CN111666198A - 日志异常监控方法、装置及电子设备 - Google Patents
日志异常监控方法、装置及电子设备 Download PDFInfo
- Publication number
- CN111666198A CN111666198A CN202010520925.4A CN202010520925A CN111666198A CN 111666198 A CN111666198 A CN 111666198A CN 202010520925 A CN202010520925 A CN 202010520925A CN 111666198 A CN111666198 A CN 111666198A
- Authority
- CN
- China
- Prior art keywords
- abnormity
- anomaly
- target
- log
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 238000012544 monitoring process Methods 0.000 title claims abstract description 62
- 238000001514 detection method Methods 0.000 claims abstract description 49
- 238000012806 monitoring device Methods 0.000 claims abstract description 5
- 230000002159 abnormal effect Effects 0.000 claims description 65
- 238000004422 calculation algorithm Methods 0.000 claims description 30
- 230000005856 abnormality Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 8
- 238000012549 training Methods 0.000 claims description 7
- 230000000875 corresponding effect Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 4
- 238000005065 mining Methods 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000001364 causal effect Effects 0.000 description 3
- 230000002596 correlated effect Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2433—Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Quality & Reliability (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Life Sciences & Earth Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提供了一种日志异常监控方法、装置及电子设备,其中,该方法包括:获取指定时间段的监控日志数据;将指定时间段的监控日志数据输入日志异常检测模型中进行检测,以确定指定时间段是否存在异常;若指定时间段内存在目标异常,则根据目标异常从预存的异常告警频繁模式集确定出与目标异常关联的关联异常,异常告警频繁模式集中存储有各个异常,以及与各个异常关联的异常集;根据目标异常以及关联异常输出告警。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种日志异常监控方法、装置及电子设备。
背景技术
在计算机的自动化运维过程中,一般会以监控日志或告警日志为依据。其中,告警日志一般是用于记录计算机出现过的异常告警信息。为了避免计算机直接出现异常,一般会在可能出现异常之前提前输出告警。现有告警预测通常有两种方法,一种方式是人工规则,即根据人为经验来设定阈值,在某条监控信息达到阈值的时候就提前告警。另一种方式是基于时间序列的异常检测算法来对异常进行预测。
发明内容
有鉴于此,本申请实施例的目的在于提供一种日志异常监控方法、装置及电子设备。能够达到解决现有的告警不足的问题的效果。
第一方面,本申请实施例提供了一种日志异常监控方法,包括:
获取指定时间段的监控日志数据;
将所述指定时间段的监控日志数据输入日志异常检测模型中进行检测,以确定所述指定时间段是否存在异常;
若所述指定时间段内存在目标异常,则根据所述目标异常从预存的异常告警频繁模式集确定出与所述目标异常关联的关联异常,所述异常告警频繁模式集中存储有各个异常,以及与所述各个异常关联的异常集;
根据所述目标异常以及所述关联异常输出告警。
在一可选的实施方式中,所述根据所述目标异常以及所述关联异常输出告警的步骤,包括:
输出所述目标异常对应的事件告警;
输出可能产生所述关联异常的概率告警。
本申请实施例提供的日志异常监控方法,采用不仅仅输出预测到的事件的告警,还能够输出可能产生的关联异常的概率告警,从而可以实现对可能发生的异常的预测,从而能够更好地实现异常的预测。
在一可选的实施方式中,所述根据所述目标异常以及所述关联异常输出告警的步骤,包括:
输出在所述指定时间段对应的未来一时间节点可能产生所述目标异常和所述关联异常的事件告警。
本申请实施例提供的日志异常监控方法,采用目标异常和关联异常均输出告警,从而可以使用户了解更多可能产生的异常,从而使异常预测能够更全面。
在一可选的实施方式中,所述根据所述目标异常从预存的异常告警频繁模式集确定出与所述目标异常关联的关联异常的步骤,包括:
查找所述预存的异常告警频繁模式集中所述目标异常所在的目标异常集;
根据所述目标异常集确定出与所述目标异常关联的关联异常。
本申请实施例提供的日志异常监控方法,通过在异常告警频繁模式集中筛选出目标异常所在集,再进一步地确定出关联异常,从而可以有效确定出与目标异常有关联的异常,从而可以提高输出的异常告警的准确性。
在一可选的实施方式中,所述日志异常检测模型通过以下方式确定:
将历史监控数据输入异常检测算法进行训练,以得到所述日志异常检测模型,所述异常检测算法为可扩展的Python工具包算法、局部离群因子检测算法、基于直方图的异常值得分算法、孤立森林算法中的任意一种。
本申请实施例提供的日志异常监控方法,采用上述的多种算法中的一种算法作为模型进行训练得到日志异常检测模型,可以有效分析出异常与各监控数据的关联,从而有效输出检测结果。
在一可选的实施方式中,所述方法还包括:
获取异常关联信息;
根据所述异常关联信息对所述异常告警频繁模式集进行更新。
在一可选的实施方式中,所述方法还包括:
按照设定时间规律获取更新的线上日志;
根据所述更新的线上日志对所述异常告警频繁模式集进行更新。
本申请实施例提供的日志异常监控方法,还可以对异常告警频繁模式集进行更新,从而可以使异常告警频繁模式集的时效性更好,从而可以使确定出的关联异常更准确,进一步地使输出的告警也就更加地准确。
第二方面,本申请实施例还提供一种日志异常监控装置,包括:
获取模块,用于获取的指定时间段的监控日志数据;
检测模块,用于将所述指定时间段的监控日志数据输入日志异常检测模型中进行检测,以得到所述指定时间段是否存在异常;
确定模块,用于若所述指定时间段内存在目标异常,则根据所述目标异常从预存的异常告警频繁模式集确定出与所述目标异常关联的关联异常,所述异常告警频繁模式集中存储有各个异常,以及各个异常关联的异常集;
输出模块,用于根据所述目标异常以及所述关联异常输出告警。
第三方面,本申请实施例还提供一种电子设备,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行上述第一方面,或第一方面的任一种可能的实施方式中的日志异常监控方法的步骤。
第四方面,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述第一方面,或第一方面的任一种可能的实施方式中的日志异常监控方法的步骤。
本申请实施例提供的日志异常监控方法、装置、电子设备及计算机可读存储介质,采用先使用模型进行初步的预测,然后结合异常告警频繁模式集确定出关联的异常,与现有技术中的直接通过设定阈值判断计算机是否异常相比,其能够分析监控数据对应的状态是否存在异常的同时,还能够结合异常之间的关联,从而可以使输出的告警能够更加准确。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的电子设备的方框示意图。
图2为本申请实施例提供的日志异常监控方法的流程图。
图3为本申请实施例提供的日志异常监控方法的流程图。
图4为本申请实施例提供的日志异常监控方法的流程图。
图5为本申请实施例提供的日志异常监控装置的功能模块示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
本申请发明人通过对现有技术的研究,通过使用回归算法确定的异常检测模型,能够实现异常预警,但是回归算法,只能在连续区间上做出预警,比如CPU(centralprocessing unit,中央处理器)使用率、内存使用率等,只能产生单条报警,对于离散型的问题,比如,登录失败、操作***夯死、服务器模拟失败、操作***Agent状态等,却不能实现预警。
基于上述问题,本申请发明人对此进行了研究,通常情况下,告警的产生都是有异常之间可能存在关联的,有些异常可能是前置的,前置的异常会触发之后的一系列其它异常。
基于上述研究,本申请实施例提供了日志异常监控方法、装置、电子设备及计算机可读存储介质,能够针对性地解决上述技术问题。本申请实施例在预警的同时,还能预警出可能会发生的相关联告警。下面通过几个实施例进行描述。
实施例一
为便于对本实施例进行理解,首先对执行本申请实施例所公开的日志异常监控方法的电子设备进行详细介绍。
如图1所示,是电子设备的方框示意图。电子设备100可以包括存储器111、存储控制器112、处理器113、外设接口114、输入输出单元115、显示单元116。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对电子设备100的结构造成限定。例如,电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
上述的存储器111、存储控制器112、处理器113、外设接口114、输入输出单元115及显示单元116各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。上述的处理器113用于执行存储器中存储的可执行模块。
其中,存储器111可以是,但不限于,随机存取存储器(Random Access Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(ProgrammableRead-Only Memory,简称PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,简称EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,简称EEPROM)等。其中,存储器111用于存储程序,所述处理器113在接收到执行指令后,执行所述程序,本申请实施例任一实施例揭示的过程定义的电子设备100所执行的方法可以应用于处理器113中,或者由处理器113实现。
上述的处理器113可能是一种集成电路芯片,具有信号的处理能力。上述的处理器113可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(digital signalprocessor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
上述的外设接口114将各种输入/输出装置耦合至处理器113以及存储器111。在一些实施例中,外设接口114,处理器113以及存储控制器112可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
上述的输入输出单元115用于提供给用户输入数据。所述输入输出单元115可以是,但不限于,鼠标和键盘等。
上述的显示单元116在电子设备100与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。
本实施例中的电子设备100可以用于执行本申请实施例提供的各个方法中的各个步骤。下面通过几个实施例详细描述日志异常监控方法的实现过程。
实施例二
请参阅图2,是本申请实施例提供的日志异常监控方法的流程图。下面将对图2所示的具体流程进行详细阐述。
步骤201,获取指定时间段的监控日志数据。
可选地,上述的指定时间段为需要预测时间点之前的指定节点至该需要预测时间点之间的时间段。示例性地,需要预测时间点为A时间点,一设定时长为B,则指定时间段可以表示为:A-B时间点至A时间点对应的时间段。
示例性地,监控日志数据中可以包括多篇监控日志,监控日志用于记录计算机的运行数据等。例如,运行数据可以包括计算机CPU使用率、内容占用率、网速、磁盘读写速度等数据。再例如,运行数据还可以包括:登录失败、操作***夯死、服务器模拟失败、操作***Agent状态。
步骤202,将所述指定时间段的监控日志数据输入日志异常检测模型中进行检测,以确定所述指定时间段是否存在异常。
可选地,日志异常检测模型通过以下方式确定:将历史监控数据输入异常检测算法进行训练,以得到所述日志异常检测模型。
可选地,异常检测算法为可扩展的Python异常检测算法(PYOD,Python OutlierDetection)、局部离群因子检测算法(Local Outlier Factor,LOF)、基于直方图的异常值得分算法(Histogram-based Outlier Score,HBOS)、孤立森林算法(Isolation Forest,Iforest)、基于聚类的局部离群因子检测算法(clustering Local Outlier Factor,LOF)中的任意一种。
示例性地,上述异常可以是CPU使用率、内存使用率将超过阈值。例如,CPU使用率为99%。CPU使用率过高。
步骤203,若所述指定时间段内存在目标异常,则根据所述目标异常从预存的异常告警频繁模式集确定出与所述目标异常关联的关联异常。
本实施例中,异常告警频繁模式集中存储有各个异常,以及与各个异常关联的异常集。
步骤203可以包括:查找所述预存的异常告警频繁模式集中所述目标异常所在的目标异常集;根据所述目标异常集确定出与所述目标异常关联的关联异常。
在一种实施方式中,首先,通过日志异常检测模型检测,得到计算机可能存在一目标异常U1。其次,在异常告警频繁模式集中搜索异常U1,可以查找出异常U1所在的集合,异常集M1、异常M2、异常M3。可选地,可以将异常集M1、异常M2、异常M3中的所有异常作为关联异常。
在另一种实施方式中,首先,通过日志异常检测模型检测,得到计算机可能存在一目标异常U2。其次,在异常告警频繁模式集中搜索异常U2,可以查找出异常U2所在的集合,异常集M4、异常M5、异常M6。可选地,可以将异常集M4、异常M5、异常M6中与排列距离与异常U2距离小于指定数值的所有异常作为关联异常。示例性地,每个异常集合可以按照关联性由高到低依次排序。相邻的异常两项异常同时发生的概率最大。
在另一种实施方式中,异常告警频繁模式集中可以包括多个异常集,每个异常集中包括诱因异常以及关联异常。每个异常集中可以表示的信息包括:如果诱因异常发生,则随后可能会导致关联异常发生。例如,{异常Ua:(异常Ub,异常Uc},其中,异常Ua为诱因异常,异常Ub和异常Uc为关联异常。其中,异常集{异常Ua:(异常Ub,异常Uc}中,如果异常Ua已经发生,则关联异常Ub和异常Uc也将发生。在此实施方式中,步骤203可以包括:在预存的异常告警频繁模式集中查找所述目标异常作为诱因异常的目标异常集;将所述目标异常集中的所有关联异常作为所述目标异常关联的关联异常。
步骤204,根据所述目标异常以及所述关联异常输出告警。
在一种实施方式中,步骤204可以包括:输出所述目标异常对应的事件告警,以及输出可能产生所述关联异常的概率告警。
示例性地,异常告警频繁模式集中的每个异常集中可以包括诱因异常、关联异常、以及关联异常的发生概率。例如,{异常Ua:(异常Ub,0.7;异常Uc,0.6},如果异常Ua发生,则异常Ub发生的概率为0.7,则异常Uc发生的概率为0.6。
示例性地,如果步骤202检测出的目标异常是Ua,且异常Ua是CPU使用率超阈值;此示例中,步骤204可以被实施为:输出CPU使用率超阈值的报警消息,且输出异常Ub发生的概率为0.7和异常Uc发生的概率为0.6的提示消息。
在另一种实施方式中,步骤204可以包括:输出在所述指定时间段对应的未来一时间节点可能产生所述目标异常和所述关联异常的事件告警。
以上述实例为例,步骤204还可以被实施为:输出CPU使用率超阈值的报警消息,且输出异常Ub和异常Uc可能发生的报警消息。
本实施例中,如图3所示,日志异常监控方法还可以包括以下步骤。
步骤205,获取异常关联信息。
示例性地,上述的异常关联信息可以由指定用户终端上传的关联信息。例如,异常关联信息可以包括:登录失败与操作***夯存在关联;登录失败与网络异常存在关联等。
步骤206,根据所述异常关联信息对所述异常告警频繁模式集进行更新。
示例性地,可以将上述的异常关联信息形成新的异常集添加到异常告警频繁模式集中。
示例性地,可以将上述的异常关联信息中的异常,添加至异常告警频繁模式集中的已经存在异常关联信息中的异常的异常集中。
本实施例中,如图4所示,日志异常监控方法还可以包括:
步骤207,按照设定时间规律获取更新的线上日志。
示例性地,线上日志可以包括各个时间点所发生的异常。
示例性地,上述的设定时间规律可以是每个预设周期获得线上日志。示例性地,上述的预设周期可以是一天一周期、一周一周期、两天一周期等。
步骤208,根据所述更新的线上日志对所述异常告警频繁模式集进行更新。
可选地,可以将线上日志作为训练数据输入关联规则挖掘模型进行更新训练,以得到具有关联性的异常。然后,使用关联性的异常对异常告警频繁模式集进行更新。
示例性地,关联规则挖掘模型可以使用FPGrowth算法。
示例性地,关联规则挖掘模型用于采集到的线上日志的关联关系。
可选地,通过上述关联规则挖掘模型挖掘出的异常集合可以包括相互关联的异常,以及各个关联的异常的置信度。例如,异常集可以是{异常Uq:(异常Uw,异常Ue),0.6},表示异常Uq如果发生,那么随后可能会发生异常Uw和异常Ue,概率是0.6。
本实施例中,通过上述的步骤205-208自学习反馈过程能够使异常告警频繁模式集自动更新,从而可以使异常的检测能够更加准确。
本实施例中的日志异常监控方法,通过日志异常检测模型和异常告警频繁模式集结合的检测,提前输出告警预警并输出与此告警相关的关联告警,从而可以使相关维护人员能够更早获知计算机的情况,提高计算机的安全性。
进一步地,还能够自学习并更新异常告警频繁模式集,从而可以使检测得到的异常以及关联异常能够更加地准确。
实施例三
基于同一申请构思,本申请实施例中还提供了与日志异常监控方法对应的日志异常监控装置,由于本申请实施例中的装置解决问题的原理与前述的日志异常监控方法实施例相似,因此本实施例中的装置的实施可以参见上述方法的实施例中的描述,重复之处不再赘述。
请参阅图5,是本申请实施例提供的日志异常监控装置的功能模块示意图。本实施例中的日志异常监控装置中的各个模块用于执行上述方法实施例中的各个步骤。日志异常监控装置包括:获取模块301、检测模块302、确定模块303以及输出模块304;其中,
获取模块301,用于获取的指定时间段的监控日志数据;
检测模块302,用于将所述指定时间段的监控日志数据输入日志异常检测模型中进行检测,以得到所述指定时间段是否存在异常;
确定模块303,用于若所述指定时间段内存在目标异常,则根据所述目标异常从预存的异常告警频繁模式集确定出与所述目标异常关联的关联异常,所述异常告警频繁模式集中存储有各个异常,以及各个异常关联的异常集;
输出模块304,用于根据所述目标异常以及所述关联异常输出告警。
一种可能的实施方式中,输出模块304,用于:
输出所述目标异常对应的事件告警;
输出可能产生所述关联异常的概率告警。
一种可能的实施方式中,输出模块304,用于:
输出在所述指定时间段对应的未来一时间节点可能产生所述目标异常和所述关联异常的事件告警。
一种可能的实施方式中,确定模块303,用于:
查找所述预存的异常告警频繁模式集中所述目标异常所在的目标异常集;
根据所述目标异常集确定出与所述目标异常关联的关联异常。
一种可能的实施方式中,本实施例中的日志异常监控装置还可以包括:
训练模块,用于将历史监控数据输入异常检测算法进行训练,以得到所述日志异常检测模型,所述异常检测算法为可扩展的Python工具包算法、局部离群因子检测算法、基于直方图的异常值得分算法、孤立森林算法中的任意一种。
一种可能的实施方式中,本实施例中的日志异常监控装置还可以包括:
第一获取模块,用于获取异常关联信息;
第一更新模块,用于根据所述异常关联信息对所述异常告警频繁模式集进行更新。
一种可能的实施方式中,本实施例中的日志异常监控装置还可以包括:
第二获取模块,用于按照设定时间规律获取更新的线上日志;
第二更新模块,用于根据所述更新的线上日志对所述异常告警频繁模式集进行更新。
此外,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中所述的日志异常监控方法的步骤。
本申请实施例所提供的日志异常监控方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行上述方法实施例中所述的日志异常监控方法的步骤,具体可参见上述方法实施例,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种日志异常监控方法,其特征在于,包括:
获取指定时间段的监控日志数据;
将所述指定时间段的监控日志数据输入日志异常检测模型中进行检测,以确定所述指定时间段是否存在异常;
若所述指定时间段内存在目标异常,则根据所述目标异常从预存的异常告警频繁模式集确定出与所述目标异常关联的关联异常,所述异常告警频繁模式集中存储有各个异常,以及与所述各个异常关联的异常集;
根据所述目标异常以及所述关联异常输出告警。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标异常以及所述关联异常输出告警的步骤,包括:
输出所述目标异常对应的事件告警;
输出可能产生所述关联异常的概率告警。
3.根据权利要求1所述的方法,其特征在于,所述根据所述目标异常以及所述关联异常输出告警的步骤,包括:
输出在所述指定时间段对应的未来一时间节点可能产生所述目标异常和所述关联异常的事件告警。
4.根据权利要求1所述的方法,其特征在于,所述根据所述目标异常从预存的异常告警频繁模式集确定出与所述目标异常关联的关联异常的步骤,包括:
查找所述预存的异常告警频繁模式集中所述目标异常所在的目标异常集;
根据所述目标异常集确定出与所述目标异常关联的关联异常。
5.根据权利要求1-4任意一项所述的方法,其特征在于,所述日志异常检测模型通过以下方式确定:
将历史监控数据输入异常检测算法进行训练,以得到所述日志异常检测模型,所述异常检测算法为可扩展的Python异常检测算法、局部离群因子检测算法、基于直方图的异常值得分算法、孤立森林算法中的任意一种。
6.根据权利要求1-4任意一项所述的方法,其特征在于,所述方法还包括:
获取异常关联信息;
根据所述异常关联信息对所述异常告警频繁模式集进行更新。
7.根据权利要求1-4任意一项所述的方法,其特征在于,所述方法还包括:
按照设定时间规律获取更新的线上日志;
根据所述更新的线上日志对所述异常告警频繁模式集进行更新。
8.一种日志异常监控装置,其特征在于,包括:
获取模块,用于获取的指定时间段的监控日志数据;
检测模块,用于将所述指定时间段的监控日志数据输入日志异常检测模型中进行检测,以得到所述指定时间段是否存在异常;
确定模块,用于若所述指定时间段内存在目标异常,则根据所述目标异常从预存的异常告警频繁模式集确定出与所述目标异常关联的关联异常,所述异常告警频繁模式集中存储有各个异常,以及各个异常关联的异常集;
输出模块,用于根据所述目标异常以及所述关联异常输出告警。
9.一种电子设备,其特征在于,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行如权利要求1至7任一所述的方法的步骤。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至7任一所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010520925.4A CN111666198A (zh) | 2020-06-10 | 2020-06-10 | 日志异常监控方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010520925.4A CN111666198A (zh) | 2020-06-10 | 2020-06-10 | 日志异常监控方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111666198A true CN111666198A (zh) | 2020-09-15 |
Family
ID=72386522
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010520925.4A Pending CN111666198A (zh) | 2020-06-10 | 2020-06-10 | 日志异常监控方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111666198A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112712113A (zh) * | 2020-12-29 | 2021-04-27 | 广州品唯软件有限公司 | 一种基于指标的告警方法、装置及计算机*** |
| CN113890821A (zh) * | 2021-09-24 | 2022-01-04 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
| CN114039837A (zh) * | 2021-11-05 | 2022-02-11 | 奇安信科技集团股份有限公司 | 告警数据处理方法、装置、***、设备和存储介质 |
| CN114301768A (zh) * | 2020-09-23 | 2022-04-08 | ***通信集团广东有限公司 | 网络功能虚拟化nfv设备的异常检测方法及装置 |
| CN114650240A (zh) * | 2022-03-10 | 2022-06-21 | 网宿科技股份有限公司 | 一种业务数据的异常检测方法及装置 |
| CN114816950A (zh) * | 2021-01-21 | 2022-07-29 | 腾讯科技(深圳)有限公司 | 数据监控方法、装置及电子设备 |
| CN115348150A (zh) * | 2022-08-11 | 2022-11-15 | 睿云奇智(重庆)科技有限公司 | 一种异常告警方法及装置 |
| CN115865611A (zh) * | 2021-09-24 | 2023-03-28 | ***通信集团湖南有限公司 | 一种网络设备的故障处理方法、装置及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935601A (zh) * | 2015-06-19 | 2015-09-23 | 北京奇虎科技有限公司 | 基于云的网站日志安全分析方法、装置及*** |
| CN108683562A (zh) * | 2018-05-18 | 2018-10-19 | 深圳壹账通智能科技有限公司 | 异常检测定位方法、装置、计算机设备及存储介质 |
| CN109617745A (zh) * | 2019-01-11 | 2019-04-12 | 云智慧(北京)科技有限公司 | 告警预测方法、装置、***及存储介质 |
-
2020
- 2020-06-10 CN CN202010520925.4A patent/CN111666198A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935601A (zh) * | 2015-06-19 | 2015-09-23 | 北京奇虎科技有限公司 | 基于云的网站日志安全分析方法、装置及*** |
| CN108683562A (zh) * | 2018-05-18 | 2018-10-19 | 深圳壹账通智能科技有限公司 | 异常检测定位方法、装置、计算机设备及存储介质 |
| CN109617745A (zh) * | 2019-01-11 | 2019-04-12 | 云智慧(北京)科技有限公司 | 告警预测方法、装置、***及存储介质 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301768A (zh) * | 2020-09-23 | 2022-04-08 | ***通信集团广东有限公司 | 网络功能虚拟化nfv设备的异常检测方法及装置 |
| CN112712113A (zh) * | 2020-12-29 | 2021-04-27 | 广州品唯软件有限公司 | 一种基于指标的告警方法、装置及计算机*** |
| CN112712113B (zh) * | 2020-12-29 | 2024-04-09 | 广州品唯软件有限公司 | 一种基于指标的告警方法、装置及计算机*** |
| CN114816950B (zh) * | 2021-01-21 | 2024-03-22 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置及电子设备 |
| CN114816950A (zh) * | 2021-01-21 | 2022-07-29 | 腾讯科技(深圳)有限公司 | 数据监控方法、装置及电子设备 |
| CN113890821A (zh) * | 2021-09-24 | 2022-01-04 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
| CN113890821B (zh) * | 2021-09-24 | 2023-11-17 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
| CN115865611A (zh) * | 2021-09-24 | 2023-03-28 | ***通信集团湖南有限公司 | 一种网络设备的故障处理方法、装置及电子设备 |
| CN114039837B (zh) * | 2021-11-05 | 2023-10-31 | 奇安信科技集团股份有限公司 | 告警数据处理方法、装置、***、设备和存储介质 |
| CN114039837A (zh) * | 2021-11-05 | 2022-02-11 | 奇安信科技集团股份有限公司 | 告警数据处理方法、装置、***、设备和存储介质 |
| CN114650240A (zh) * | 2022-03-10 | 2022-06-21 | 网宿科技股份有限公司 | 一种业务数据的异常检测方法及装置 |
| CN115348150B (zh) * | 2022-08-11 | 2023-10-24 | 睿云奇智(重庆)科技有限公司 | 一种异常告警方法及装置 |
| CN115348150A (zh) * | 2022-08-11 | 2022-11-15 | 睿云奇智(重庆)科技有限公司 | 一种异常告警方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111666198A (zh) | 日志异常监控方法、装置及电子设备 | |
| US11009862B2 (en) | System and method for monitoring manufacturing | |
| US10809704B2 (en) | Process performance issues and alarm notification using data analytics | |
| JP6652699B2 (ja) | アノマリ評価プログラム、アノマリ評価方法、および情報処理装置 | |
| US10444121B2 (en) | Fault detection using event-based predictive models | |
| JP2018045403A (ja) | 異常検知システム及び異常検知方法 | |
| JP6456580B1 (ja) | 異常検知装置、異常検知方法及び異常検知プログラム | |
| CA2930623A1 (en) | Method and system for aggregating and ranking of security event-based data | |
| US10599501B2 (en) | Information processing device, information processing method, and recording medium | |
| JP2018010608A (ja) | 制御システム用のコンテキストベースのオペレータ支援の方法およびシステム | |
| JP6531079B2 (ja) | スマートアラートのためのシステム及び方法 | |
| Hall et al. | The state of machine learning methodology in software fault prediction | |
| CN112818066A (zh) | 一种时序数据异常检测方法、装置及电子设备和存储介质 | |
| CN112929381B (zh) | 一种虚假注入数据的检测方法、装置设备和存储介质 | |
| JP2020052714A5 (zh) | ||
| Golmakani | Optimal age-based inspection scheme for condition-based maintenance using A* search algorithm | |
| CN111651340B (zh) | 告警数据规则挖掘方法、装置及电子设备 | |
| JP6582527B2 (ja) | アラーム予測装置、アラーム予測方法及びプログラム | |
| US10360249B2 (en) | System and method for creation and detection of process fingerprints for monitoring in a process plant | |
| US11188064B1 (en) | Process flow abnormality detection system and method | |
| Moore et al. | Process visualization in medical device manufacture: an adaptation of short run SPC techniques | |
| US11747035B2 (en) | Pipeline for continuous improvement of an HVAC health monitoring system combining rules and anomaly detection | |
| JP2013182471A (ja) | プラントオペレーションの負荷評価装置 | |
| Hanamori et al. | Real-time monitoring solution to detect symptoms of system anomalies | |
| Barghout | A two-stage non-parametric software reliability model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200915 |
|
| RJ01 | Rejection of invention patent application after publication |