專利名稱:通過單個網(wǎng)絡接口幫助多個事件集合的跟蹤和監(jiān)控的制作方法
技術領域:
本發(fā)明一般涉及網(wǎng)絡事件的跟蹤和監(jiān)控�,并且特別涉及使用單個網(wǎng)絡接口為一個或多個的主機(host)幫助對多個網(wǎng)絡事件集合進行基本同時地跟蹤和/或監(jiān)控。
背景技術:
提供通信環(huán)境以使得多個主機�,例如多個操作系統(tǒng),能夠通過單個網(wǎng)絡接口而被連接到一個或多個網(wǎng)絡��。例如�,由國際商業(yè)機器公司所提供的企業(yè)系統(tǒng)結(jié)構(gòu)(ESA)/390系統(tǒng)包括到網(wǎng)絡接口的主機���,其幫助通過單個網(wǎng)絡接口來將位于一個或多個分區(qū)(partition)上的多個操作系統(tǒng)連接到一個或多個網(wǎng)絡上。雖然���,多個主機對單個網(wǎng)絡接口的共享已經(jīng)提供了許多優(yōu)勢��,但是�,在例如通過單個網(wǎng)絡接口對網(wǎng)絡數(shù)據(jù)進行跟蹤和監(jiān)控的過程中���,它還是產(chǎn)生了困難�����。例如��,為一個主機跟蹤特定的事件集合并且同時為另一個主機跟蹤不同的事件集合是不可能的�。另外�����,甚至同時為一個主機跟蹤不同的事件集合也是不可能的���。
另外����,沒有提供為特定主機的數(shù)據(jù)監(jiān)控���。即��,沒有為一個主機相對于另一個主機對通過接口所接收的數(shù)據(jù)進行描述����。另外���,不能夠同時為一個主機對不同事件集合進行監(jiān)控���。因此,需要有幫助對通過單個接口所接收的網(wǎng)絡數(shù)據(jù)進行分析的能力���。例如����,需要有這樣的能力�,其允許為一個主機跟蹤一個特定的事件集合,并且基本同時地為另一個主機跟蹤不同的事件集合��。作為另一個例子,需要有這樣的能力����,其允許基本同時地為一個主機跟蹤多個事件集合。作為再一個例子�����,需要有這樣的能力�,其使得能夠為特定的主機監(jiān)控數(shù)據(jù)。還需要有這樣的能力�,其使得能夠基本同時地為主機監(jiān)控多個事件集合。
發(fā)明內(nèi)容
通過提供幫助對通信環(huán)境的事件進行分析的方法����,克服了現(xiàn)有技術的缺點,并且提供了另外的優(yōu)點���。所述方法例如包括為所述通信環(huán)境的第一主機提供一個或多個事件的集合�����;以及為所述通信環(huán)境的第二主機提供一個或多個事件的另外的集合�����,以使得能夠通過單個網(wǎng)絡接口基本同時地分析所述一個或多個事件的集合以及所述一個或多個事件的另外的集合���。
作為一個例子����,所述第一主機和所述第二主機是同一個主機�。作為另一個例子���,所述第一主機和所述第二主機是不同的主機���。
在一個實施例中,所述事件是可跟蹤的事件���,并且所述基本同時地分析包括通過所述單個網(wǎng)絡接口來基本同時地跟蹤所述一個或多個可跟蹤事件的集合以及所述一個或多個可跟蹤事件的另外的集合�����。
在另一個實施例中��,所述事件是用于通過所述單個網(wǎng)絡接口所傳播的流量的網(wǎng)絡流量監(jiān)控事件�����,并且所述基本同時地分析包括通過所述單個網(wǎng)絡接口來基本同時地監(jiān)控所述一個或多個網(wǎng)絡流量監(jiān)控事件的集合以及所述一個或多個網(wǎng)絡流量監(jiān)控事件的另外的集合��。
在又一個實施例中�����,幫助對通信環(huán)境的事件進行監(jiān)控的方法被提供����。所述方法例如包括為耦合到同一個網(wǎng)絡接口上的多個主機中的所選主機定義將被監(jiān)控的網(wǎng)絡事件的集合;以及為所選主機監(jiān)控所述網(wǎng)絡事件的集合�,所述監(jiān)控包括檢查通過所述同一個網(wǎng)絡接口所接收的數(shù)據(jù)。
對應于上述方法的系統(tǒng)和計算機程序產(chǎn)品在這里也被描述并且被要求權(quán)利�。
通過本發(fā)明的技術,另外的特征和優(yōu)點被實現(xiàn)���。本發(fā)明的其它實施例和方面在這里被詳細地描述�����,并且被認為是被要求權(quán)利的本發(fā)明的一部分��。
在本說明書的結(jié)尾�����,本發(fā)明的主題被特別地指出并且明確地在所述權(quán)利要求中被要求權(quán)利����。參考附圖,根據(jù)下面的詳細描述�����,本發(fā)明的前述以及其它的目標���、特征和優(yōu)點將變得顯而易見,其中圖1描述了結(jié)合和使用本發(fā)明的一個或多個方面的通信環(huán)境的一個實施例���;圖2根據(jù)本發(fā)明的一個方面而描述了圖1的通信環(huán)境的適配器的其它細節(jié)���;圖3a-3b描述了圖2的通信適配器中所存儲的并且根據(jù)本發(fā)明的一個方面所使用的控制表的例子;圖4根據(jù)本發(fā)明的一個方面而描述了與跟蹤事件和捕獲數(shù)據(jù)有關的邏輯的一個實施例����;圖5根據(jù)本發(fā)明的一個方面而描述了具有多個跟蹤緩沖區(qū)段的通信環(huán)境的主存儲器的一個實施例;圖6根據(jù)本發(fā)明的一個方面而描述了與對通過單個網(wǎng)絡接口所接收的網(wǎng)絡流量進行監(jiān)控有關的邏輯的一個實施例�����。
具體實施例方式
在本發(fā)明的一個或多個方面中,提供了通過單個網(wǎng)絡接口幫助對事件進行分析的能力�����。例如��,提供了通過同一個(例如單個的)網(wǎng)絡接口來幫助為一個或多個主機(例如操作系統(tǒng)�、協(xié)議棧等)對多個事件的集合進行基本同時地跟蹤的能力。如本發(fā)明的另一方面�����,提供了幫助對去往特定主機的并且通過由一個或多個主機所使用的網(wǎng)絡接口所接收的網(wǎng)絡流量進行監(jiān)控的能力��。所述能力被包括在所述網(wǎng)絡接口的通信適配器內(nèi)的或耦合到其的分離設備里的跟蹤/監(jiān)控或探測器(sniffer)代碼執(zhí)行中���。
參考圖1描述了結(jié)合和使用本發(fā)明的一個或多個方面的通信環(huán)境的一個實施例�����。通信環(huán)境100包括至少一個系統(tǒng)102����,例如物理機器或中央處理器的聯(lián)合體,其被邏輯地分區(qū)為多個分區(qū)104���。所述系統(tǒng)例如是基于由國際商業(yè)機器公司�����,Armonk����,New York所提供的企業(yè)系統(tǒng)架構(gòu)(ESA)/390的���,其例子在IBM的出版物中被描述����,所述出版物的標題為“Enterprice Systems Architecture/390 Principles Of Operation”��,IBM出版號No.SA22-7201-07�����,2001年7月���,其在此全部引入作為參考�����。
系統(tǒng)102的每個邏輯分區(qū)104能夠獨立進行操作���,就好像其是分離的計算機系統(tǒng)一樣。有各種機制用于提供邏輯分區(qū)�,例如,在下列專利中描述了其例子Guyette等的美國專利4,564,903�,標題為“PartitionedMultiprocessor Programming System”,1986年1月14日出版����;Bean等的美國專利4,843,541,標題為“Logical Resource Partitioning Of A DataProcessing System”���,1989年6月27日出版�����;以及Kubala的美國專利5,564,040����,標題為“Method And Apparatus For Providing A ServerFunction In A Logically Partitioned Hardware Machine”�����,1996年10月8日出版,所述專利中的每個都在此全部引入作為參考���。
每個邏輯分區(qū)104能夠執(zhí)行一個操作系統(tǒng)106�����,所述操作系統(tǒng)對于每個分區(qū)可能是不同的����?����?梢栽谶壿嫹謪^(qū)中執(zhí)行的操作系統(tǒng)的例子是所述OS/390操作系統(tǒng)�,其由國際商業(yè)機器公司,Armonk���,New York所提供,其它操作系統(tǒng)也可以被采用��。
邏輯分區(qū)104通過主機網(wǎng)絡接口110被耦合到至少一個網(wǎng)絡108上����。網(wǎng)絡108可能是多種網(wǎng)絡中的一種�����,所述網(wǎng)絡例如包括局域網(wǎng)(LAN)����、廣域網(wǎng)(WAN)等��。另外�����,所述網(wǎng)絡可能具有不同的媒介類型��。例如�,LAN可能是光纖分布式數(shù)據(jù)接口(FDDI)、令牌環(huán)��、以太網(wǎng)等�。網(wǎng)絡108被耦合到一個或多個計算單元,例如大型機112或個人計算機114�����,其通過網(wǎng)絡108向邏輯分區(qū)104發(fā)送數(shù)據(jù)和/或從邏輯分區(qū)104接收數(shù)據(jù)。
網(wǎng)絡108采用主機網(wǎng)絡接口110將所述計算單元耦合到所述邏輯分區(qū)上��。主機網(wǎng)絡接口110減小了在所述多個分區(qū)上的網(wǎng)絡開銷�,并且例如包括主機信道連接120和通信適配器122。作為一個例子����,主機信道連接120是用于將所述邏輯分區(qū)耦合到通信適配器122的IBM企業(yè)系統(tǒng)連接(ESCON)信道連接器,并且通信適配器122例如是用于將所述邏輯分區(qū)耦合到所述網(wǎng)絡上的IBM開放系統(tǒng)適配器(OSA)�。通信適配器122包括到每個邏輯分區(qū)中的每個傳輸控制協(xié)議/Internet協(xié)議(TCP/IP)棧的連接。
關于主機網(wǎng)絡接口的其它細節(jié)在下列專利中被描述美國專利5,740,438���,Ratcliff等�,標題為“Method and System for Network Communicationsof Multiple Partitions”��,1998年4月14日出版����;美國專利6,330,615,Gioquindo等��,標題為“Method of Using Address Resolution Protocol ForConstructing Data Frame Formats For Multiple Partitions Host NetworkInterface Communications”���,2001年12月11日出版���,所述專利中的每個都在此全部引入作為參考。另外����,下面描述涉及通信適配器的其它細節(jié)。
在一個例子中�����,通信適配器122包括網(wǎng)絡接口卡(NIC)200(圖2)���,所述網(wǎng)絡接口卡是用于將所述主機網(wǎng)絡接口耦合到網(wǎng)絡上的工業(yè)標準卡�;虛擬層(virtualization layer)202���,所述虛擬層用于將所述主機耦合到所述網(wǎng)絡接口卡�。虛擬層使得每個主機能夠相信其具有自己的NIC�,即使所述NIC是共享的。如下所述�,虛擬層還用于為本發(fā)明的一個和多個方面提供支持。
根據(jù)本發(fā)明的一個或多個方面�,虛擬層202包括一個或多個用于幫助對事件進行分析(例如,跟蹤和/或監(jiān)控)的控制表和邏輯。例如����,虛擬層202包括至少一個用于標識將被跟蹤或監(jiān)控的特定事件的控制表204。在一個實施例中��,有一個用于跟蹤和監(jiān)控的控制表��。然而����,在這里所描述的實施例中,有至少一個用于跟蹤的控制表和至少一個用于監(jiān)控的控制表�。
例如,圖3a描述了用于跟蹤的控制表300�����?�?刂票?00例如包括一個或多個主機302的列表�����,其中�,為所述主機定義了配置文件304。所述配置文件為其主機指定了一個或多個事件的集合,所述事件將為所述主機而被跟蹤�。所述事件由所述主機所定義,然后被傳遞給虛擬層�。每個主機具有其自己的配置文件�����,所述配置文件可以是與其它主機的配置文件相同的或者不同的�。另外,對于每個主機����,可以定義一個或多個配置文件。即��,主機X可以具有為指定一個可跟蹤事件集合所定義的一配置文件�����,和為指定另一個可跟蹤事件集合所定義的另一配置文件����。通過為一個或多個主機指定配置文件,可以基本同時地執(zhí)行各種跟蹤(即�,一個跟蹤可以與另一個跟蹤的運行時間部分或全部重疊)。
還參考圖3a,跟蹤緩沖區(qū)地址(@)306也與每個所標識的主機相關聯(lián)���。所述跟蹤緩沖區(qū)地址指定了所捕獲的跟蹤數(shù)據(jù)將被存儲的通信適配器的存儲器中的地址�����。作為一個例子�����,每個跟蹤被分配最大1MB的容量�。在所述例子中��,所述跟蹤緩沖區(qū)的總量為8MB�����,因此���,允許最多八個跟蹤同時運行��。所述八個跟蹤可以是針對一個主機的或者是針對多個主機的��。八個跟蹤的指定���、每個跟蹤1MB以及8MB的總緩沖區(qū)大小僅僅是例子���。在另一個實施例中,每個跟蹤和/或所述跟蹤緩沖區(qū)可以具有不同大小���。另外,可以執(zhí)行多于或少于八個同時進行的跟蹤���。
除了用于跟蹤的控制表之外��,在本發(fā)明的另一個方面���,控制表320(圖3b)被用于為一個或多個主機指定將被監(jiān)控的事件?���?刂票?20例如包括將為其進行監(jiān)控的一個或多個主機322;為所述主機指定將被監(jiān)控的事件的一個或多個配置文件324����;以及一個或多個監(jiān)控緩沖區(qū)地址326,其中每個監(jiān)控緩沖區(qū)地址指示所監(jiān)控的數(shù)據(jù)將被存儲的適配器存儲器中的地址�����。
作為一個例子,將被監(jiān)控的事件涉及從網(wǎng)絡到單個主機或多個主機的流量��。因此���,配置文件324指示了涉及將被監(jiān)控的網(wǎng)絡流量的事件的集合�����。這可能例如包括去往主機的包的數(shù)量����;所使用的存儲器的數(shù)量���;與特定IP地址相匹配的包的數(shù)量等�。
所述監(jiān)控緩沖區(qū)不需要具有與跟蹤緩沖區(qū)相同的大小要求或限制��,因為��,所述監(jiān)控緩沖區(qū)僅僅維護計數(shù)器���。然而��,在其它的實施例中���,可能存儲其它信息�,因此�����,需要有某些的要求和/或限制�。
由幫助跟蹤和/或監(jiān)控的邏輯來使用所述控制表。如圖2中所示��,虛擬層202還包括跟蹤邏輯206��,用于獲取將為特定主機所跟蹤的指定事件����,以跟蹤所述事件并且捕獲涉及所述事件的數(shù)據(jù)����;以及監(jiān)控邏輯208,用于獲取將為主機所監(jiān)控的指定事件��,以監(jiān)控所述事件并捕獲涉及所述事件的數(shù)據(jù)�����。
參考圖4描述了所述跟蹤邏輯的一個實施例。在所述實施例中�����,所述邏輯包括為特定的主機來配置�����、跟蹤和捕獲數(shù)據(jù)�����。對于希望參與跟蹤的每個主機將會有相似的步驟����。
參考圖4,首先����,在步驟400,從主機接收配置文件���,所述主機例如是邏輯分區(qū)中執(zhí)行的操作系統(tǒng)�����。例如通過使用圖形化用戶接口來顯示面板以選擇將被跟蹤的事件或者鍵入將被跟蹤的期望事件�,所述主機構(gòu)建所述文件。由所述主機來定義所述構(gòu)建配置文件���。在步驟402上��,主機將所述文件轉(zhuǎn)發(fā)給虛擬層的存儲器����,所述虛擬層然后從其存儲器中取出所述配置文件����,并且將所述文件存儲在合適位置上(即����,用于所指定的主機的位置)的控制表中。
在步驟404上�����,還為所述特定主機在所述通信適配器中分配跟蹤緩沖區(qū)(或跟蹤緩沖區(qū)段)���。例如���,以由主機所提供的并且控制表中所指定的地址�,在所述虛擬層的存儲器中分配跟蹤緩沖區(qū)段�。
接著,在步驟406����,從網(wǎng)絡中接收包,并且�,在詢問408上,就跟蹤對于一定會接收所述包的主機而言是否是激活的來進行判決���。例如通過檢查所指定的控制塊中的指示器來進行所述判決�����。如果所述跟蹤沒有激活�����,則所述包被轉(zhuǎn)發(fā)給所述主機���,并且�,跟蹤邏輯的處理繼續(xù)到步驟406“接收來自于網(wǎng)絡的包”����。然而,如果跟蹤是激活的��,則在詢問410上��,就所述包中的數(shù)據(jù)是否與在配置文件中為所述主機所指定的一個或多個事件相匹配來進行另外的判決��。
為了確定是否有配置匹配���,所述跟蹤邏輯查看所述配置文件中所指定的信息����,從所述信息中產(chǎn)生一個或多個過濾器(或規(guī)則)�����,并且使用所述過濾器來確定是否會記錄事件�����。特別地����,所述跟蹤過濾器被用于指定所跟蹤的內(nèi)容。對所述跟蹤過濾器是有層次的����,并且所述跟蹤邏輯按順序來分析每個過濾器。如果有任何高級別的過濾器沒有被通過�����,則不再執(zhí)行任何跟蹤并且不進去其它的任何檢測����。
有許多種跟蹤過濾器,其例子在Network Associates的“Sniffer ProGetting Started Guide”���,ISBN #NAI-415-0011-3��,2002年3月中被描述�����,從而其在此全部引入作為參考�����。下面針對特定情景來描述以從高級別到低級別的順序的過濾器的一些例子��。許多其它的過濾器和/或情景也可以被采用而不脫離本發(fā)明的精神����。
1、第一過濾器是基于唯一的OSA設備的�,所述OSA設備從用戶輸入組合CSS.MIF.CU.DEVADDR被映射到QDIO DATAPATH-ENTRY。如果對于所述設備開啟了跟蹤��,或如果在跟蹤所有的模式下�,則進行到下一過濾器,否則什么都不做���,即通常的OSA情況�����。
2���、所述虛擬層代碼對進入的流量、出去的流量或LPAR到LPAR的流量進行檢測��。所述跟蹤過濾器將在所述功能的每個的結(jié)尾被檢查����。如果可以,則到下一個過濾器�。
3、所述虛擬層代碼確定所述包是單播����、廣播還是多播的。在所述虛擬層代碼的結(jié)尾將檢測所述跟蹤過濾器���。(MAC頭是用于跟蹤的一個選項��。用于以太網(wǎng)媒介的MAC頭包括源地址����、目的地址��、協(xié)議類型��。其它跟蹤選項包括但不局限于VLAN頭����、具有源地址和目標地址的協(xié)議頭�;具有源端口和目的地址的傳輸頭���;以及具有數(shù)據(jù)偏移/數(shù)據(jù)模式的原始模式(rawmode))�。
4���、檢測這是VLAN流量還是非VLAN流量�����。
-如果這不是VLAN流量����,并且VLAN過濾器是關閉的�,則繼續(xù);-如果這不是VLAN流量�,并且VLAN過濾器是開啟的,則不跟蹤����;-如果這是VLAN流量,并且VLAN過濾器是關閉的����,則不跟蹤���;-如果這是VLAN流量,并且VLAN過濾器是開啟的�����,則繼續(xù)�;為了開啟VLAN過濾器��,用戶為多達八個VLAN標簽指定了值��。如果用戶想要不管輸入包的VLAN標簽而捕獲所有VLAN流量�,則用戶就為VLAN標簽指定“跟蹤所有”的值。
5�、IP層過濾器在ARP和IP數(shù)據(jù)報之間進行區(qū)分。
-基于IP版本的過濾器����,所述IP版本即IPV4與IPV6。所述過濾器將確定哪種類型的主機/客戶IP會被使用�。
-基于客戶IP的過濾器。用戶可以指定多達八個客戶IP�����。對于進入的流量和LPAR到LPAR的流量,將所述IP地址與源IP地址進行比較���。對于出去的流量����,將所述IP地址與目的IP地址進行比較�。
-基于主機IP的過濾器。用戶可以指定多達八個主機IP��。對于進入的流量和LPAR到LPAR的流量��,將所述IP地址與目的IP地址進行比較�����。對于出去的流量�,將所述IP地址與源IP地址進行比較。
6�����、高級別協(xié)議過濾器還基于端口進行?��;?。所述邏輯支持TCP、UDP和ICMP(即使ICMP是網(wǎng)絡層-IP的一部分���,但是�,在這里����,由于其是在常規(guī)IP幀之后出來的����,因此,其與TCP和UDP一起被分類)�。在ICMP中,容器(case)端口過濾器被忽略���。
-基于客戶端口的過濾器��。用戶可以指定多達八個客戶端口�����。對于進入的流量和LPAR到LPAR的流量���,將所述端口與源端口進行比較����。對于出去的流量����,將所述端口與目的端口進行比較。
-基于主機端口的過濾器�����。作為例子����,用戶可以指定多達八個主機端口。對于進入的流量和LPAR到LPAR的流量����,將所述端口與目的端口進行比較。對于出去的流量��,將所述端口與源端口進行比較��。
如果輸入的包不能通過所述配置文件的過濾器中的一個或多個�,則所述包被傳遞給所述主機,并且所述跟蹤邏輯繼續(xù)到步驟406“接收來自于網(wǎng)絡的包”。然而���,如果通過所有的過濾器���,則在步驟412初始化所述跟蹤。例如����,使用上述過濾器作為例子,如果所述包通過所有過濾器���,則如果跟蹤MAC過濾器是開啟的,那么所述跟蹤邏輯跟蹤MAC頭(如果跟蹤VLAN是開啟的���,則跟蹤具有VLAN的M AC)�����;如果跟蹤IP過濾器是開啟的��,則跟蹤IP報頭…同樣的處理用于ARP以及高級別協(xié)議報頭���。
被跟蹤的實際數(shù)據(jù)的數(shù)量取決于所述跟蹤條目的大小。用戶指定每個單個跟蹤條目的大小。當跟蹤時�,所述跟蹤邏輯保證所述跟蹤條目不會超過所述限制,即其可以小于而不能大于所述限制����。例如,如果用戶希望每個條目有X個字節(jié)的數(shù)據(jù)��,但是���,此時有超過X個字節(jié)數(shù)據(jù)�����,則所述跟蹤將包括前X個字節(jié)����。每個跟蹤條目包括跟蹤類型標識(4字節(jié))�����、時間標簽(4字節(jié))和跟蹤數(shù)據(jù)�����。用戶所指定的跟蹤大小包括前兩個條目,以及所述數(shù)據(jù)�����,因此�����,跟蹤條目最小是8個字節(jié)����。所述跟蹤數(shù)據(jù)被寫入到跟蹤緩沖區(qū)中,所述跟蹤緩沖區(qū)位于在所述控制表中為所述主機所指定的地址上����。
所述跟蹤緩沖區(qū)是本地緩沖區(qū),并且����,在所述例子中�����,1MB的緩沖區(qū)段被分配給所述主機���。盡管分配了1MB的段����,但是,所述段被認為具有兩個部分�,以便使得跟蹤不受全滿情況的影響。當一部分是滿的時����,切換到另一部分。因此�,在詢問414上,就所述本地跟蹤緩沖區(qū)是否已滿(即����,所述部分是否已被寫滿)來進行判決。如果所述本地跟蹤緩沖區(qū)是不滿的�����,則處理繼續(xù)到步驟406“接收來自于網(wǎng)絡的包”�����。然而�,如果所述本地跟蹤緩是滿的��,則在步驟416切換到另一個適配器緩沖區(qū)(或適配器緩沖區(qū)的所指定的段的另一部分)����。隨后��,在步驟418����,將所述滿的適配器緩沖區(qū)寫入到在主機中的存儲器位置里,并且處理進行到步驟406“接收來自于網(wǎng)絡的包”���。
主存儲器中���,例如有八個跟蹤緩沖區(qū)段500(圖5)用于八個可能的跟蹤。如果全部八個跟蹤都是用于一個主機的�,則全部八個緩沖區(qū)段都用于所述主機。否則���,如果所述跟蹤中的一個或多個是用于一個或多個其它主機的���,則所述段中的一個或多個用于所述一個或多個其它主機��。在其它實施例中,所述段可能被當作是其它緩沖區(qū)���,而不是一個緩沖區(qū)的段����。
通過上述跟蹤邏輯����,可以為一個主機定義一個或多個可跟蹤事件的集合。因此����,所述邏輯可以接受來自于主機的多個配置文件,并且可以將所接收的包與所述多個配置文件進行比較��。如果發(fā)現(xiàn)匹配�,則將所跟蹤的數(shù)據(jù)寫入到為具有所述匹配的配置文件所指定的緩沖區(qū)段中。
根據(jù)本發(fā)明的其它方面�����,可以由監(jiān)控邏輯208(圖2)來監(jiān)控一個或多個事件����。將被監(jiān)控的事件可能是用于一個主機的或者是用于多個主機的�����。不管主機的數(shù)量����,每個將被監(jiān)控的事件的集合是為一個主機而明確定義的���。所捕獲的數(shù)據(jù)被存儲在與所述被監(jiān)控的特定事件相關聯(lián)的緩沖區(qū)段中����。
根據(jù)本發(fā)明的一個方面��,參考圖6描述了與監(jiān)控事件相關聯(lián)的邏輯的一個實施例��。在所述例子中���,被監(jiān)控的事件涉及通過單個主機網(wǎng)絡接口所傳播的網(wǎng)絡流量�。
參考圖6�,首先,在步驟600�,將配置文件從主機轉(zhuǎn)發(fā)到所述通信適配器的虛擬層。所述配置文件為所述主機指定了一個或多個將被監(jiān)控的事件。在步驟602����,所述虛擬層以所述主機所指定的位置將所述配置文件存儲在所述控制表中�。
在步驟604上,在所述通信適配器中為所述特定的主機分配監(jiān)控緩沖區(qū)(例如�����,緩沖區(qū)段)�����。例如�,以所述主機所提供的并且在控制表中所指定的地址,在所述虛擬層的存儲器中分配所述監(jiān)控緩沖區(qū)����。
接著,在步驟606����,從網(wǎng)絡中接收包,并且��,在詢問608上�����,就監(jiān)控對于一定會接收所述包的主機而言是否是激活的來進行判決。例如���,通過檢查所指定的控制塊中的指示器來進行所述判決���。如果監(jiān)控沒有激活,則所述包被轉(zhuǎn)發(fā)給所述主機�����,并且所述監(jiān)控邏輯的處理繼續(xù)到步驟606“接收來自于網(wǎng)絡的包”��。然而�,如果監(jiān)控是激活的,則在詢問610上���,就所述包中的數(shù)據(jù)與配置文件中為所述主機所指定的所述一個或多個事件是否相匹配來進行另外的判決��。
為了進行所述判決���,所述監(jiān)控邏輯檢查所述配置文件中所指定的信息,從所述信息中產(chǎn)生一個或多個過濾器(或規(guī)則),并且使用所述過濾器來確定是否是會監(jiān)控事件��。特別地��,所述過濾器被用于指定所監(jiān)控的內(nèi)容��。對于所述過濾器是有層次的����,并且所述監(jiān)控邏輯按順序來分析每個過濾器�。如果有任何高級別的過濾器沒有被通過,則不再執(zhí)行任何監(jiān)控并且不進行其它的任何檢測��,即執(zhí)行流程繼續(xù)到步驟606“接收來自于網(wǎng)絡的包”��。否則���,在步驟612初始化監(jiān)控�。
作為一個例子��,在監(jiān)控期間���,一旦遇到特定的事件�,與將被監(jiān)控的事件相關聯(lián)的計數(shù)器就會被增加。然后�����,在步驟616�,所述計數(shù)(或者,在另一個實施例中的其它信息)被寫入到所指定的監(jiān)控緩沖區(qū)中����。然后,處理繼續(xù)到步驟606“接收來自于網(wǎng)絡的包”�。
與所述跟蹤邏輯相類似,通過所述監(jiān)控邏輯����,可以為一個主機定義一個或多個監(jiān)控事件的集合。因此�����,所述邏輯可以接受來自于主機的多個配置文件���,并且可以將所接收的包與所述多個配置文件進行比較�����。如果發(fā)現(xiàn)匹配���,則將所監(jiān)控的統(tǒng)計寫入到為具有所述匹配的配置文件所指定的緩沖區(qū)段中���。
上面詳細地描述了為通過同一網(wǎng)絡接口所連接的各個主機幫助對特定的事件進行跟蹤和/或監(jiān)控的能力。配置文件中所提供的定義是動態(tài)的��,因為�,它們是由主機所定義的����,并且即使在跟蹤/監(jiān)控過程中,也可以由主機所改變��。
這里所描述的邏輯提供了許多優(yōu)于現(xiàn)有分析儀的長處�����。例如�,用于主機或網(wǎng)絡協(xié)議的現(xiàn)有技術的分析儀(又稱作局域網(wǎng)(LAN)探測器)典型地是專用計算機,為每種可以被探測/分析的LAN類型通過一種網(wǎng)絡接口卡來配置所述計算機���。它們的特征在于1���、所述探測器單元需要其自己專用的物理連接�,所述物理連接是從所述探測器的網(wǎng)絡接口卡(NIC)到定義所述LAN段的網(wǎng)絡交換機的�����。根據(jù)探測器的類型和相應的網(wǎng)絡接口卡-對基于銅軸的網(wǎng)絡(即cat-5配線)進行探測需要單個專用的物理連接���;-對例如ATM和GbE的基于其它的網(wǎng)絡進行探測需要單個專用的物理連接或在線光分路器����。
2�����、更高級的網(wǎng)絡交換機提供端口或VLAN鏡像支持��,用于使用LAN探測器����。然而,由于交換機在一個時刻不支持多于一個的被鏡像的端口���,因此�����,在任何交換中����,一個時刻僅有一個端口或LAN段可以被分析。
3�����、網(wǎng)絡管理員(人)需要通過激活將被鏡像到所述探測器上的特定端口����,并且通過指定哪個端口或VLAN將被鏡像/拷貝到探測器所附的端口上�����,從而人工地配置在網(wǎng)絡交換機上進行鏡像的端口�����。
4�、對在網(wǎng)絡交換機上進行鏡像的端口的激活在所述交換機上產(chǎn)生處理開銷,因此����,在所述端口鏡像配置中所未包括或涉及的其它端口可能以增加的等待時間或時延的形式而受到影響����。
5����、當前的LAN分析儀僅根據(jù)一個特定的事件集合來捕獲數(shù)據(jù)。如果需要多個不同的捕獲����,則需要多次運行或者多個LAN分析儀。由于例如所述OSA適配器的通信適配器可以在多個主機間共享��,因此����,同時跟蹤到多個不同主機的LAN流量的需求變得越來越普遍。
6��、對于每個獨特LAN媒介類型(即�,令牌環(huán)、FDDI���、快速以太網(wǎng)等)都需要一個LAN分析儀�。
7、沒有對正被路由發(fā)送到各個主機的每個上的LAN流量的比例進行監(jiān)控的方式���,所述主機同時連接到單個LAN接口上���。
有利地,本發(fā)明的一個或多個方面克服了上述缺點����。例如,本發(fā)明的一個或多個方面-通過使用從所述通信網(wǎng)絡(例如OSA)到網(wǎng)絡交換機的現(xiàn)有連接�,去除了所述專用物理連接;-消除了在基于光纖的網(wǎng)絡上對光分路器的需求���;-不管交換機的OEM�,而消除了每個交換機單個端口進行鏡像的限制���。有利地,不管OEM網(wǎng)絡交換機����,而提供了多個同時的LAN探測動作;-消除了與端口鏡像配置以及網(wǎng)絡交換機上的激活相關聯(lián)的人工干涉���;-去除了由端口鏡像激活所引起的交換機上的開銷或等待時間���;-去除了與維護分離的網(wǎng)絡(例如LAN)探測器計算機相關聯(lián)的成本和相應開銷���,例如,具有探測器能力的計算機的初始購買成本��;與實際探測器計算機和/或探測器軟件相關聯(lián)的維護或服務合同成本���;與每個所需的分離的網(wǎng)絡接口卡類型的成本有關的硬件升級�����;以及必須在所述探測器計算機上安裝探測器軟件的新版本的軟件更新開銷��;-在不影響其它主機的情況下���,可以為每個主機建立唯一的捕獲。在所述特定跟蹤中的所述信息僅與所述特定的主機相關�。為特定的主機跟蹤數(shù)據(jù)所需的捕獲過濾器的使用大大被簡化,并且通過所述單個網(wǎng)絡(例如LAN)接口可以有多個捕獲同時運行�。
-給予用戶對所述網(wǎng)絡(例如LAN)應用中的任何一個、多個或全部進行監(jiān)控的能力,所述網(wǎng)絡應用由被連接到所述單個網(wǎng)絡接口上的各個主機所使用��;-所述網(wǎng)絡(例如LAN)分析儀現(xiàn)在是與媒介無關的���,并且不需要改變/需要最小的改變來在網(wǎng)絡媒介類型之間進行切換��;以及
-所述數(shù)據(jù)可以以標準格式而被存儲�,這使得當前的LAN分析儀供應商能夠?qū)懭脒@樣的應用�����,所述應用會格式化所述數(shù)據(jù)以與其現(xiàn)有的格式兼容���。
有利地���,本發(fā)明的一個或多個方面允許為每個主機在所請求的數(shù)據(jù)之間進行區(qū)分。另外�,每個主機都具有對單個跟蹤的設置進行動態(tài)控制的能力?���?梢酝瑫r對來自于多個主機的事件進行分析/監(jiān)控。特別地�����,所述能力被提供以便通過同一個LAN接口同時跟蹤/監(jiān)控多個主機��。提供了動態(tài)配置和通過單個LAN接口為每個主機跟蹤/監(jiān)控不同事件的能力���。
為一個或多個主機進行跟蹤和/或監(jiān)控可以同時發(fā)生(例如����,一個可以和另一個部分或完全地重疊)��。
盡管這里提供了例子����,但是,它們僅僅是例子�����。對所述例子可以有許多變化�,而不脫離本發(fā)明的精神。例如��,所述通信環(huán)境可以包括更多或更少的邏輯分區(qū)���,或者可以具有不同于LPAR的區(qū)域�����。另外��,所述環(huán)境可以基于不同于ESA的結(jié)構(gòu)的�。可以使用其它網(wǎng)絡和/或其它媒介類型��。另外���,可以有其它計算單元被耦合到所述網(wǎng)絡上�。許多其它變化也是可能的�。
本發(fā)明的一個或多個方面的能力可以在軟件、固件��、硬件或其某種結(jié)合中被實現(xiàn)�。
本發(fā)明的一個或多個方面可以被包括在制造產(chǎn)品(例如,一個或多個計算機程序產(chǎn)品)中���,所述制造產(chǎn)品例如具有計算機可用媒介�。其中�,所述媒介例如具有計算機可讀程序代碼裝置或邏輯(例如��,指令����、代碼���、命令等),以提供和幫助本發(fā)明的能力���。所述制造產(chǎn)品可以作為計算機系統(tǒng)的一部分而被包括或者單獨地被銷售���。
另外,可以提供至少一個機器可讀的程序存儲設備��,其包含至少一個機器可執(zhí)行的指令的程序�,以執(zhí)行本發(fā)明的能力。
這里所描述的流程圖僅僅是例子��。對于其中所描述的圖或步驟(或操作)可以有許多變化���,而不脫離本發(fā)明的精神�����。例如���,可以以不同的順序來執(zhí)行所述步驟�,或者可以增加�����、刪除或修改步驟����。所述變化的全部都被認為是所要求權(quán)利的本發(fā)明的一部分。
盡管這里已經(jīng)詳細地說明和描述了優(yōu)選實施例�����,但是����,對于相關領域的技術人員來說顯而易見的是在不脫離本發(fā)明的精神的情況下可以進行各種修改、增加����、替換等,因此���,這些都被認為是在下面權(quán)利要求所定義的本發(fā)明的范圍之內(nèi)的�����。
權(quán)利要求
1.一種幫助對通信環(huán)境的事件進行分析的方法���,所述方法包括為所述通信環(huán)境的第一主機提供一個或多個事件的集合;以及為所述通信環(huán)境的第二主機提供一個或多個事件的另外的集合��,以使得能夠通過單個網(wǎng)絡接口來基本同時地分析所述一個或多個事件的集合以及所述一個或多個事件的另外的集合���。
2.根據(jù)權(quán)利要求1的方法,其中����,所述事件是可跟蹤的事件��,并且所述基本同時地分析包括通過所述單個網(wǎng)絡接口�����,基本同時地跟蹤所述一個或多個可跟蹤事件的集合以及所述一個或多個可跟蹤事件的另外的集合�����。
3.根據(jù)權(quán)利要求2的方法,還包括通過所述單個網(wǎng)絡接口����,基本同時地為所述第一主機跟蹤所述一個或多個可跟蹤事件的集合和為所述第二主機跟蹤所述一個或多個可跟蹤事件的另外的集合�。
4.根據(jù)權(quán)利要求3的方法,還包括捕獲由對所述一個或多個可跟蹤事件的集合以及所述一個或多個可跟蹤事件的另外的集合進行跟蹤所產(chǎn)生的數(shù)據(jù)�,其中����,用于所述一個或多個可跟蹤事件的集合的所捕獲的數(shù)據(jù)與用于所述一個或多個可跟蹤事件的另外的集合的所捕獲的數(shù)據(jù)是不相同的。
5.根據(jù)權(quán)利要求3的方法��,還包括在所述跟蹤期間���,改變所述一個或多個可跟蹤事件的集合和所述一個或多個可跟蹤事件的另外的集合中的至少一個�。
6.根據(jù)權(quán)利要求1的方法����,其中�����,所述事件是用于通過所述單個網(wǎng)絡接口所傳播的流量的網(wǎng)絡流量監(jiān)控事件����,并且所述基本同時地分析包括通過所述單個網(wǎng)絡接口,基本同時地監(jiān)控所述一個或多個網(wǎng)絡流量監(jiān)控事件的集合和所述一個或多個網(wǎng)絡流量監(jiān)控事件的另外的集合�。
7.根據(jù)權(quán)利要求6的方法���,還包括為所述第一主機監(jiān)控所述一個或多個網(wǎng)絡流量監(jiān)控事件的集合����,并且基本同時地為所述第二主機監(jiān)控所述一個或多個網(wǎng)絡流量監(jiān)控事件的另外的集合�����。
8.根據(jù)權(quán)利要求1的方法,其中�,所述第一主機和所述第二主機是同一個主機����。
9.根據(jù)權(quán)利要求1的方法,其中�,所述第一主機和所述第二主機是不同的主機�。
10.根據(jù)權(quán)利要求1的方法�����,其中����,對于所述第一主機的所述一個或多個事件的集合和對于所述第二主機的所述一個或多個事件的另外的集合是不同的���。
11.根據(jù)權(quán)利要求1的方法�,其中���,為所述第一主機明確地定義所述一個或多個事件的集合��,并且為所述第二主機明確地定義所述一個或多個事件的另外的集合��。
12.根據(jù)權(quán)利要求11的方法,還包括由所述第一主機為所述第一主機動態(tài)地定義所述一個或多個事件的集合�����。
13.根據(jù)權(quán)利要求1的方法�����,其中,所述第一主機包括所述通信環(huán)境的邏輯分區(qū)的操作系統(tǒng)�,并且所述第二主機包括所述通信環(huán)境的另外的邏輯分區(qū)的另外的操作系統(tǒng),其中����,將所述邏輯分區(qū)和所述另外的邏輯分區(qū)耦合到所述單個網(wǎng)絡接口上。
14.根據(jù)權(quán)利要求1的方法�,其中,所述第一主機包括所述通信環(huán)境的操作系統(tǒng)�����,并且所述第二主機包括所述通信環(huán)境的另外的操作系統(tǒng)����。
15.根據(jù)權(quán)利要求1的方法,還包括動態(tài)地改變所述一個或多個事件的集合和所述一個或多個事件的另外的集合中的至少一個����。
16.一種幫助對通信環(huán)境的事件進行監(jiān)控的方法,所述方法包括為耦合到同一個網(wǎng)絡接口上的多個主機中的所選主機定義將被監(jiān)控的網(wǎng)絡事件的集合���;以及為所選主機監(jiān)控所述網(wǎng)絡事件的集合�,所述監(jiān)控包括檢查通過所述同一個網(wǎng)絡接口所接收的數(shù)據(jù)���。
17.一種幫助對通信環(huán)境的事件進行分析的系統(tǒng)���,所述系統(tǒng)包括為所述通信環(huán)境的第一主機所提供的一個或多個事件的集合�;以及為所述通信環(huán)境的第二主機所提供的一個或多個事件的另外的集合�,以使得能夠通過單個網(wǎng)絡接口來基本同時地分析所述一個或多個事件的集合以及所述一個或多個事件的另外的集合。
18.根據(jù)權(quán)利要求17的系統(tǒng)����,其中,所述事件是可跟蹤的事件��,并且所述基本同時地分析包括通過所述單個網(wǎng)絡接口�,基本同時地跟蹤所述一個或多個可跟蹤事件的集合以及所述一個或多個可跟蹤事件的另外的集合。
19.根據(jù)權(quán)利要求18的系統(tǒng)���,還包括這樣的裝置�����,所述裝置用于通過所述單個網(wǎng)絡接口,基本同時地為所述第一主機跟蹤所述一個或多個可跟蹤事件的集合和為所述第二主機跟蹤所述一個或多個可跟蹤事件的另外的集合����。
20.根據(jù)權(quán)利要求17的系統(tǒng),其中,所述事件是用于通過所述單個網(wǎng)絡接口所傳播的流量的網(wǎng)絡流量監(jiān)控事件�����,并且所述基本同時地分析包括通過所述單個網(wǎng)絡接口�����,基本同時地監(jiān)控所述一個或多個網(wǎng)絡流量監(jiān)控事件的集合和所述一個或多個網(wǎng)絡流量監(jiān)控事件的另外的集合�����。
21.根據(jù)權(quán)利要求20的系統(tǒng)��,還包括這樣的裝置��,所述裝置用于為所述第一主機監(jiān)控所述一個或多個網(wǎng)絡流量監(jiān)控事件的集合��,并且基本同時地為所述第二主機監(jiān)控所述一個或多個網(wǎng)絡流量監(jiān)控事件的另外的集合�����。
22.根據(jù)權(quán)利要求17的系統(tǒng)����,其中���,所述第一主機和所述第二主機是同一個主機。
23.根據(jù)權(quán)利要求17的系統(tǒng)�����,其中��,所述第一主機和所述第二主機是不同的主機�。
24.根據(jù)權(quán)利要求17的系統(tǒng),還包括這樣的裝置���,所述裝置用于動態(tài)地改變所述一個或多個事件的集合和所述一個或多個事件的另外的集合中的至少一個�����。
25.一種制造產(chǎn)品�,包括至少一個計算機可用媒介��,其具有計算機可讀程序代碼邏輯�����,以幫助對通信環(huán)境的事件進行分析�,所述計算機可讀程序代碼邏輯包括提供邏輯以便為所述通信環(huán)境的第一主機提供一個或多個事件的集合;以及提供邏輯以便為所述通信環(huán)境的第二主機提供一個或多個事件的另外的集合���,從而使得能夠通過單個網(wǎng)絡接口來基本同時地分析所述一個或多個事件的集合以及所述一個或多個事件的另外的集合��。
26.根據(jù)權(quán)利要求25的制造產(chǎn)品���,其中所述事件是可跟蹤的事件,并且所述基本同時地分析包括基本同時跟蹤邏輯���,以通過所述單個網(wǎng)絡接口來跟蹤所述一個或多個可跟蹤事件的集合以及所述一個或多個可跟蹤事件的另外的集合���。
27.根據(jù)權(quán)利要求25的制造產(chǎn)品,其中����,所述事件是用于通過所述單個網(wǎng)絡接口所傳播的流量的網(wǎng)絡流量監(jiān)控事件,并且所述基本同時地分析包括基本同時監(jiān)控邏輯��,以通過所述單個網(wǎng)絡接口來監(jiān)控所述一個或多個網(wǎng)絡流量監(jiān)控事件的集合和所述一個或多個網(wǎng)絡流量監(jiān)控事件的另外的集合��。
28.根據(jù)權(quán)利要求25的制造產(chǎn)品�����,其中所述第一主機和所述第二主機是同一個主機。
29.根據(jù)權(quán)利要求25的制造產(chǎn)品����,其中所述第一主機和所述第二主機是不同的主機。
30.根據(jù)權(quán)利要求25的制造產(chǎn)品��,還包括改變邏輯��,以便動態(tài)地改變所述一個或多個事件的集合和所述一個或多個事件的另外的集合中的至少一個���。
全文摘要
通過單個網(wǎng)絡接口基本同時地跟蹤/監(jiān)控多個事件的集合�����??梢詾橐粋€主機或者為通過所述網(wǎng)絡接口而被耦合的多個主機來跟蹤和/或監(jiān)控所述多個事件�����。為主機所跟蹤/監(jiān)控的所述事件的集合由所述主機所定義��,并且在一個或多個配置文件中被維護�����。所述配置文件可以被動態(tài)地更新。
文檔編號G06F15/173GK1703010SQ20051006626
公開日2005年11月30日 申請日期2005年4月25日 優(yōu)先權(quán)日2004年5月27日
發(fā)明者G·B·馬科斯, B·拉賈拉曼, B·H·拉特克利夫, A·R·塞杰, A·J·斯塔格, S·R·瓦利 申請人:國際商業(yè)機器公司