信息处理装置和监视方法制造方法及图纸

本发明专利技术提供一种信息处理装置，其中该信息处理装置输出包括构成信息处理系统的元件之间的数据传输关系的、表示该信息处理系统的状态的信息。该信息处理装置包括：图形化部件，用于基于表示在系统中进行工作的多个进程各自的行为的事件日志来生成关系图，其中所述关系图包括所述进程作为顶点并且包括所述顶点之间的数据传输关系作为边；以及图形输出部件，用于输出所生成的关系图。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于监视例如配备有计算机、服务器、存储系统、通信控制系统或终端等的信息处理系统的技术。
技术介绍
已知有用以监视信息处理系统的各种相关技术。例如，专利文献1公开了进程监视装置。专利文献1所公开的进程监视装置按以下方式进行工作。首先，进程监视装置基于进程的静态属性来提取需要注意进程。静态属性的示例包括进程名称、用于实现进程的程序的制造商名称、程序(软件)名称、版本、启动进程的父进程的名称和进程大小。进程监视装置在以下四个情况中的任一情况下提取相关进程作为需要注意进程：第一个情况是当前的静态属性不同于过去的静态属性；第二个情况是过去的静态属性不可利用；第三个情况是父进程不可识别；以及第四个情况是外部进程用作父进程。其次，进程监视装置基于动态属性来针对需要注意进程发出警报。动态属性的示例包括动态专用存储器字节的数量、动态共享存储器字节的数量、重定向器发送、接收通信率和硬盘访问率。在可以通过使用任何统计方法将过去的动态属性与当前的动态属性区分开的情况下，进程监视装置例如针对相关的需要注意进程生成警报或者将该需要注意进程登记作为监视对象进程。第三，进程监视装置提取与需要注意进程具有预定相关性的关联进程，并且将该关联进程确定作为监视对象进程。具有预定相关性的进程的示例包括具有明确的父子关系的进程、以及尽管不具有明确的父子关系但在监视对象进程进行工作的情况下始终启动的进程。现有技术文献专利文献专利文献1：日本特开2008-021274
技术实现思路
专利技术要解决的问题然而，在上述的现有技术文献所公开的技术中，存在如下的问题：难以输出包括构成信息处理系统的元件之间的数据传输关系的、表示该信息处理系统的状态的信息。这是因为，专利文献1所公开的技术用于单独检测分别与需要注意进程、监视对象进程和需要警报生成的进程相对应的进程。换句话说，专利文献1仅与父子关系和启动同步性有关地描述进程之间的关系。本专利技术的目的是提供解决上述问题的信息处理装置、监视方法及其程序或者记录有该程序的非瞬态计算机可读记录介质。用于解决问题的方案根据本专利技术的方面的一种信息处理装置，包括：图形化部，用于基于表示在系统中工作的多个进程各自的行为的事件日志来生成关系图，其中所述关系图包括所述进程作为所述关系图的顶点并且包括所述顶点之间的数据传输关系作为所述关系图的边；以及图形输出部，用于输出所述关系图。根据本专利技术的方面的一种监视方法，包括以下步骤：基于表示在系统中工作的多个进程各自的行为的事件日志来生成关系图，其中所述关系图包括所述进程作为所述关系图的顶点并且包括所述顶点之间的数据传输关系作为所述关系图的边；以及输出所述关系图。根据本专利技术的方面的一种非易失性非瞬态计算机可读记录介质，用于记录程序，所述程序用于使计算机执行以下处理：基于表示在系统中工作的多个进程各自的行为的事件日志来生成关系图，其中所述关系图包括所述进程作为所述关系图的顶点并且包括所述顶点之间的数据传输关系作为所述关系图的边；以及输出所述关系图。专利技术的效果本专利技术可以输出包括构成信息处理系统的元件之间的数据传输关系的、表示该信息处理系统的状态的信息。附图说明图1是示出根据本专利技术的第一实施例的信息处理装置的结构的框图。图2是示出包括根据第一实施例的信息处理装置和监视对象系统的信息处理系统的结构的框图。图3是示出第一实施例中的事件日志的一个示例的图。图4是示出第一实施例中的关系图的一个示例的图。图5是示出第一实施例中的关系图的另一示例的图。图6是示出第一实施例中的关系图的又一示例的图。图7是示出第一实施例中的利用关系图表示的进程之间的关系的概念图。图8是示出实现根据第一实施例的信息处理装置的计算机的硬件结构的框图。图9是示出第一实施例中的信息处理装置的操作的流程图。图10是示出包括根据第一实施例的第一变形例的监视对象系统和信息处理装置的信息处理系统的结构的框图。图11是示出第一实施例的第三变形例中的关系图的一个示例的图。图12是示出根据本专利技术的第二实施例的信息处理装置的结构的框图。图13是示出根据本专利技术的第三实施例的信息处理装置的结构的框图。图14是示出根据本专利技术的第四实施例的信息处理装置的结构的框图。图15是示出根据本专利技术的第五实施例的信息处理装置的结构的框图。图16是示出第五实施例中的网络图关系图的一个示例的图。图17是示出第五实施例中的矩阵关系图的一个示例的图。图18是示出第五实施例中的网络图关系图的另一示例的图。图19是示出第五实施例中的矩阵关系图的另一示例的图。图20是示出第二实施例的变形例中的历史累积部的内部结构的一个示例的框图。图21是示出第二实施例的变形例中的历史累积部的操作的流程图。图22是用于说明根据第二实施例的变形例的关系图随着时间而如何缩减的图。图23是示出根据第三实施例的变形例的信息处理装置的结构的框图。图24是示出根据第三实施例的变形例中的叠加有所检测到的信息的关系图的一个示例的图。图25是示出根据第四实施例的第二变形例的信息处理装置的结构的框图。具体实施方式以下将参考附图来详细说明本专利技术的实施例。在各附图和本说明书所述的各实施例中，相同的附图标记表示相同的组件，并且将适当省略针对这些组件的说明。<<<第一实施例>>>图1是示出根据本专利技术的第一实施例的信息处理装置100的结构的框图。如图1所示，根据本实施例的信息处理装置100包括图形化部110和图形输出部120。可以针对各硬件专用电路或计算机装置的各功能来对图1所示的组件进行分割。这里假定针对计算机装置的各功能来对图1所示的组件进行分割。图2是示出包括信息处理装置100和监视对象系统(以下还简称为“系统”)900的信息处理系统的结构的框图。在不限于图2所示的示例的情况下，多个监视对象系统900可以连接至信息处理装置100。＝＝＝监视对象系统900＝＝＝监视对象系统900包括多个主机910。主机910的示例包括计算机、服务器、存储装置和通信控制器。在不限于图2所示的示例的情况下，监视对象系统900可以包括仅一台主机910。各主机910和信息处理装置100经由网络(未示出)彼此连接。＝＝＝主机910＝＝＝主机910包括进程920、进程生成监视部件931、文件访问监视部件932、主机内进程间通信监视部件933和主机间进程间通信监视部件934。进程生成监视部件931、文件访问监视部件932、主机内进程间通信监视部件933和主机间进程间通信监视部件934各自的示例包括在主机910上进行工作的监视代理。进程生成监视部件931监视进程920所进行的新的进程920的生成和进程920的结束。在检测到该生成和结束各自时，进程生成监视部件931发送表示详情的事件日志810。文件访问监视部件932监视利用进程920的对文件的访问。在检测到该访问时，文件访问监视部件932发送表示详情的事件日志810。主机内进程间通信监视部件933和主机间进程间通信监视部件934各自监视进程之间的通信，并且在检测到该通信时发送表示详情的事件日志810。主机内进程间通信的示例包括管道、消息队列、共享存储器和域套接字。主机间进程间通信的示例包括TCP(Transmission Control Protocol，传本文档来自技高网...

【技术保护点】
一种信息处理装置，包括：图形化部，用于基于表示在系统中工作的多个进程各自的行为的事件日志来生成关系图，其中所述关系图包括所述进程作为所述关系图的顶点并且包括所述顶点之间的数据传输关系作为所述关系图的边；以及图形输出部，用于输出所述关系图。

【技术特征摘要】
【国外来华专利技术】2014.03.20 JP 2014-058496;2014.06.06 JP PCT/JP20141.一种信息处理装置，包括：图形化部，用于基于表示在系统中工作的多个进程各自的行为的事件日志来生成关系图，其中所述关系图包括所述进程作为所述关系图的顶点并且包括所述顶点之间的数据传输关系作为所述关系图的边；以及图形输出部，用于输出所述关系图。2.根据权利要求1所述的信息处理装置，其中，所述系统包括经由网络彼此连接的多个主机，并且所述进程中的各任意进程在所述主机中工作，以及所述图形化部从位于所述主机各自中的监视代理至少获得所述事件日志。3.根据权利要求1或2所述的信息处理装置，其中，所述图形化部还基于表示任意装置各自的行为的事件日志，来生成包括预定装置作为所述顶点的所述关系图。4.根据权利要求1至3中任一项所述的信息处理装置，其中，所述图形化部还生成包括所述进程所访问的任意文件和装置作为所述顶点并且包括所述访问作为所述边的所述关系图。5.根据权利要求1至4中任一项所述的信息处理装置，其中，所述图形化部还生成包括所述进程所进行的新进程的生成作为所述边的所述关系图。6.根据权利要求1至5中任一项所述的信息处理装置，其中，所述图形化部生成包括汇总表示相似行为的所述事件日志的所述边的所述关系图。7.根据权利要求6所述的信息处理装置，其中，基于所述关系图来计算用于在发生新事件的情况下判断该事件是正常还是异常的标准。8.根据权利要求6或7所述的信息处理装置，其中，所述图形化部对所述边中的所述相似行为设置信息作为所述边的属性。9.根据权利要求6至8中任一项所述的信息处理装置，其中，在预定时间段内没有发生与所述边中的特定边相对应的事件的情况下，所述图形化部删除所述特定边。10.根据权利要求1至9中任一项所述的信息处理装置，其中，所述图形化部生成包括与所述边中的传送数据量有关的信息作为所述边的属性的所述关系图。11.根据权利要求1至10中任一项所述的信息处理装置，其中，所述图形化部生成包括与所述边中的访问次数有关的信息作为所述边的属性的所述关系图。12.根据权利要求1至11中任一项所述的信息处理装置，其中，所述图形化部生成包括所述数据传输关系的类型单独作为所述边的所述关系图。13.根据权利要求1至12中任一项所述的信息处理装置，其中，所述图形化部生成包括所述数据传输关系的任意组合作为所述边的所述关系图。14.根据权利要求1至13中任一项所述的信息处理装置，其中，所述图形化部根据基于任意标准所选择的所述事件日志来生成所述关系图。15.根据权利要求1至14中任一项所述的信息处理装置，其中，所述边包括与所述顶点之间的关系相关联的性质。16.根据权利要求1至15中任一项所述的信息处理装置，其中，还包括：历史累积部，用于存储所述关系图作为历史关系图，其中，所述图形化部输出通过基于所述历史关系图和所述事件日志更新...

【专利技术属性】
技术研发人员：野村崇志，喜田弘司，上村纯平，荣纯明，胜田悦子，矶山和彦，山崎健太郎，小林佑嗣，
申请(专利权)人：日本电气株式会社，
类型：发明
国别省市：日本;JP