自动化的应用依赖性映射

摘要

一种用于网络管理的计算机执行的方法把应用自动映射到网络基础设施。该方法包括监视一个或多个被管理计算机上的网络活动以及收集被管理计算机上的网络活动数据。标识可执行文件与应用的关联并且分析网络活动数据和可执行文件与应用的关联。根据所述分析，从被管理计算机上的应用建立连接。

说明书

背景技术

应用依赖性映射(Application Dependency Mapping，ADM)的领域还不成熟并且设计者正在积极地发展该学科。常见的方法涉及对每个应用建模并且解析(parse)配置数据以标识这些应用所依赖的其它IT元件。该过程是非常耗时的并且需要对每个所支持应用的大量定制。由于产生应用模型的复杂性，由常规ADM系统识别的应用的数量不是很高。

发明内容

一种用于网络管理的计算机执行的方法的实施例把应用自动映射到网络基础设施。该方法包括监视一个或多个被管理计算机上的网络活动以及收集被管理计算机上的网络活动数据。标识可执行文件与应用的关联并且分析网络活动数据和可执行文件与应用的关联。根据该分析，从被管理计算机上的应用建立连接。

附图说明

可以通过参考以下描述和附图来最好地理解与操作的方法和结构有关的本发明实施例：

图1是图解包括应用依赖性映射功能的网络系统的实施例的示意框图；

图2是描绘用于收集在ADM中使用的网络连接信息的网络系统的实施例的示意框图；以及

图3A到3E是示出用于把应用自动映射到网络基础设施的网络管理的计算机执行的方法的一个或多个实施例或方面的流程图。

具体实施方式

描述用于与由发现系统使其可用的详细软件应用清单(inventory)信息结合地使用网络连接来确定软件应用关系的、网络系统和相关操作技术的实施例。

应用依赖性映射(ADM)是一种用于通过监视应用及其底层部件如何相互交互而动态跟踪变化的计算环境的技术。所监视的数据促进分析一个应用或应用部件中的变化将会具有的影响、预测放慢或停止应用的后果、以及确定解决问题的规程。ADM在配置管理数据库(CMDB)中用来使得能够标识和创建包括服务器、路由器和交换机在内的支持应用的设备的可视图。ADM也使得能够监视和分析应用所依靠的软件部件和代码依赖性、以及诸如路由表和端口分配之类的允许应用跨企业行进的网络配置。在示例实施方式中，ADM使得组织能够基于业务需要动态地分派资源并且改进服务器利用率以更好地使用整个数据中心资源。

应用依赖性映射(ADM)是一种用于发现所安装的软件应用并分辨应用相互依赖和相对于信息技术(IT)基础设施的依赖的技术。应用依赖性信息可以具有很多用途，例如在企业系统管理的环境中具有用途。用途可以包括用关系信息来填充配置管理数据库(CMDB)、服务及变化管理、以及数据中心管理。

因此，寻求改进的自动方法以便于应用依赖性映射的实施并且改进应用依赖性映射的应用覆盖范围。

一个ADM方法涉及为每个支持的应用维护配置数据的综合模型。为了收集这种模型的数据，使用用于登入系统和/或应用的各种最新证书。发现系统远程连接到主控该应用的计算机并运行各种脚本和检测逻辑以标识应用版本和该版本的详细配置。ADM方法的开销包括收集证书和维护当前列表的操作，因为许多安全策略强制定期改变密码。维护这种模型可能耗时，因为应用的配置可能从一个版本到另一个版本发生变化。维护这些模型通常适合于大型且复杂的应用，诸如应用与数据库服务器(ADS)，其中在耗时的深度发现期间检测的附加发现信息可能是有用的。

另一种ADM技术捕获并解释通过网络的网络分组，并且基于分组的内容来分辨哪些应用正在发送和接收分组。发现应用或装置必须连接到使所有网络通信量通过的交换机(这是并不总可能的连接)。日益加密的通信用来保障甚至在局域网上的应用之间的通信的安全，这防止调查网络分组的实际内容以及从实际内容中导出应用依赖性。

在应用依赖性映射(ADM)技术的说明性实施例中，通过发现应用之间的实际网络通信来确定应用之间的依赖性。在一些实施例中和/或在一些条件下，由于当今大多数的网络通信是使用TCP/IP网络协议完成的，网络发现可以监视每个被管理计算机上的TCP/IP网络活动。在其它实施例中或操作在其它条件下，该技术可以被应用于其它网络协议。可以使用在所有被管理计算机上连续运行的代理来实施该技术，从而收集包括连接的起始/终止时间戳、本地和远程主机及端口信息、到建立该连接的可执行文件的绝对路径等等的信息。

所收集的网络连接信息可以被存储在每个被管理计算机上达具体的时间段，例如一个月。将所收集的网络活动数据与软件清单信息组合。使用基于文件的软件识别过程，软件清单可以用来标识安装的应用。所述识别过程使用软件应用库，所述软件应用库是捕获包括各种应用的文件的细节的知识库，所述细节包括文件名、大小、签名和可执行类型。例如，所讨论的可执行文件可以是msaccess.exe，基于存储在软件应用库中的信息推断该文件为Microsoft Access的一部分。然而，具有相同名称、签名和大小的一个或多个文件可以是许多不同应用的一部分，所以该识别过程采用考虑到位于相同目录中以及计算机上的其它地方的其它文件的复杂算法，从而允许进行准确的识别。该识别过程标识哪些可执行文件属于哪个应用。一旦为所有被管理计算机收集了信息，可以调用拓扑确定过程，其分析所有计算机上的网络连接性并且使用时间戳和主机信息来从一个计算机上的应用建立与另一个计算机上的应用的连接，因此获得正确的应用依赖性映射数据。

软件清单是比应用依赖性映射更成熟的学科并因此具有更高的应用覆盖范围。说明性新技术利用现有且成熟的软件应用清单数据的可用性并且可以增强应用关系信息。

说明性技术可以在不用开发复杂应用模型的情况下被实施并且使用维护简单的、成熟的基于文件的应用识别技术。结果，即使在加密的网络通信的情况下该技术也实现比其它方法和功能高得多的应用覆盖范围。

参考图1，示意框图图解了包括应用依赖性映射功能的网络系统100的实施例。该说明性网络系统100包括把应用自动映射到网络基础设施104的实用工具(utility)102。实用工具102包括监视远程主计算机108上的网络活动并收集作为被管理计算机的远程主计算机108上的网络活动数据的代理106的至少一个实例。实用工具102还包括基于文件的软件识别过程110，其通信耦合到代理实例106并且标识可执行文件112与应用114的关联，分析网络活动数据以及可执行文件112与应用114的关联，以及根据所述分析从被管理计算机108上的应用114建立连接。

在代理106的示例实施例中，文件信息可以从收集清单的称作扫描仪的部件获得。软件清单包括例如可以用于识别的详细文件信息，诸如文件名、大小、其它属性等等。这些代理106可以被配置成通过连续地或周期性地收集网络活动数据进行操作，所述网络活动数据例如连接的起始/终止时间戳、本地和远程主机及端口信息、到建立连接的可执行文件的绝对路径的标识等等。在一些实施例中，这些代理106可以连续地收集数据或者可以被选择性地激活和去激活从而以诸如周期性地或间歇性地的非连续方式收集信息。例如，当用户、客户、系统管理员等等不想把代理永久地安装在计算机上时，实用工具可以被配置成使得代理周期性地运行。

代理实例106可以被配置成使用预定收集协议(例如传输控制协议/网际协议(TCP/IP)或者任何其它合适的网络协议)来收集被管理计算机108上的网络活动数据。代理实例106也监视被管理计算机108上的网络协议活动。

代理106实例可以通过发现网络应用114之间的网络通信并且与软件识别过程110组合操作而进行操作，该软件识别过程110基于发现的网络通信来确定应用依赖性。

在一些实施例中，网络系统100还可以包括供软件识别过程110使用的软件应用库116。该库116汇编与应用114相关联的可执行文件112的数据，包括文件名、文件大小、文件签名、文件版本数据、文件可执行类型以及选择的文件属性。软件识别过程110标识可执行文件112与应用114的关联。

在一些实施例中，网络系统100还可以包括与拓扑确定过程118组合操作的多个代理106，所述代理106收集所有被管理计算机108的网络活动数据，该拓扑确定过程118分析所有被管理计算机108上的网络活动数据以及可执行文件112与应用114的关联。软件识别过程110使用时间戳和主机信息来建立应用114之间的连接。

网络系统100还可以包括配置管理数据库120，其可以与软件识别过程110通信以及与软件识别过程110组合操作并且接收可执行文件112与应用114的关系信息。例如，软件识别过程110可以积聚或产生安装在计算机上的应用列表。计算应用拓扑的实用工具把应用依赖性信息存储到本地数据库中。应用依赖性信息可以用来填充配置管理数据库120。

说明性网络系统100执行不受限于开发复杂应用模型的、自动应用依赖性发现的通用方法。说明性实用工具102可以将例如在来自加利福尼亚的帕洛阿尔托(Palo Alto)的惠普公司(HP)的OpenViewEnterprise Discovery(企业发现)系统内的、现有的基于文件的应用识别技术及网络拓扑信息与主机上的活动网络连接以及和这些连接相关联的过程的信息进行组合以确定应用和IT基础设施之间的相互依赖性。

与使发现系统基于诸如脚本等等的复杂模型以及也依靠用户干预和/或调节形成对照的是，说明性网络系统100可以是完全自动化的并且不用复杂模型和/或脚本就能识别特定应用和关联的依赖性。网络系统100也是鲁棒的并且适于应用行为的变化，即使该行为随时间而演变、快速变化或另外具有动态的特性。

由网络系统100执行的技术是非侵入式的并且尽管为了ADM功能使用代理106的安装但是其不要求端口扫描、捕获和监视网络通信量等等。网络连接和/或过程信息被“被动地”观测。在一些实施方式中，由ADM功能施加在系统上的增加的负载可以通过将ADM功能与用于其它功能的软件利用代理相组合来减少。

网络系统100和实用工具102可以基于历史数据而连续地操作，并且不会漏掉不经常运行的应用和/或偶然的依赖性。网络系统100和实用工具102是高度准确的并且可以使用软件库来识别过程，并且可适应于变化而不用修改复杂的脚本和/或模型。

应用依赖性映射(ADM)被I T业界中的许多人认为是影响商业服务管理(BSM)、配置管理数据库(CMDB)和信息技术服务管理(ITSM)策略的未充分发展的部件。ADM技术被视为是最当前的IT实施方式的战略篇，并且在重要性方面随着对数据中心整合项目的兴趣的提高而增长。初始ADM实施方式的市场采纳至少部分由于产生应用模型的复杂性而比较缓慢，以致由当前ADM厂商识别的应用的数量不是很高-高达几百个应用。相比而言，HP OpenView Enterprise Discovery可以使用相关软件清单能力来标识大约20000个不同的应用版本。在说明性实施例中，网络系统100和实用工具102实现改进的用于通过利用现有的OpenView软件清单能力来促进ADM的实施并改进ADM的应用覆盖范围的自动方法。

参考图2，示意框图描绘用于收集在ADM中使用的网络连接信息的网络系统100的实施例。收集的网络连接信息可以被存储在多个被管理计算机208上达具体的时间段，例如一个月。该信息可与软件清单信息组合并且被传送到HP OpenView Enterprise Discovery服务器222以用于进一步处理。使用现有的基于文件的软件识别过程210，服务器222使用软件清单224来标识安装的应用214。识别过程210使用软件应用库，所述软件应用库是捕获构成各种应用214的文件的细节的知识库，所述细节包括文件名、大小、签名和可执行类型。例如，基于存储在软件应用库中的信息将考虑中的诸如msaccess.exe 226的可执行文件推断为是Microsoft Access 228的一部分。然而，具有相同名称、签名和大小的一个或多个文件可以是许多不同应用的一部分，所以该识别过程210采用考虑到位于相同目录中以及计算机208上的其它地方的其它文件的复杂算法，从而实现准确的识别，包括确定特定应用是被独立安装还是被安装为套件的一部分，例如Microsoft Access是独立的还是被安装为Microsoft Office的一部分。一旦原始的网络连接被充实了应用信息，网络连接数据就被存储在数据库中。Enterprise Discovery服务器222上的单独拓扑确定过程可以一天被执行一次以处理每个被管理计算机208的信息，并且使用时间戳和主机信息来从一个计算机上的应用建立与另一个计算机上的应用的连接，因此获得ADM数据。

图2图解计算机1上的msaccess.exe如何开启到计算机2上的sqlservr.exe的连接。一旦识别了msaccess.exe事实上是MicrosoftAccess 2003并且sqlservr.exe是Microsoft SQL Server 2005，就可以做出这两个应用之间的依赖性映射。

可以用于ADM技术的基于文件的应用识别技术210可以是在HPOpenView Enterprise Discovery产品内操作的过程。EnterpriseDiscovery产品也实施代理技术，其通过监视运行过程来检测软件应用利用并把数据与相关应用相关联。说明性ADM系统和操作方法还扩展发现技术以收集网络活动数据，并且增加新的服务器模块以处理连接性信息并确定应用依赖性。

网络活动数据可以由现有的系统工具(诸如netstat和Isof)来获得。Netstat(网络统计)是可用于基于Unix、类Unix和Windows NT的操作系统中的命令行工具，其显示包括进入和外出连接的网络连接、路由表以及各种其它网络接口统计量。Lsof是列举打开文件的命令，其用于Unix和类Unix系统中以报告所有打开文件和打开该文件的过程的列表。例如通过增加以内核模式运行的代码而获得在诸如WindowsNT和Windows 2000的操作系统上建立TCP连接的应用的完整可执行文件名以及过程信息，可以将netstat命令扩展超出典型的功能。

说明性ADM系统和操作方法可以利用OpenView EnterpriseDiscovery内的基于文件的应用识别技术来生成实际依赖性的视图而不用建立复杂的应用模型，并因此可更广泛地用于应用。所公开的ADM系统和技术的功能性与给出预期的依赖性视图的、基于配置的建模技术互补。

参考图3A到3E，流程图图解了用于把应用自动映射302到网络基础设施的网络管理的计算机执行的方法300的一个或多个实施例或方面。该方法300包括监视304一个或多个被管理计算机上的网络活动并且收集306被管理计算机上的网络活动数据。标识308可执行文件与应用的关联并且分析310网络活动数据和可执行文件与应用的关联。根据该分析，从被管理计算机上的应用建立312连接。

在示例实施方式中，网络活动可以由安装在被管理计算机上的代理所监视304。可执行文件与应用的分析310可以采用存在于网络中的网络发现和清单工具。

在说明性实施例中，收集306网络活动数据的动作可以包括收集连接的起始和终止时间戳、本地和远程主机及端口信息、到建立连接的可执行文件的绝对路径的标识、以及其它合适的信息。

可以使用预定收集协议收集306在一个或多个被管理计算机上的网络活动数据。可以收集预定时间段的连接性信息。例如，不是收集有限时间段的信息并然后停止，更合适的协议可以收集滑动时间窗口的信息。在具体的示例中，可以收集例如最近两周时段的或上个月的历史网络数据。在另一个示例协议中，可以周期性地收集信息。可以可行地每天收集几小时的网络连接性数据，其中历史数据的维持时间为大约数周时间的滑动窗口。

参考图3B，流程图描绘用于把应用自动映射320到网络基础设施的说明性方法。该方法320包括执行322基于文件的软件识别过程并且管理324供软件识别过程使用的软件应用库。库管理可以包括汇编326与应用相关联的可执行文件的数据，包括文件名、文件大小、文件签名、文件版本数据、文件可执行类型以及选择的文件属性。根据软件识别过程来标识328可执行文件与应用的关联。

在说明性方法320中，软件应用库用来分辨和标识特定过程所属于的应用。因为具有特定名称的过程可以属于若干应用或属于相同应用的多个版本，所以基于可靠标识精确应用的应用库而组合计算机清单与应用识别是有效的。

参考图3C，应用映射方法330的实施例可以包括收集332所有被管理计算机的网络活动数据，并且使用拓扑确定过程来分析334网络活动数据以及可执行文件与所有被管理计算机上的应用的关联。可以使用时间戳和主机信息来建立336应用之间的连接。

参考图3D，流程图图解了可以用于自动应用映射的方法340的另一个实施例。方法340包括发现344网络应用之间的网络通信，并且基于所发现的网络通信来确定348应用依赖性。

在一些实施方式中，可以通过监视被管理计算机上的网络协议活动来发现344网络通信。例如，可以在远程主机上连续地或周期性地运行346监视网络协议活动的代理。例如，可以监视传输控制协议/网际协议(TCP/IP)或者任何其它合适的网络协议来使得能够确定应用对基础设施的依赖性。

在示例实施方式中或者在选择的条件下，网络连接信息以及其它数据(诸如与数据相关联的过程)的收集是连续的，这与在发现过程正在运行时的任何特定时刻确定基础设施是如何连接的一次快照形成对比。说明性技术340实现网络连接的恒定监视以及来自所有被管理计算机的历史连接/过程数据的维护，从而使得能够对于不经常建立/建立短持续时间段的那些连接检测应用依赖性。

参考图3E，流程图图解用于使用从自动应用映射中产生的信息的示例方法350的实施例。说明性方法350包括用可执行文件与应用的关系信息填充352配置管理数据库并且执行选择的管理操作。在一些实施例中，该方法可以包括执行354服务和变化管理。一些技术可以包括执行356数据中心管理。

本文中可能使用的术语“基本上”、“大体上”或者“大约”涉及对应术语的行业接受容差。这样的行业接受容差从小于百分之一变化到百分之二十并且对应于但不限于功能、数值、过程变化、大小、操作速度等等。如本文中可能使用的术语“耦合”包括直接耦合以及经由另一个部件、元件、电路或模块的间接耦合，其中对于间接耦合，插入部件、元件、电路或模块不修改信号的信息但可以调节其电流水平、电压水平和/或功率水平。所推测的耦合(例如在一个元件根据推测耦合到另一个元件的情况下)包括两个元件之间的以与“耦合”相同的方式的直接和间接耦合。

说明性框图和流程图描绘可以表示包括一个或多个用于实施过程中的具体逻辑功能或步骤的可执行指令的代码部分、片段或模块的过程步骤或块。尽管特定示例图解具体的过程步骤或动作，但是许多可选的实施方式是可能的并且通常由简单设计选择做出。动作和步骤可以基于功能、目的、对标准的顺从性、传统结构等等的考虑而以与本文的具体描述不同的次序被执行。

虽然本公开描述了各种实施例，但是这些实施例要理解为是说明性的并且不限制权利要求范围。对所描述的实施例的许多变型、修改、添加和改进是可能的。例如，本领域的普通技术人员会容易实施为提供本文公开的结构和方法所必需的步骤，并且将理解过程参数、材料和尺寸是仅通过示例的方式给出的。可以改变参数、材料和尺寸以获得期望的结构以及在权利要求书的范围内的修改。也可以在保持在所附权利要求书的范围内的同时做出对本文公开的实施例的变型和修改。