专利名称:通过单个网络接口帮助多个事件集合的跟踪和监控的制作方法
技术领域:
本发明一般涉及网络事件的跟踪和监控,并且特别涉及使用单个网络接口为一个或多个的主机(host)帮助对多个网络事件集合进行基本同时地跟踪和/或监控。
背景技术:
提供通信环境以使得多个主机,例如多个操作系统,能够通过单个网络接口而被连接到一个或多个网络。例如,由国际商业机器公司所提供的企业系统结构(ESA)/390系统包括到网络接口的主机,其帮助通过单个网络接口来将位于一个或多个分区(partition)上的多个操作系统连接到一个或多个网络上。虽然,多个主机对单个网络接口的共享已经提供了许多优势,但是,在例如通过单个网络接口对网络数据进行跟踪和监控的过程中,它还是产生了困难。例如,为一个主机跟踪特定的事件集合并且同时为另一个主机跟踪不同的事件集合是不可能的。另外,甚至同时为一个主机跟踪不同的事件集合也是不可能的。
另外,没有提供为特定主机的数据监控。即,没有为一个主机相对于另一个主机对通过接口所接收的数据进行描述。另外,不能够同时为一个主机对不同事件集合进行监控。因此,需要有帮助对通过单个接口所接收的网络数据进行分析的能力。例如,需要有这样的能力,其允许为一个主机跟踪一个特定的事件集合,并且基本同时地为另一个主机跟踪不同的事件集合。作为另一个例子,需要有这样的能力,其允许基本同时地为一个主机跟踪多个事件集合。作为再一个例子,需要有这样的能力,其使得能够为特定的主机监控数据。还需要有这样的能力,其使得能够基本同时地为主机监控多个事件集合。
发明内容
通过提供帮助对通信环境的事件进行分析的方法,克服了现有技术的缺点,并且提供了另外的优点。所述方法例如包括为所述通信环境的第一主机提供一个或多个事件的集合;以及为所述通信环境的第二主机提供一个或多个事件的另外的集合,以使得能够通过单个网络接口基本同时地分析所述一个或多个事件的集合以及所述一个或多个事件的另外的集合。
作为一个例子,所述第一主机和所述第二主机是同一个主机。作为另一个例子,所述第一主机和所述第二主机是不同的主机。
在一个实施例中,所述事件是可跟踪的事件,并且所述基本同时地分析包括通过所述单个网络接口来基本同时地跟踪所述一个或多个可跟踪事件的集合以及所述一个或多个可跟踪事件的另外的集合。
在另一个实施例中,所述事件是用于通过所述单个网络接口所传播的流量的网络流量监控事件,并且所述基本同时地分析包括通过所述单个网络接口来基本同时地监控所述一个或多个网络流量监控事件的集合以及所述一个或多个网络流量监控事件的另外的集合。
在又一个实施例中,帮助对通信环境的事件进行监控的方法被提供。所述方法例如包括为耦合到同一个网络接口上的多个主机中的所选主机定义将被监控的网络事件的集合;以及为所选主机监控所述网络事件的集合,所述监控包括检查通过所述同一个网络接口所接收的数据。
对应于上述方法的系统和计算机程序产品在这里也被描述并且被要求权利。
通过本发明的技术,另外的特征和优点被实现。本发明的其它实施例和方面在这里被详细地描述,并且被认为是被要求权利的本发明的一部分。
在本说明书的结尾,本发明的主题被特别地指出并且明确地在所述权利要求中被要求权利。参考附图,根据下面的详细描述,本发明的前述以及其它的目标、特征和优点将变得显而易见,其中图1描述了结合和使用本发明的一个或多个方面的通信环境的一个实施例;图2根据本发明的一个方面而描述了图1的通信环境的适配器的其它细节;图3a-3b描述了图2的通信适配器中所存储的并且根据本发明的一个方面所使用的控制表的例子;图4根据本发明的一个方面而描述了与跟踪事件和捕获数据有关的逻辑的一个实施例;图5根据本发明的一个方面而描述了具有多个跟踪缓冲区段的通信环境的主存储器的一个实施例;图6根据本发明的一个方面而描述了与对通过单个网络接口所接收的网络流量进行监控有关的逻辑的一个实施例。
具体实施例方式
在本发明的一个或多个方面中,提供了通过单个网络接口帮助对事件进行分析的能力。例如,提供了通过同一个(例如单个的)网络接口来帮助为一个或多个主机(例如操作系统、协议栈等)对多个事件的集合进行基本同时地跟踪的能力。如本发明的另一方面,提供了帮助对去往特定主机的并且通过由一个或多个主机所使用的网络接口所接收的网络流量进行监控的能力。所述能力被包括在所述网络接口的通信适配器内的或耦合到其的分离设备里的跟踪/监控或探测器(sniffer)代码执行中。
参考图1描述了结合和使用本发明的一个或多个方面的通信环境的一个实施例。通信环境100包括至少一个系统102,例如物理机器或中央处理器的联合体,其被逻辑地分区为多个分区104。所述系统例如是基于由国际商业机器公司,Armonk,New York所提供的企业系统架构(ESA)/390的,其例子在IBM的出版物中被描述,所述出版物的标题为“Enterprice Systems Architecture/390 Principles Of Operation”,IBM出版号No.SA22-7201-07,2001年7月,其在此全部引入作为参考。
系统102的每个逻辑分区104能够独立进行操作,就好像其是分离的计算机系统一样。有各种机制用于提供逻辑分区,例如,在下列专利中描述了其例子Guyette等的美国专利4,564,903,标题为“PartitionedMultiprocessor Programming System”,1986年1月14日出版;Bean等的美国专利4,843,541,标题为“Logical Resource Partitioning Of A DataProcessing System”,1989年6月27日出版;以及Kubala的美国专利5,564,040,标题为“Method And Apparatus For Providing A ServerFunction In A Logically Partitioned Hardware Machine”,1996年10月8日出版,所述专利中的每个都在此全部引入作为参考。
每个逻辑分区104能够执行一个操作系统106,所述操作系统对于每个分区可能是不同的。可以在逻辑分区中执行的操作系统的例子是所述OS/390操作系统,其由国际商业机器公司,Armonk,New York所提供,其它操作系统也可以被采用。
逻辑分区104通过主机网络接口110被耦合到至少一个网络108上。网络108可能是多种网络中的一种,所述网络例如包括局域网(LAN)、广域网(WAN)等。另外,所述网络可能具有不同的媒介类型。例如,LAN可能是光纤分布式数据接口(FDDI)、令牌环、以太网等。网络108被耦合到一个或多个计算单元,例如大型机112或个人计算机114,其通过网络108向逻辑分区104发送数据和/或从逻辑分区104接收数据。
网络108采用主机网络接口110将所述计算单元耦合到所述逻辑分区上。主机网络接口110减小了在所述多个分区上的网络开销,并且例如包括主机信道连接120和通信适配器122。作为一个例子,主机信道连接120是用于将所述逻辑分区耦合到通信适配器122的IBM企业系统连接(ESCON)信道连接器,并且通信适配器122例如是用于将所述逻辑分区耦合到所述网络上的IBM开放系统适配器(OSA)。通信适配器122包括到每个逻辑分区中的每个传输控制协议/Internet协议(TCP/IP)栈的连接。
关于主机网络接口的其它细节在下列专利中被描述美国专利5,740,438,Ratcliff等,标题为“Method and System for Network Communicationsof Multiple Partitions”,1998年4月14日出版;美国专利6,330,615,Gioquindo等,标题为“Method of Using Address Resolution Protocol ForConstructing Data Frame Formats For Multiple Partitions Host NetworkInterface Communications”,2001年12月11日出版,所述专利中的每个都在此全部引入作为参考。另外,下面描述涉及通信适配器的其它细节。
在一个例子中,通信适配器122包括网络接口卡(NIC)200(图2),所述网络接口卡是用于将所述主机网络接口耦合到网络上的工业标准卡;虚拟层(virtualization layer)202,所述虚拟层用于将所述主机耦合到所述网络接口卡。虚拟层使得每个主机能够相信其具有自己的NIC,即使所述NIC是共享的。如下所述,虚拟层还用于为本发明的一个和多个方面提供支持。
根据本发明的一个或多个方面,虚拟层202包括一个或多个用于帮助对事件进行分析(例如,跟踪和/或监控)的控制表和逻辑。例如,虚拟层202包括至少一个用于标识将被跟踪或监控的特定事件的控制表204。在一个实施例中,有一个用于跟踪和监控的控制表。然而,在这里所描述的实施例中,有至少一个用于跟踪的控制表和至少一个用于监控的控制表。
例如,图3a描述了用于跟踪的控制表300。控制表300例如包括一个或多个主机302的列表,其中,为所述主机定义了配置文件304。所述配置文件为其主机指定了一个或多个事件的集合,所述事件将为所述主机而被跟踪。所述事件由所述主机所定义,然后被传递给虚拟层。每个主机具有其自己的配置文件,所述配置文件可以是与其它主机的配置文件相同的或者不同的。另外,对于每个主机,可以定义一个或多个配置文件。即,主机X可以具有为指定一个可跟踪事件集合所定义的一配置文件,和为指定另一个可跟踪事件集合所定义的另一配置文件。通过为一个或多个主机指定配置文件,可以基本同时地执行各种跟踪(即,一个跟踪可以与另一个跟踪的运行时间部分或全部重叠)。
还参考图3a,跟踪缓冲区地址(@)306也与每个所标识的主机相关联。所述跟踪缓冲区地址指定了所捕获的跟踪数据将被存储的通信适配器的存储器中的地址。作为一个例子,每个跟踪被分配最大1MB的容量。在所述例子中,所述跟踪缓冲区的总量为8MB,因此,允许最多八个跟踪同时运行。所述八个跟踪可以是针对一个主机的或者是针对多个主机的。八个跟踪的指定、每个跟踪1MB以及8MB的总缓冲区大小仅仅是例子。在另一个实施例中,每个跟踪和/或所述跟踪缓冲区可以具有不同大小。另外,可以执行多于或少于八个同时进行的跟踪。
除了用于跟踪的控制表之外,在本发明的另一个方面,控制表320(图3b)被用于为一个或多个主机指定将被监控的事件。控制表320例如包括将为其进行监控的一个或多个主机322;为所述主机指定将被监控的事件的一个或多个配置文件324;以及一个或多个监控缓冲区地址326,其中每个监控缓冲区地址指示所监控的数据将被存储的适配器存储器中的地址。
作为一个例子,将被监控的事件涉及从网络到单个主机或多个主机的流量。因此,配置文件324指示了涉及将被监控的网络流量的事件的集合。这可能例如包括去往主机的包的数量;所使用的存储器的数量;与特定IP地址相匹配的包的数量等。
所述监控缓冲区不需要具有与跟踪缓冲区相同的大小要求或限制,因为,所述监控缓冲区仅仅维护计数器。然而,在其它的实施例中,可能存储其它信息,因此,需要有某些的要求和/或限制。
由帮助跟踪和/或监控的逻辑来使用所述控制表。如图2中所示,虚拟层202还包括跟踪逻辑206,用于获取将为特定主机所跟踪的指定事件,以跟踪所述事件并且捕获涉及所述事件的数据;以及监控逻辑208,用于获取将为主机所监控的指定事件,以监控所述事件并捕获涉及所述事件的数据。
参考图4描述了所述跟踪逻辑的一个实施例。在所述实施例中,所述逻辑包括为特定的主机来配置、跟踪和捕获数据。对于希望参与跟踪的每个主机将会有相似的步骤。
参考图4,首先,在步骤400,从主机接收配置文件,所述主机例如是逻辑分区中执行的操作系统。例如通过使用图形化用户接口来显示面板以选择将被跟踪的事件或者键入将被跟踪的期望事件,所述主机构建所述文件。由所述主机来定义所述构建配置文件。在步骤402上,主机将所述文件转发给虚拟层的存储器,所述虚拟层然后从其存储器中取出所述配置文件,并且将所述文件存储在合适位置上(即,用于所指定的主机的位置)的控制表中。
在步骤404上,还为所述特定主机在所述通信适配器中分配跟踪缓冲区(或跟踪缓冲区段)。例如,以由主机所提供的并且控制表中所指定的地址,在所述虚拟层的存储器中分配跟踪缓冲区段。
接着,在步骤406,从网络中接收包,并且,在询问408上,就跟踪对于一定会接收所述包的主机而言是否是激活的来进行判决。例如通过检查所指定的控制块中的指示器来进行所述判决。如果所述跟踪没有激活,则所述包被转发给所述主机,并且,跟踪逻辑的处理继续到步骤406“接收来自于网络的包”。然而,如果跟踪是激活的,则在询问410上,就所述包中的数据是否与在配置文件中为所述主机所指定的一个或多个事件相匹配来进行另外的判决。
为了确定是否有配置匹配,所述跟踪逻辑查看所述配置文件中所指定的信息,从所述信息中产生一个或多个过滤器(或规则),并且使用所述过滤器来确定是否会记录事件。特别地,所述跟踪过滤器被用于指定所跟踪的内容。对所述跟踪过滤器是有层次的,并且所述跟踪逻辑按顺序来分析每个过滤器。如果有任何高级别的过滤器没有被通过,则不再执行任何跟踪并且不进去其它的任何检测。
有许多种跟踪过滤器,其例子在Network Associates的“Sniffer ProGetting Started Guide”,ISBN #NAI-415-0011-3,2002年3月中被描述,从而其在此全部引入作为参考。下面针对特定情景来描述以从高级别到低级别的顺序的过滤器的一些例子。许多其它的过滤器和/或情景也可以被采用而不脱离本发明的精神。
1、第一过滤器是基于唯一的OSA设备的,所述OSA设备从用户输入组合CSS.MIF.CU.DEVADDR被映射到QDIO DATAPATH-ENTRY。如果对于所述设备开启了跟踪,或如果在跟踪所有的模式下,则进行到下一过滤器,否则什么都不做,即通常的OSA情况。
2、所述虚拟层代码对进入的流量、出去的流量或LPAR到LPAR的流量进行检测。所述跟踪过滤器将在所述功能的每个的结尾被检查。如果可以,则到下一个过滤器。
3、所述虚拟层代码确定所述包是单播、广播还是多播的。在所述虚拟层代码的结尾将检测所述跟踪过滤器。(MAC头是用于跟踪的一个选项。用于以太网媒介的MAC头包括源地址、目的地址、协议类型。其它跟踪选项包括但不局限于VLAN头、具有源地址和目标地址的协议头;具有源端口和目的地址的传输头;以及具有数据偏移/数据模式的原始模式(rawmode))。
4、检测这是VLAN流量还是非VLAN流量。
-如果这不是VLAN流量,并且VLAN过滤器是关闭的,则继续;-如果这不是VLAN流量,并且VLAN过滤器是开启的,则不跟踪;-如果这是VLAN流量,并且VLAN过滤器是关闭的,则不跟踪;-如果这是VLAN流量,并且VLAN过滤器是开启的,则继续;为了开启VLAN过滤器,用户为多达八个VLAN标签指定了值。如果用户想要不管输入包的VLAN标签而捕获所有VLAN流量,则用户就为VLAN标签指定“跟踪所有”的值。
5、IP层过滤器在ARP和IP数据报之间进行区分。
-基于IP版本的过滤器,所述IP版本即IPV4与IPV6。所述过滤器将确定哪种类型的主机/客户IP会被使用。
-基于客户IP的过滤器。用户可以指定多达八个客户IP。对于进入的流量和LPAR到LPAR的流量,将所述IP地址与源IP地址进行比较。对于出去的流量,将所述IP地址与目的IP地址进行比较。
-基于主机IP的过滤器。用户可以指定多达八个主机IP。对于进入的流量和LPAR到LPAR的流量,将所述IP地址与目的IP地址进行比较。对于出去的流量,将所述IP地址与源IP地址进行比较。
6、高级别协议过滤器还基于端口进行粒化。所述逻辑支持TCP、UDP和ICMP(即使ICMP是网络层-IP的一部分,但是,在这里,由于其是在常规IP帧之后出来的,因此,其与TCP和UDP一起被分类)。在ICMP中,容器(case)端口过滤器被忽略。
-基于客户端口的过滤器。用户可以指定多达八个客户端口。对于进入的流量和LPAR到LPAR的流量,将所述端口与源端口进行比较。对于出去的流量,将所述端口与目的端口进行比较。
-基于主机端口的过滤器。作为例子,用户可以指定多达八个主机端口。对于进入的流量和LPAR到LPAR的流量,将所述端口与目的端口进行比较。对于出去的流量,将所述端口与源端口进行比较。
如果输入的包不能通过所述配置文件的过滤器中的一个或多个,则所述包被传递给所述主机,并且所述跟踪逻辑继续到步骤406“接收来自于网络的包”。然而,如果通过所有的过滤器,则在步骤412初始化所述跟踪。例如,使用上述过滤器作为例子,如果所述包通过所有过滤器,则如果跟踪MAC过滤器是开启的,那么所述跟踪逻辑跟踪MAC头(如果跟踪VLAN是开启的,则跟踪具有VLAN的M AC);如果跟踪IP过滤器是开启的,则跟踪IP报头…同样的处理用于ARP以及高级别协议报头。
被跟踪的实际数据的数量取决于所述跟踪条目的大小。用户指定每个单个跟踪条目的大小。当跟踪时,所述跟踪逻辑保证所述跟踪条目不会超过所述限制,即其可以小于而不能大于所述限制。例如,如果用户希望每个条目有X个字节的数据,但是,此时有超过X个字节数据,则所述跟踪将包括前X个字节。每个跟踪条目包括跟踪类型标识(4字节)、时间标签(4字节)和跟踪数据。用户所指定的跟踪大小包括前两个条目,以及所述数据,因此,跟踪条目最小是8个字节。所述跟踪数据被写入到跟踪缓冲区中,所述跟踪缓冲区位于在所述控制表中为所述主机所指定的地址上。
所述跟踪缓冲区是本地缓冲区,并且,在所述例子中,1MB的缓冲区段被分配给所述主机。尽管分配了1MB的段,但是,所述段被认为具有两个部分,以便使得跟踪不受全满情况的影响。当一部分是满的时,切换到另一部分。因此,在询问414上,就所述本地跟踪缓冲区是否已满(即,所述部分是否已被写满)来进行判决。如果所述本地跟踪缓冲区是不满的,则处理继续到步骤406“接收来自于网络的包”。然而,如果所述本地跟踪缓是满的,则在步骤416切换到另一个适配器缓冲区(或适配器缓冲区的所指定的段的另一部分)。随后,在步骤418,将所述满的适配器缓冲区写入到在主机中的存储器位置里,并且处理进行到步骤406“接收来自于网络的包”。
主存储器中,例如有八个跟踪缓冲区段500(图5)用于八个可能的跟踪。如果全部八个跟踪都是用于一个主机的,则全部八个缓冲区段都用于所述主机。否则,如果所述跟踪中的一个或多个是用于一个或多个其它主机的,则所述段中的一个或多个用于所述一个或多个其它主机。在其它实施例中,所述段可能被当作是其它缓冲区,而不是一个缓冲区的段。
通过上述跟踪逻辑,可以为一个主机定义一个或多个可跟踪事件的集合。因此,所述逻辑可以接受来自于主机的多个配置文件,并且可以将所接收的包与所述多个配置文件进行比较。如果发现匹配,则将所跟踪的数据写入到为具有所述匹配的配置文件所指定的缓冲区段中。
根据本发明的其它方面,可以由监控逻辑208(图2)来监控一个或多个事件。将被监控的事件可能是用于一个主机的或者是用于多个主机的。不管主机的数量,每个将被监控的事件的集合是为一个主机而明确定义的。所捕获的数据被存储在与所述被监控的特定事件相关联的缓冲区段中。
根据本发明的一个方面,参考图6描述了与监控事件相关联的逻辑的一个实施例。在所述例子中,被监控的事件涉及通过单个主机网络接口所传播的网络流量。
参考图6,首先,在步骤600,将配置文件从主机转发到所述通信适配器的虚拟层。所述配置文件为所述主机指定了一个或多个将被监控的事件。在步骤602,所述虚拟层以所述主机所指定的位置将所述配置文件存储在所述控制表中。
在步骤604上,在所述通信适配器中为所述特定的主机分配监控缓冲区(例如,缓冲区段)。例如,以所述主机所提供的并且在控制表中所指定的地址,在所述虚拟层的存储器中分配所述监控缓冲区。
接着,在步骤606,从网络中接收包,并且,在询问608上,就监控对于一定会接收所述包的主机而言是否是激活的来进行判决。例如,通过检查所指定的控制块中的指示器来进行所述判决。如果监控没有激活,则所述包被转发给所述主机,并且所述监控逻辑的处理继续到步骤606“接收来自于网络的包”。然而,如果监控是激活的,则在询问610上,就所述包中的数据与配置文件中为所述主机所指定的所述一个或多个事件是否相匹配来进行另外的判决。
为了进行所述判决,所述监控逻辑检查所述配置文件中所指定的信息,从所述信息中产生一个或多个过滤器(或规则),并且使用所述过滤器来确定是否是会监控事件。特别地,所述过滤器被用于指定所监控的内容。对于所述过滤器是有层次的,并且所述监控逻辑按顺序来分析每个过滤器。如果有任何高级别的过滤器没有被通过,则不再执行任何监控并且不进行其它的任何检测,即执行流程继续到步骤606“接收来自于网络的包”。否则,在步骤612初始化监控。
作为一个例子,在监控期间,一旦遇到特定的事件,与将被监控的事件相关联的计数器就会被增加。然后,在步骤616,所述计数(或者,在另一个实施例中的其它信息)被写入到所指定的监控缓冲区中。然后,处理继续到步骤606“接收来自于网络的包”。
与所述跟踪逻辑相类似,通过所述监控逻辑,可以为一个主机定义一个或多个监控事件的集合。因此,所述逻辑可以接受来自于主机的多个配置文件,并且可以将所接收的包与所述多个配置文件进行比较。如果发现匹配,则将所监控的统计写入到为具有所述匹配的配置文件所指定的缓冲区段中。
上面详细地描述了为通过同一网络接口所连接的各个主机帮助对特定的事件进行跟踪和/或监控的能力。配置文件中所提供的定义是动态的,因为,它们是由主机所定义的,并且即使在跟踪/监控过程中,也可以由主机所改变。
这里所描述的逻辑提供了许多优于现有分析仪的长处。例如,用于主机或网络协议的现有技术的分析仪(又称作局域网(LAN)探测器)典型地是专用计算机,为每种可以被探测/分析的LAN类型通过一种网络接口卡来配置所述计算机。它们的特征在于1、所述探测器单元需要其自己专用的物理连接,所述物理连接是从所述探测器的网络接口卡(NIC)到定义所述LAN段的网络交换机的。根据探测器的类型和相应的网络接口卡-对基于铜轴的网络(即cat-5配线)进行探测需要单个专用的物理连接;-对例如ATM和GbE的基于其它的网络进行探测需要单个专用的物理连接或在线光分路器。
2、更高级的网络交换机提供端口或VLAN镜像支持,用于使用LAN探测器。然而,由于交换机在一个时刻不支持多于一个的被镜像的端口,因此,在任何交换中,一个时刻仅有一个端口或LAN段可以被分析。
3、网络管理员(人)需要通过激活将被镜像到所述探测器上的特定端口,并且通过指定哪个端口或VLAN将被镜像/拷贝到探测器所附的端口上,从而人工地配置在网络交换机上进行镜像的端口。
4、对在网络交换机上进行镜像的端口的激活在所述交换机上产生处理开销,因此,在所述端口镜像配置中所未包括或涉及的其它端口可能以增加的等待时间或时延的形式而受到影响。
5、当前的LAN分析仪仅根据一个特定的事件集合来捕获数据。如果需要多个不同的捕获,则需要多次运行或者多个LAN分析仪。由于例如所述OSA适配器的通信适配器可以在多个主机间共享,因此,同时跟踪到多个不同主机的LAN流量的需求变得越来越普遍。
6、对于每个独特LAN媒介类型(即,令牌环、FDDI、快速以太网等)都需要一个LAN分析仪。
7、没有对正被路由发送到各个主机的每个上的LAN流量的比例进行监控的方式,所述主机同时连接到单个LAN接口上。
有利地,本发明的一个或多个方面克服了上述缺点。例如,本发明的一个或多个方面-通过使用从所述通信网络(例如OSA)到网络交换机的现有连接,去除了所述专用物理连接;-消除了在基于光纤的网络上对光分路器的需求;-不管交换机的OEM,而消除了每个交换机单个端口进行镜像的限制。有利地,不管OEM网络交换机,而提供了多个同时的LAN探测动作;-消除了与端口镜像配置以及网络交换机上的激活相关联的人工干涉;-去除了由端口镜像激活所引起的交换机上的开销或等待时间;-去除了与维护分离的网络(例如LAN)探测器计算机相关联的成本和相应开销,例如,具有探测器能力的计算机的初始购买成本;与实际探测器计算机和/或探测器软件相关联的维护或服务合同成本;与每个所需的分离的网络接口卡类型的成本有关的硬件升级;以及必须在所述探测器计算机上安装探测器软件的新版本的软件更新开销;-在不影响其它主机的情况下,可以为每个主机建立唯一的捕获。在所述特定跟踪中的所述信息仅与所述特定的主机相关。为特定的主机跟踪数据所需的捕获过滤器的使用大大被简化,并且通过所述单个网络(例如LAN)接口可以有多个捕获同时运行。
-给予用户对所述网络(例如LAN)应用中的任何一个、多个或全部进行监控的能力,所述网络应用由被连接到所述单个网络接口上的各个主机所使用;-所述网络(例如LAN)分析仪现在是与媒介无关的,并且不需要改变/需要最小的改变来在网络媒介类型之间进行切换;以及
-所述数据可以以标准格式而被存储,这使得当前的LAN分析仪供应商能够写入这样的应用,所述应用会格式化所述数据以与其现有的格式兼容。
有利地,本发明的一个或多个方面允许为每个主机在所请求的数据之间进行区分。另外,每个主机都具有对单个跟踪的设置进行动态控制的能力。可以同时对来自于多个主机的事件进行分析/监控。特别地,所述能力被提供以便通过同一个LAN接口同时跟踪/监控多个主机。提供了动态配置和通过单个LAN接口为每个主机跟踪/监控不同事件的能力。
为一个或多个主机进行跟踪和/或监控可以同时发生(例如,一个可以和另一个部分或完全地重叠)。
尽管这里提供了例子,但是,它们仅仅是例子。对所述例子可以有许多变化,而不脱离本发明的精神。例如,所述通信环境可以包括更多或更少的逻辑分区,或者可以具有不同于LPAR的区域。另外,所述环境可以基于不同于ESA的结构的。可以使用其它网络和/或其它媒介类型。另外,可以有其它计算单元被耦合到所述网络上。许多其它变化也是可能的。
本发明的一个或多个方面的能力可以在软件、固件、硬件或其某种结合中被实现。
本发明的一个或多个方面可以被包括在制造产品(例如,一个或多个计算机程序产品)中,所述制造产品例如具有计算机可用媒介。其中,所述媒介例如具有计算机可读程序代码装置或逻辑(例如,指令、代码、命令等),以提供和帮助本发明的能力。所述制造产品可以作为计算机系统的一部分而被包括或者单独地被销售。
另外,可以提供至少一个机器可读的程序存储设备,其包含至少一个机器可执行的指令的程序,以执行本发明的能力。
这里所描述的流程图仅仅是例子。对于其中所描述的图或步骤(或操作)可以有许多变化,而不脱离本发明的精神。例如,可以以不同的顺序来执行所述步骤,或者可以增加、删除或修改步骤。所述变化的全部都被认为是所要求权利的本发明的一部分。
尽管这里已经详细地说明和描述了优选实施例,但是,对于相关领域的技术人员来说显而易见的是在不脱离本发明的精神的情况下可以进行各种修改、增加、替换等,因此,这些都被认为是在下面权利要求所定义的本发明的范围之内的。
权利要求
1.一种帮助对通信环境的事件进行分析的方法,所述方法包括为所述通信环境的第一主机提供一个或多个事件的集合;以及为所述通信环境的第二主机提供一个或多个事件的另外的集合,以使得能够通过单个网络接口来基本同时地分析所述一个或多个事件的集合以及所述一个或多个事件的另外的集合。
2.根据权利要求1的方法,其中,所述事件是可跟踪的事件,并且所述基本同时地分析包括通过所述单个网络接口,基本同时地跟踪所述一个或多个可跟踪事件的集合以及所述一个或多个可跟踪事件的另外的集合。
3.根据权利要求2的方法,还包括通过所述单个网络接口,基本同时地为所述第一主机跟踪所述一个或多个可跟踪事件的集合和为所述第二主机跟踪所述一个或多个可跟踪事件的另外的集合。
4.根据权利要求3的方法,还包括捕获由对所述一个或多个可跟踪事件的集合以及所述一个或多个可跟踪事件的另外的集合进行跟踪所产生的数据,其中,用于所述一个或多个可跟踪事件的集合的所捕获的数据与用于所述一个或多个可跟踪事件的另外的集合的所捕获的数据是不相同的。
5.根据权利要求3的方法,还包括在所述跟踪期间,改变所述一个或多个可跟踪事件的集合和所述一个或多个可跟踪事件的另外的集合中的至少一个。
6.根据权利要求1的方法,其中,所述事件是用于通过所述单个网络接口所传播的流量的网络流量监控事件,并且所述基本同时地分析包括通过所述单个网络接口,基本同时地监控所述一个或多个网络流量监控事件的集合和所述一个或多个网络流量监控事件的另外的集合。
7.根据权利要求6的方法,还包括为所述第一主机监控所述一个或多个网络流量监控事件的集合,并且基本同时地为所述第二主机监控所述一个或多个网络流量监控事件的另外的集合。
8.根据权利要求1的方法,其中,所述第一主机和所述第二主机是同一个主机。
9.根据权利要求1的方法,其中,所述第一主机和所述第二主机是不同的主机。
10.根据权利要求1的方法,其中,对于所述第一主机的所述一个或多个事件的集合和对于所述第二主机的所述一个或多个事件的另外的集合是不同的。
11.根据权利要求1的方法,其中,为所述第一主机明确地定义所述一个或多个事件的集合,并且为所述第二主机明确地定义所述一个或多个事件的另外的集合。
12.根据权利要求11的方法,还包括由所述第一主机为所述第一主机动态地定义所述一个或多个事件的集合。
13.根据权利要求1的方法,其中,所述第一主机包括所述通信环境的逻辑分区的操作系统,并且所述第二主机包括所述通信环境的另外的逻辑分区的另外的操作系统,其中,将所述逻辑分区和所述另外的逻辑分区耦合到所述单个网络接口上。
14.根据权利要求1的方法,其中,所述第一主机包括所述通信环境的操作系统,并且所述第二主机包括所述通信环境的另外的操作系统。
15.根据权利要求1的方法,还包括动态地改变所述一个或多个事件的集合和所述一个或多个事件的另外的集合中的至少一个。
16.一种帮助对通信环境的事件进行监控的方法,所述方法包括为耦合到同一个网络接口上的多个主机中的所选主机定义将被监控的网络事件的集合;以及为所选主机监控所述网络事件的集合,所述监控包括检查通过所述同一个网络接口所接收的数据。
17.一种帮助对通信环境的事件进行分析的系统,所述系统包括为所述通信环境的第一主机所提供的一个或多个事件的集合;以及为所述通信环境的第二主机所提供的一个或多个事件的另外的集合,以使得能够通过单个网络接口来基本同时地分析所述一个或多个事件的集合以及所述一个或多个事件的另外的集合。
18.根据权利要求17的系统,其中,所述事件是可跟踪的事件,并且所述基本同时地分析包括通过所述单个网络接口,基本同时地跟踪所述一个或多个可跟踪事件的集合以及所述一个或多个可跟踪事件的另外的集合。
19.根据权利要求18的系统,还包括这样的装置,所述装置用于通过所述单个网络接口,基本同时地为所述第一主机跟踪所述一个或多个可跟踪事件的集合和为所述第二主机跟踪所述一个或多个可跟踪事件的另外的集合。
20.根据权利要求17的系统,其中,所述事件是用于通过所述单个网络接口所传播的流量的网络流量监控事件,并且所述基本同时地分析包括通过所述单个网络接口,基本同时地监控所述一个或多个网络流量监控事件的集合和所述一个或多个网络流量监控事件的另外的集合。
21.根据权利要求20的系统,还包括这样的装置,所述装置用于为所述第一主机监控所述一个或多个网络流量监控事件的集合,并且基本同时地为所述第二主机监控所述一个或多个网络流量监控事件的另外的集合。
22.根据权利要求17的系统,其中,所述第一主机和所述第二主机是同一个主机。
23.根据权利要求17的系统,其中,所述第一主机和所述第二主机是不同的主机。
24.根据权利要求17的系统,还包括这样的装置,所述装置用于动态地改变所述一个或多个事件的集合和所述一个或多个事件的另外的集合中的至少一个。
25.一种制造产品,包括至少一个计算机可用媒介,其具有计算机可读程序代码逻辑,以帮助对通信环境的事件进行分析,所述计算机可读程序代码逻辑包括提供逻辑以便为所述通信环境的第一主机提供一个或多个事件的集合;以及提供逻辑以便为所述通信环境的第二主机提供一个或多个事件的另外的集合,从而使得能够通过单个网络接口来基本同时地分析所述一个或多个事件的集合以及所述一个或多个事件的另外的集合。
26.根据权利要求25的制造产品,其中所述事件是可跟踪的事件,并且所述基本同时地分析包括基本同时跟踪逻辑,以通过所述单个网络接口来跟踪所述一个或多个可跟踪事件的集合以及所述一个或多个可跟踪事件的另外的集合。
27.根据权利要求25的制造产品,其中,所述事件是用于通过所述单个网络接口所传播的流量的网络流量监控事件,并且所述基本同时地分析包括基本同时监控逻辑,以通过所述单个网络接口来监控所述一个或多个网络流量监控事件的集合和所述一个或多个网络流量监控事件的另外的集合。
28.根据权利要求25的制造产品,其中所述第一主机和所述第二主机是同一个主机。
29.根据权利要求25的制造产品,其中所述第一主机和所述第二主机是不同的主机。
30.根据权利要求25的制造产品,还包括改变逻辑,以便动态地改变所述一个或多个事件的集合和所述一个或多个事件的另外的集合中的至少一个。
全文摘要
通过单个网络接口基本同时地跟踪/监控多个事件的集合。可以为一个主机或者为通过所述网络接口而被耦合的多个主机来跟踪和/或监控所述多个事件。为主机所跟踪/监控的所述事件的集合由所述主机所定义,并且在一个或多个配置文件中被维护。所述配置文件可以被动态地更新。
文档编号G06F15/173GK1703010SQ20051006626
公开日2005年11月30日 申请日期2005年4月25日 优先权日2004年5月27日
发明者G·B·马科斯, B·拉贾拉曼, B·H·拉特克利夫, A·R·塞杰, A·J·斯塔格, S·R·瓦利 申请人:国际商业机器公司