセージログ41から削除する。
図16は、メッセージログ41から除去対象の組を除去する処理の説明図である。図16は、図13の例で作成した除去対象情報43を用いて、除去対象の組を削除する例を示している。図15においてX1〜X4を用いて作成された除去条件の「リクエストメッセージサイズ」、「レスポンスメッセージサイズ」は、それぞれ80byte、64byteである。図16と図13の通信シーケンスは同一コネクションのものを示している。よって、図16において、リクエストサイズ、レスポンスサイズがそれぞれ80Byte、64byteである組がすべて、除去条件を満たすと判定される。すなわち、図16のX1〜X5が除去条件を満たすと判定される。
図17は、除去処理の詳細を図解したフローチャートの一例である。
図17において、除去部35は、除去対象情報43を読み込む(S301)。次に、除去部35は、判定単位を選択する(S302)。判定単位は、上述した(A)〜(C)のうちのいずれかである。
次に、除去部35は、メッセージログ41のレコードを1つずつ読み込む(S303)。次に、除去部35は、読み込んだレコードの組が、除去条件を満たすか否かを判定する(S304)。除去条件を満たすか否かの判定は、S302で選択した判定単位に応じて行われる。
除去条件を満たさないと判定した場合(S305でNo)、除去部35は、処理をS307に遷移させる。一方、除去条件を満たすと判定した場合(S305でYes)、除去部35は、メッセージログ41から、S303で読み込んだレコードを削除する(S306)。
次に、除去部35は、メッセージログ41の全てのレコードをS303において読み込み済みか否かを判定する(S307)。メッセージログ41のうち、いずれかのレコードを読み込み済みでないと判定した場合(S307でNo)、判定部34は、処理をS303に遷移させ、読み込み済みでないレコードを読み込む。一方、メッセージログ41の全てのレコードを読み込み済みであると判定した場合(S307でYes)、判定部34は、処理を終了させる。
次に、実施形態に係るメッセージログ除去装置24のハードウェア構成を説明する。図18は、実施形態に係るメッセージログ除去装置24のハードウェア構成の一例を示す。
図18において、メッセージログ除去装置24は、Central Processing Unit(CPU)61、メモリ62、記憶装置63、読取装置64、及び通信インターフェース65を含む。CPU61、メモリ62、記憶装置63、読取装置64、及び通信インターフェース65はバス等を介して接続される。
CPU61は、メモリ62を利用して上述のフローチャートの手順を記述したプログラムを実行することにより、取得部32、解析部33、判定部34、除去部35の一部または全部の機能を提供する。
メモリ62は、例えば半導体メモリであり、Random Access Memory(RAM)領域およびRead Only Memory(ROM)領域を含んで構成される。メモリ62は、フラッシュメモリ等の半導体メモリであってもよい。メモリ62は、記憶部31の一部または全部の機能を提供する。尚、上述の処理で用いられる各閾値は、メモリ62に記憶される。尚、各閾値の値は、全て異なっていてもよいし、いくつかまたは全てが同じであってもよい。
記憶装置63は、例えばハードディスクである。なお、記憶装置63は、フラッシュメモリ等の半導体メモリであってもよい。また、記憶装置63は、外部記録装置であってもよい。記憶装置63は、記憶部31の一部または全部の機能を提供してもよい。
読取装置64は、CPU61の指示に従って着脱可能記憶媒体80にアクセスする。着脱可能記憶媒体80は、たとえば、半導体デバイス(USBメモリ等)、磁気的作用により情報が入出力される媒体(磁気ディスク等)、光学的作用により情報が入出力される媒体(CD−ROM、DVD等)などにより実現される。尚、読取装置64はメッセージ除去装置に含まれなくてもよい。
通信インターフェース65は、CPU61の指示に従って通信ネットワーク等を介して、中継装置23と通信する。
実施形態のプログラムは、例えば、下記の形態でメッセージログ除去装置24に提供される。
(1)記憶装置63に予めインストールされている。
(2)着脱可能記憶媒体80により提供される。
(3)プログラムサーバ(図示せず)から通信インターフェース65を介して提供される。
図19は、応答時間の算出に関する比較例と実施形態を比較図である。図19(A)は、比較例における応答時間算出例である。図19(B)は、実施形態における応答時間算出例である。
図19(A)では、実際には、サーバの待ち時間である値も応答時間としてプロットされている。一方、図19(B)では、サーバの待ち時間を示すものは、除去されている。このように実施形態では、サーバ待ち時間の増加を応答遅延と誤検知することを抑制することができる。また、実施形態では、サーバ待ち時間の処理に埋もれて、本当の応答遅延を見逃すことを抑制することができる。
さらに、実施形態のメッセージログ除去装置24の一部は、ハードウェアで実現してもよい。或いは、実施形態のメッセージログ除去装置24は、ソフトウェアおよびハードウェアの組み合わせで実現してもよい。
尚、本実施形態は、以上に述べた実施の形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成または実施形態を取ることができる。
1 メッセージログ除去装置
2 格納部
3 生成部
4 削除部
21 クライアント端末
22 サーバ装置
23 中継装置
24 メッセージログ除去装置
31 記憶部
32 取得部
33 解析部
34 判定部
35 除去部
41 メッセージログ
42 コネクション管理情報
43 除去対象情報
61 CPU
62 メモリ
63 記憶装置
64 読取装置
65 通信インターフェース
80 着脱可能記憶媒体

Claims (5)

  1. 通信装置間で通信されるデータパケットの取得に応じて、該データパケットの受信時刻、サイズ、及び送信先情報及び送信元情報を含む第1履歴情報を格納する格納部と、
    前記第1履歴情報を用いて、送信元から送信先へ送信される前記データパケットから組み立てられる第1メッセージと、該第1メッセージの次に取得した前記データパケットから組み立てられる第2メッセージであって該送信先から該送信元へ送信される第2メッセージとの組毎に、該第1及び第2メッセージそれぞれの受信時刻とサイズと前記送信元情報と前記送信先情報と、を対応付けた第2履歴情報を生成する生成部と、
    前記第2履歴情報から、前記送信元情報及び前記送信先情報が同じ組同士の、前記第1及び第2メッセージのサイズに応じて、何れかの組を削除する削除部と、
    を備えることを特徴とするメッセージログ除去装置。
  2. 前記削除部は、前記送信元情報及び前記送信先情報が同じ組同士の、前記第1及び第2メッセージのサイズと、前記第1メッセージと前記第2メッセージの受信時刻の間隔と、に応じて、前記第2履歴情報から、前記第1及び第2メッセージの何れかの組を削除する
    ことを特徴とする請求項1に記載のメッセージログ除去装置。
  3. 前記削除部は、前記第1メッセージと第2メッセージの受信時刻の間隔が所定の閾値以上である前記第2履歴情報の複数の組の間で、前記送信元情報及び前記送信先情報が同じであって、前記第1メッセージ同士のサイズの差分、前記第2メッセージ同士のサイズの差分、及び、前記第1メッセージと前記第2メッセージの受信時刻の間隔の標準偏差がそれぞれ所定の閾値以内である組を所定の数以上含むグループを抽出し、抽出した該グループに含まれる組の第1及び第2メッセージサイズに応じて、前記第2履歴情報から何れかの組を削除する
    ことを特徴とする請求項2に記載のメッセージログ除去装置。
  4. 通信装置間で通信されるデータパケットの取得に応じて、該データパケットの受信時刻、サイズ、及び送信先情報及び送信元情報を含む第1履歴情報を格納する格納部に格納された前記第1履歴情報を用いて、送信元から送信先へ送信される前記データパケットから組み立てられる第1メッセージと、該第1メッセージの次に取得した前記データパケットから組み立てられる第2メッセージであって該送信先から該送信元へ送信される第2メッセージとの組毎に、該第1及び第2メッセージそれぞれの受信時刻とサイズと前記送信元情報と前記送信先情報と、を対応付けた第2履歴情報を生成し、
    前記第2履歴情報から、前記送信元情報及び前記送信先情報が同じ組同士の、前記第1及び第2メッセージのサイズに応じて、何れかの組を削除する
    処理をコンピュータが実行することを特徴とするメッセージログ除去方法。
  5. コンピュータに、
    通信装置間で通信されるデータパケットの取得に応じて、該データパケットの受信時刻、サイズ、及び送信先情報及び送信元情報を含む第1履歴情報を格納する格納部に格納された前記第1履歴情報を用いて、送信元から送信先へ送信される前記データパケットから組み立てられる第1メッセージと、該第1メッセージの次に取得した前記データパケットから組み立てられる第2メッセージであって該送信先から該送信元へ送信される第2メッセージとの組毎に、該第1及び第2メッセージそれぞれの受信時刻とサイズと前記送信元情報と前記送信先情報と、を対応付けた第2履歴情報を生成し、
    前記第2履歴情報から、前記送信元情報及び前記送信先情報が同じ組同士の、前記第1及び第2メッセージのサイズに応じて、何れかの組を削除する
    処理を実行させることを特徴とするメッセージログ除去プログラム。
JP2015023377A 2015-02-09 2015-02-09 メッセージログ除去装置、メッセージログ除去方法、及びメッセージログ除去プログラム Expired - Fee Related JP6432377B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015023377A JP6432377B2 (ja) 2015-02-09 2015-02-09 メッセージログ除去装置、メッセージログ除去方法、及びメッセージログ除去プログラム
US14/974,412 US20160234344A1 (en) 2015-02-09 2015-12-18 Message log removal apparatus and message log removal method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015023377A JP6432377B2 (ja) 2015-02-09 2015-02-09 メッセージログ除去装置、メッセージログ除去方法、及びメッセージログ除去プログラム

Publications (2)

Publication Number Publication Date
JP2016146588A JP2016146588A (ja) 2016-08-12
JP6432377B2 true JP6432377B2 (ja) 2018-12-05

Family

ID=56566300

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015023377A Expired - Fee Related JP6432377B2 (ja) 2015-02-09 2015-02-09 メッセージログ除去装置、メッセージログ除去方法、及びメッセージログ除去プログラム

Country Status (2)

Country Link
US (1) US20160234344A1 (ja)
JP (1) JP6432377B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017182302A1 (en) * 2016-04-19 2017-10-26 Nagravision S.A. Method and system to detect abnormal message transactions on a network
CN112468354A (zh) * 2019-09-09 2021-03-09 阿里巴巴集团控股有限公司 一种时间数据的记录方法、装置及设备

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4610240B2 (ja) * 2004-06-24 2011-01-12 富士通株式会社 分析プログラム、分析方法及び分析装置
US20110066896A1 (en) * 2008-05-16 2011-03-17 Akihiro Ebina Attack packet detecting apparatus, attack packet detecting method, video receiving apparatus, content recording apparatus, and ip communication apparatus
JP5018663B2 (ja) * 2008-06-17 2012-09-05 富士通株式会社 遅延時間計測装置、遅延時間計測プログラム、および遅延時間計測方法
US7995496B2 (en) * 2008-08-20 2011-08-09 The Boeing Company Methods and systems for internet protocol (IP) traffic conversation detection and storage
US8494000B1 (en) * 2009-07-10 2013-07-23 Netscout Systems, Inc. Intelligent slicing of monitored network packets for storing
JP5222823B2 (ja) * 2009-10-20 2013-06-26 株式会社日立製作所 アクセスログ管理方法
US9986063B2 (en) * 2012-11-28 2018-05-29 Panasonic Intellectual Property Management Co., Ltd. Receiving terminal and receiving method
JP5958355B2 (ja) * 2013-01-17 2016-07-27 富士通株式会社 分析装置、分析方法及び分析プログラム
US10069602B2 (en) * 2013-03-25 2018-09-04 Altiostar Networks, Inc. Transmission control protocol proxy in long term evolution radio access network
US9148446B2 (en) * 2013-05-07 2015-09-29 Imperva, Inc. Selective modification of encrypted application layer data in a transparent security gateway
JP6226473B2 (ja) * 2014-03-06 2017-11-08 Kddi株式会社 ネットワーク品質監視装置、プログラムおよびネットワーク品質監視方法
US9509848B2 (en) * 2014-06-30 2016-11-29 Microsoft Technology Licensing, Llc Message storage

Also Published As

Publication number Publication date
JP2016146588A (ja) 2016-08-12
US20160234344A1 (en) 2016-08-11

Similar Documents

Publication Publication Date Title
WO2021017884A1 (zh) 数据处理方法、装置及网关服务器
JP6097889B2 (ja) 監視システム、監視装置、および検査装置
JP2018084854A (ja) センサデータ処理方法
WO2018032936A1 (zh) 一种对算法生成域名进行检测的方法及装置
RU2014124009A (ru) Метод и система потоковой передачи данных для обработки сетевых метаданных
JP3957712B2 (ja) 通信監視システム
CN106921665B (zh) 一种报文处理方法及网络设备
JP2018148350A (ja) 閾値決定装置、閾値決定方法及びプログラム
JP2009232300A (ja) 輻輳検出方法、輻輳検出装置及び輻輳検出プログラム
JP5963974B2 (ja) 情報処理装置及び情報処理方法及びプログラム
US20170206125A1 (en) Monitoring system, monitoring device, and monitoring program
JP6432377B2 (ja) メッセージログ除去装置、メッセージログ除去方法、及びメッセージログ除去プログラム
CN112486914A (zh) 一种数据包存储与快查方法与***
JP2012186667A (ja) ネットワーク障害検出装置、ネットワーク障害検出装置のネットワーク障害検出方法およびネットワーク障害検出プログラム
JP3937341B2 (ja) 計算機システム性能測定分析用のトランザクションプロファイルの生成システム、その生成方法及びプログラム
JP2019102974A (ja) データ収集システム、制御装置、制御プログラム、ゲートウェイ装置およびゲートウェイプログラム
US10009151B2 (en) Packet storage method, information processing apparatus, and non-transitory computer-readable storage medium
CN113923140B (zh) 往返时延测量方法、***和存储介质
CN111538772B (zh) 数据的交换处理方法、装置、电子设备及存储介质
US20160143082A1 (en) Method for detecting a message from a group of packets transmitted in a connection
US11265237B2 (en) System and method for detecting dropped aggregated traffic metadata packets
JP2012222692A (ja) 監視点設定方法及び装置及びプログラム
JP6488600B2 (ja) 情報処理システム、プログラム及び情報処理装置
JP5974937B2 (ja) 品質指標処理システム
JP5190498B2 (ja) 中継装置、中継システム、及び中継プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181009

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181022

R150 Certificate of patent or registration of utility model

Ref document number: 6432377

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees