CN111984499B

CN111984499B - 一种大数据集群的故障检测方法和装置

Info

Publication number: CN111984499B
Application number: CN202010773292.8A
Authority: CN
Inventors: 洪毅清; 吕文栋; 蔡淑莲; 钟文杰
Original assignee: China Construction Bank Corp
Current assignee: China Construction Bank Corp
Priority date: 2020-08-04
Filing date: 2020-08-04
Publication date: 2024-05-28
Anticipated expiration: 2040-08-04
Also published as: CN111984499A

Abstract

本发明公开了一种大数据集群的故障检测方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：采集大数据集群的指标数据和日志数据；根据所述指标数据和日志数据确定异常信息及其对应的处理方案；对所述异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中；基于所述运维库中的学习结果对所述大数据集群进行故障检测。该实施方式能够解决故障根源检测难和运维成本高的技术问题。

Description

一种大数据集群的故障检测方法和装置

技术领域

本发明涉及计算机技术领域，尤其涉及一种大数据集群的故障检测方法和装置。

背景技术

随着业务的发展，大数据集群的运行管理，呈现出以下痛点：

(1)“慢”：业务运行环境越来越复杂，故障检测慢，各种业务***、大数据***越来越多，***对IT资源的依赖性高，***一旦出现任何问题，需要逐个排除，故障检测难。

(2)“繁”：运维工作繁重，缺少自动化工具和手段，运维人员每天面临大量的重复性、手工性的故障排查工作，耗时耗力，容易出错，效率低。

(3)“乱”：运维工作没有流程化、规范化、电子化，日常大数据运维工作流程混乱，没有标准流程、造成工作效率低下，同时应用抱怨，投诉不减。

(4)“难以把控”：信息化建设投入巨大，难以展现效果。运维人员天天疲于奔命，工作量如何度量，质量无法把控！

目前对于大数据相关集群的故障检测技术较为匮乏，对于集群负载情况监控、日志排查、故障分析、故障排除等信息无法直观体现，且企业级数据仓库中，大数据相关的集群数量众多，集群规模巨大，管理非常复杂，没有统一的运行管理界面，往往顾此失彼。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

现有的大数据集群的故障检测主要是依赖人工方式，以专家法进行手动运维，或者是针对操作***层面的如CPU、内存、硬盘、网络等基础资源进行基础监控。

现有的大数据集群的故障检测只能针对单个集群进行管理，且多是对单台的操作***的底层指标进行监控，存在着以下的缺点：

无法对多个大数据集群进行统一监控管理及快速查询，无法满足企业统一化管理需求；

存在数据分析的困难：查询难、分析难、比对难；

故障检测：人员利用率低、故障根源检测难；

运维成本：成本高、效率低，业务投诉多、***风险高。

发明内容

有鉴于此，本发明实施例提供一种大数据集群的故障检测方法和装置，以解决故障根源检测难和运维成本高的技术问题。

为实现上述目的，根据本发明实施例的一个方面，提供了一种大数据集群的故障检测方法，包括：

采集大数据集群的指标数据和日志数据；

根据所述指标数据和日志数据确定异常信息及其对应的处理方案；

对所述异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中；

基于所述运维库中的学习结果对所述大数据集群进行故障检测。

可选地，所述指标数据包括操作***进程、单台服务器、分布式服务和分布式集群的指标数据。

可选地，所述单台服务器的指标数据包括：主机名配置检查、NTP偏移量检查、平均负载、主机磁盘读写效率、CPU使用率、主机文件句柄使用率、主机网络状态及负载、HA状态检查、关键目录检查、内存使用率、硬件状态检查、SWAP使用率、主机状态检查、告警信息、错误信息。

可选地，所述操作***进程的指标数据包括：大数据进程存活状态、多线程信息、进程拥塞情况、堆栈使用情况。

可选地，所述分布式服务的指标数据包括：启停状态、Kerberos身份认证机制连通状态、关键进程健康状态、数据库连通状态、服务状态和告警信息。

可选地，所述分布式集群的指标数据包括：集群主机健康状态统计、主机网络读写速率分布、主机磁盘占用率分布、主机内存占用率分布和主机CPU占用率分布。

可选地，根据所述指标数据和日志数据确定异常信息及其对应的处理方案，包括：

根据所述指标数据和日志数据确定异常信息；

根据所述异常信息确定对应的处理方案。

可选地，所述异常信息包括：异常点、所述异常点产生时的上下文信息、异常分类、异常关键字和异常详细信息；

根据所述指标数据和日志数据确定异常信息，包括：

对所述指标数据进行异常点检测，得到异常点；

根据所述日志数据确定异常点产生时的上下文、异常分类、异常关键字和异常详细信息。

可选地，根据所述指标数据和日志数据确定异常信息及其对应的处理方案之前，还包括：

对采集的日志数据进行标准化操作；

对标准化操作后的日志数据进行聚合操作；

对聚合操作后的日志数据进行异常点检测。

可选地，对采集的日志数据进行标准化操作，包括：

使用Linux的***sed命令和awk命令，对日志数据进行标准化工作，从而将所述日志数据映射成多元组。

可选地，使用Linux的***sed命令和awk命令，对日志数据进行标准化工作，包括：

使用sed命令，实现对数据进行替换、删除、新增以及特定行的选取等操作；

使用awk命令，将一行分成多个字段来处理，并结合grep命令过滤特定字符的行，使用split命令切分字符串。

可选地，所述多元组包括：产生时间、应用或组件的名称、IP地址、详细内容和备注。

可选地，对标准化操作后的日志数据进行聚合操作，包括：

基于概念聚类算法对标准化操作后的日志数据进行聚合计算，并进行多维度字段的聚合，使得告警合并或者聚合成关联事件。

可选地，所述聚合的维度字段包括：时间、地点、业务线、服务和接口。

可选地，对聚合操作后的日志数据进行异常点检测，包括：

使用基于正态分布的一元或多元异常点检测方法对聚合操作后的日志数据进行异常点检测，检测低维度数据集中的异常点；

使用基于独立森林算法对聚合操作后的日志数据进行异常点检测，检测高维度数据集中的异常点。

可选地，对所述异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中，包括：

基于关联规则的相关性分析对所述异常信息及其对应的处理方案进行分析，生成关联规则；

基于所述异常信息中频繁出现的属性值集，将告警事件与所述关联规则进行匹配，从而得到关于故障根源的告警组合；

将所述告警组合及其对应的处理方案存储到运维库中。

可选地，基于所述运维库中的学习结果对所述大数据集群进行故障检测，包括：

对标记为具有异常点的每条日志进行分词处理，提取状态相关的关键字；

查询运维库，并通过关键字与运维库的全文检索匹配，若完全匹配，则向用户直接返回运维库中的处理方案；如无完全匹配，则利用模糊匹配识别方法，找出相似的关联指标和事件，辅助用户对日志进行对比和规律挖掘，从而进行故障检测。

另外，根据本发明实施例的另一个方面，提供了一种大数据集群的故障检测装置，包括：

采集模块，用于采集大数据集群的指标数据和日志数据；

确定模块，用于根据所述指标数据和日志数据确定异常信息及其对应的处理方案；

学习模块，用于对所述异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中；

检测模块，用于基于所述运维库中的学习结果对所述大数据集群进行故障检测。

可选地，所述确定模块还用于：

根据所述指标数据和日志数据确定异常信息；

根据所述异常信息确定对应的处理方案。

所述确定模块还用于：

对所述指标数据进行异常点检测，得到异常点；

可选地，所述确定模块还用于：

根据所述指标数据和日志数据确定异常信息及其对应的处理方案之前，对采集的日志数据进行标准化操作；

对标准化操作后的日志数据进行聚合操作；

对聚合操作后的日志数据进行异常点检测。

可选地，所述确定模块还用于：

可选地，所述学习模块还用于：

将所述告警组合及其对应的处理方案存储到运维库中。

可选地，所述检测模块还用于：

根据本发明实施例的另一个方面，还提供了一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行时，所述一个或多个处理器实现上述任一实施例所述的方法。

根据本发明实施例的另一个方面，还提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现上述任一实施例所述的方法。

上述发明中的一个实施例具有如下优点或有益效果：因为采用根据指标数据和日志数据确定异常信息及其对应的处理方案，对异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中，基于运维库中的学习结果对所述大数据集群进行故障检测的技术手段，所以克服了现有技术中故障根源检测难和运维成本高的技术问题。本发明实施例对日志中的各种维度的告警进行抽象聚合、收敛为少量的事件，从而可以有效地减少告警数量，避免真正有用的告警信息淹没到海量的无用告警信息中，从而能够快速、准确地检测出故障，并降低运维成本。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是根据本发明实施例的大数据集群的故障检测方法的主要流程的示意图；

图2是根据本发明一个可参考实施例的大数据集群的故障检测方法的主要流程的示意图；

图3是根据本发明另一个可参考实施例的大数据集群的故障检测方法的主要流程的示意图；

图4是根据本发明实施例的大数据集群的故障检测装置的主要模块的示意图；

图5是本发明实施例可以应用于其中的示例性***架构图；

图6是适于用来实现本发明实施例的终端设备或服务器的计算机***的结构示意图。

具体实施方式

以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

本发明涉及的技术领域是实现大数据集群的故障检测，以实现对多个MPP并行数据库集群、多个Hadoop大数据集群等大数据产品进行故障检测及管理。

图1是根据本发明实施例的大数据集群的故障检测方法的主要流程的示意图。作为本发明的一个实施例，如图1所示，所述大数据集群的故障检测方法可以包括：

步骤101，采集大数据集群的指标数据和日志数据。

可以使用探针技术采集大数据集群的指标数据，还可以通过Filebeat采集***日志、应用日志等日志数据，以实现对大数据集群的全方位数据采集能力，为后续的日志分析及故障检测收集尽可能多的数据。比如，基于网络探针、***资源探针获取集群中服务器资源的CPU、内存、磁盘等实时性能指标数据；基于Filebeat轻量级日志采集器获取大数据集群的***日志和应用日志等日志数据。

可选地，所述指标数据包括操作***进程、单台服务器、分布式服务和分布式集群的指标数据。本发明实施例对大数据集群进行由细到粗(即操作***进程->单台服务器->分布式服务->分布式集群)的不同粒度的指标采集，并汇聚成指标数据。

可选地，所述单台服务器的指标数据包括：主机名配置检查、NTP偏移量检查、平均负载、主机磁盘读写效率、CPU使用率、主机文件句柄使用率、主机网络状态及负载、HA状态检查、关键目录检查、内存使用率、硬件状态检查、SWAP使用率、主机状态检查、告警信息、错误信息。可选地，所述操作***进程的指标数据包括：大数据进程存活状态、多线程信息、进程拥塞情况、堆栈使用情况。可选地，所述分布式服务的指标数据包括：启停状态、Kerberos身份认证机制连通状态、关键进程健康状态、数据库连通状态、服务状态和告警信息。可选地，所述分布式集群的指标数据包括：集群主机健康状态统计、主机网络读写速率分布、主机磁盘占用率分布、主机内存占用率分布和主机CPU占用率分布。可以对这些指标分别设置告警阈值，一旦超过阈值，则触发告警。

步骤102，根据所述指标数据和日志数据确定异常信息及其对应的处理方案。

可选地，步骤102可以包括：根据所述指标数据和日志数据确定异常信息；根据所述异常信息确定对应的处理方案。可选地，所述异常信息包括：异常点、所述异常点产生时的上下文信息、异常分类、异常关键字和异常详细信息；相应地，步骤102可以包括：对所述指标数据进行异常点检测，得到异常点；根据所述日志数据确定异常点产生时的上下文、异常分类、异常关键字和异常详细信息。如果指标数据超过告警阈值，说明发生了异常，则触发告警，同时结合日志数据确定异常点产生时的上下文、异常分类、异常关键字和异常详细信息。

可选地，在步骤102之前，还包括：对采集的日志数据进行标准化操作；对标准化操作后的日志数据进行聚合操作；对聚合操作后的日志数据进行异常点检测。通过对日志数据进行处理和分析可以定位出异常点产生时的上下文、异常分类、异常关键字和异常详细信息。

可选地，对采集的日志数据进行标准化操作，包括：使用Linux的***sed命令和awk命令，对日志数据进行标准化工作，从而将所述日志数据映射成多元组。可选地，使用Linux的***sed命令和awk命令，对日志数据进行标准化工作，包括：使用sed命令，实现对数据进行替换、删除、新增以及特定行的选取等操作；使用awk命令，将一行分成多个字段来处理，并结合grep命令过滤特定字符的行，使用split命令切分字符串。可选地，所述多元组包括：产生时间、应用或组件的名称、IP地址、详细内容和备注。

因实时指标数据规范，都是按照<时间，集群名，服务名，IP地址，进程名，指标名，指标值，备注>八元组进行组织，无需再额外进行规范化操作，因此需要针对日志数据进行标准化操作。日志数据的标准化操作，可以使用Linux的***sed命令和awk命令，对来自大数据集群的多个异构***的日志数据进行标准化工作：使用sed命令，实现对数据进行替换、删除、新增以及特定行的选取等操作，如’nl/var/log/ngin x.log|sed‘2a test”，即可在日志文件nginx.log的第2行添加一列；使用a wk命令，则可以将一行分成多个“字段”来处理，并结合grep命令用来过滤特定字符的行，使用split命令用来切分字符串，最后将不同格式的日志，统一映射成五元组<产生时间，应用或组件的名称，IP地址，详细内容，备注>，使得日志内容标准化为机器可理解，格式相对统一，并能够进行如能够说明来源的业务线、服务等自我标识，以提高自动化程度，并方便对故障的分析和检测。

可选地，对标准化操作后的日志数据进行聚合操作，包括：基于概念聚类算法对标准化操作后的日志数据进行聚合计算，并进行多维度字段的聚合，使得告警合并或者聚合成关联事件。可选地，所述聚合的维度字段包括：时间、地点、业务线、服务和接口。

日志聚合，一方面是对日志数据进行数量计数，抽样获取数据等，获得一些统计信息，如计数(有多少条告警日志)；另一方面是基于数据的维度(字段)进行多维度的聚合，如通常日志数据中都有时间、地点、业务线、服务、接口等维度字段，因此可以基于时间维度对日志数据进行聚合收敛，聚合成一条日志，减少重复的日志数据，如将5分钟内***中所有30条关于某台服务器的网络故障的日志数据或告警信息聚合成1条告警(每10秒检测一次)，即显示该机器在这5分钟内都处于同一个故障中。

针对标准化后的数据，基于概念聚类算法AOI(Attribute Oriented Induction基于属性的归纳)，进行聚合计算(计数、平均、抽样等)及多维度的聚合(包括时间、地点、业务线、服务、接口)，实现告警信息的降低维度，并进行告警合并或聚合成关联事件。比如某流式计算集群，当某个IP写入队列的接口耗时变长(超过***设置的告警收敛阈值)，这时候告警的IP属性会被更抽象的“队列服务池”替代，同样地，“队列服务池”也可以被“机房”替换，最终各种维度的告警经过几层抽象会被聚合、收敛为少量的事件，从而可以有效地减少告警数量，避免真正有用的告警信息淹没到海量的无用告警信息中。

可选地，对聚合操作后的日志数据进行异常点检测，包括：使用基于正态分布的一元或多元异常点检测方法对聚合操作后的日志数据进行异常点检测，检测低维度数据集中的异常点；使用基于独立森林算法对聚合操作后的日志数据进行异常点检测，检测高维度数据集中的异常点。

本发明实施例能够从海量的日志数据中获取可能是故障的异常点：

(1)针对低维度的日志数据，通过基于正态分布的一元或多元异常点检测方法，基于数据，构建一个概率分布模型，得出模型的概率密度函数，通过判定点到正态分布中心的距离来检测异常点(通常异常点的概率是比较低的，离正态分布的中心比较远)，基本思想是计算对象与周围对象的差异，得分越高，越有可能是异常点。

(2)针对高维数据和海量数据，可使用独立森林算法进行异常检测，首先构建随机二叉树，每个节点有左子树和右子树或者无子节点。随机二叉树构造完成后，接下来对数据进行预测：把数据记录从随机二叉树根节点开始搜索，确定记录落在哪个叶子节点上，该算法假设异常点是很稀有的，在随机二叉树中，异常值一般表现为叶子节点到根节点的路径很短，距离很短的就极有可能是异常点。但是由于随机树是不稳定的，可以把多棵随机二叉树结合起来，形成独立森林就可以较稳定地检测异常。

因此，通过使用基于正态分布的异常检测方法、独立森林等异常检测算法，来检测发现日志数据中的异常值。需要指出的是，高维数据和低维数据主要的差别在于维度的多少，低维数据一般字段较为简单，各个属性之间没有关联，如简单的日志数据<时间，IP地址，日志指标，日志指标值>；高维数据一般格式为<时间，IP地址，<日志指标1，日志指标值1>,<日志指标2，日志指标值2>...<日志指标n，日志指标值n>>，日志分析需要联合日志指标1，日志指标2...日志指标m等多个或所有指标来分析。

步骤103，对所述异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中。

可选地，步骤103可以包括：基于关联规则的相关性分析对所述异常信息及其对应的处理方案进行分析，生成关联规则；基于所述异常信息中频繁出现的属性值集，将告警事件与所述关联规则进行匹配，从而得到关于故障根源的告警组合；将所述告警组合及其对应的处理方案存储到运维库中。

故障一般会通过事件、错误、症状表现出来，通过基于关联规则的相关性分析，挖掘这些事件、错误、告警数据之间的联系，用来辅助对故障的检测、预测及预防。基于关联规则的相关性分析，是一种基于规则的机器学习算法，可基于FP树生成频繁项集的FP-growth算法，该算法可直接将数据集压缩成一个频繁模式树，最后根据这颗数生产关联规则或通过采用一些度量指标来分辨数据集中存在的强规则。这些关联规则生成后，可以用来辅助进行事件(错误、告警)的相关性分析，当一个告警/事件发生时，可用关联规则进行匹配，从而判断是独立的告警/事件，还是关联的告警/事件，从而确定故障的根源，检测故障。

比如，我们通过分析挖掘，得到如下告警事件的关联规则：{HBase大数据集群负载高}→{对象库延迟}，{对象库延迟}→{个人账户明细在线查询失败率高}；假设现在故障的症状是“个人账户明细在线查询失败率高”，则一定会收到“对象库延迟”和“HBase大数据集群负载高”相关的告警。当告警命中这两条规则后，一个简单的故障根源就可以被追踪到，即{HBase大数据集群负载高}→{对象库延迟}→{个人账户明细在线查询失败率高}。这时候，可以及时通知运维人员及时进行HBase大数据集群的扩容操作，以降低HBase大数据集群的负载，以提高关键应用“个人账户明细在线查询”的成功率。通过基于关联规则的相关性分析，实现从海量的***及应用日志数据集中，发现有用的关联或相关关系，即从数据识别出频繁出现的属性值集(频繁项集)，然后利用这些频繁项集创建描述关联关系规则的过程，可形成不同的告警组合，可预判即将产生哪些故障，可提前通知到运维人员，从而实现故障的检测及预测预防。

步骤104，基于所述运维库中的学习结果对所述大数据集群进行故障检测。

可选地，步骤104可以包括：对标记为具有异常点的每条日志进行分词处理，提取状态相关的关键字；查询运维库，并通过关键字与运维库的全文检索匹配，若完全匹配，则向用户直接返回运维库中的处理方案；如无完全匹配，则利用模糊匹配识别方法，找出相似的关联指标和事件，辅助用户对日志进行对比和规律挖掘，从而进行故障检测。

可以通过使用ElsticSearch的IK分词器对所有标记为具有异常点的每条日志进行分词处理，提取状态相关的关键字(如warning、error、exception等)，并查询运维库，并通过日志关键字与运维库的全文检索匹配，若完全匹配，则向用户直接返回之前的处理方案；如无完全匹配，则利用模糊匹配等模式识别方法，找出相似的关联指标和事件，辅助用户对日志进行对比和规律挖掘，实现***故障或异常的检测发现。如果该关键字在运维库里面尚未存在，亦将此类关键字和告警信息记录进运维库，便于后续人工进行故障处理规则的添加。

本发明实施例通过监控关键指标快速检测如机器宕机、网络不通、硬盘故障等显性故障；通过日志分析，检测一些如作业报错、内存溢出、请求无响应等特征不明显或无法直接通过视觉进行判断的故障；通过基于机器学习的关联规则挖掘，来识别复杂告警中存在的隐匿关联故障，来实现对大数据集群的全方位监控、故障分析、优化解决方案，从而更直观的展现给用户使用，提升服务质量，降低管理成本。

根据上面所述的各种实施例，可以看出本发明实施例通过根据指标数据和日志数据确定异常信息及其对应的处理方案，对异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中，基于运维库中的学习结果对所述大数据集群进行故障检测的技术手段，解决了现有技术中故障根源检测难和运维成本高的技术问题。本发明实施例对日志中的各种维度的告警进行抽象聚合、收敛为少量的事件，从而可以有效地减少告警数量，避免真正有用的告警信息淹没到海量的无用告警信息中，从而能够快速、准确地检测出故障，并降低运维成本。

图2是根据本发明一个可参考实施例的大数据集群的故障检测方法的主要流程的示意图。作为本发明的又一个实施例，如图2所示，所述大数据集群的故障检测方法可以包括：

步骤201，采集大数据集群的指标数据和日志数据。

步骤202，对所述指标数据进行异常点检测，得到异常点。

步骤203，根据所述日志数据确定异常点产生时的上下文、异常分类、异常关键字和异常详细信息。

步骤204，根据所述异常点、异常点产生时的上下文、异常分类、异常关键字和异常详细信息确定对应的处理方案。

步骤205，基于关联规则的相关性分析对所述异常信息及其对应的处理方案进行分析，生成关联规则。

步骤206，基于所述异常信息中频繁出现的属性值集，将告警事件与所述关联规则进行匹配，从而得到关于故障根源的告警组合。

步骤207，将所述告警组合及其对应的处理方案存储到运维库中。

步骤208，对标记为具有异常点的每条日志进行分词处理，提取状态相关的关键字。

步骤209，查询运维库，并通过关键字与运维库的全文检索匹配，若完全匹配，则向用户直接返回运维库中的处理方案；如无完全匹配，则利用模糊匹配识别方法，找出相似的关联指标和事件，辅助用户对日志进行对比和规律挖掘，从而进行故障检测。

另外，在本发明一个可参考实施例中大数据集群的故障检测方法的具体实施内容，在上面所述大数据集群的故障检测方法中已经详细说明了，故在此重复内容不再说明。

图3是根据本发明另一个可参考实施例的大数据集群的故障检测方法的主要流程的示意图。作为本发明的另一个实施例，如图3所示，所述大数据集群的故障检测方法可以包括：

步骤301，采集大数据集群的指标数据和日志数据。

步骤302，对采集的日志数据进行标准化操作。

步骤303，对标准化操作后的日志数据进行聚合操作。

步骤304，对聚合操作后的日志数据进行异常点检测。

步骤305，根据所述指标数据和日志数据确定异常信息及其对应的处理方案。

步骤306，对所述异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中。

步骤307，基于所述运维库中的学习结果对所述大数据集群进行故障检测。

另外，在本发明另一个可参考实施例中大数据集群的故障检测方法的具体实施内容，在上面所述大数据集群的故障检测方法中已经详细说明了，故在此重复内容不再说明。

图4是根据本发明实施例的大数据集群的故障检测装置的主要模块的示意图，如图4所示，所述大数据集群的故障检测装置400包括采集模块401、确定模块402、学习模块403和检测模块404；其中，采集模块401用于采集大数据集群的指标数据和日志数据；确定模块402用于根据所述指标数据和日志数据确定异常信息及其对应的处理方案；学习模块403用于对所述异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中；检测模块404用于基于所述运维库中的学习结果对所述大数据集群进行故障检测。

可选地，所述确定模块402还用于：

根据所述指标数据和日志数据确定异常信息；

根据所述异常信息确定对应的处理方案。

所述确定模块402还用于：

对所述指标数据进行异常点检测，得到异常点；

可选地，所述确定模块402还用于：

对标准化操作后的日志数据进行聚合操作；

对聚合操作后的日志数据进行异常点检测。

可选地，所述确定模块402还用于：

可选地，所述学习模块403还用于：

将所述告警组合及其对应的处理方案存储到运维库中。

可选地，所述检测模块404还用于：

需要说明的是，在本发明所述大数据集群的故障检测装置的具体实施内容，在上面所述大数据集群的故障检测方法中已经详细说明了，故在此重复内容不再说明。

图5示出了可以应用本发明实施例的大数据集群的故障检测方法或大数据集群的故障检测装置的示例性***架构500。

如图5所示，***架构500可以包括终端设备501、502、503，网络504和服务器505。网络504用以在终端设备501、502、503和服务器505之间提供通信链路的介质。网络504可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备501、502、503通过网络504与服务器505交互，以接收或发送消息等。终端设备501、502、503上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。

终端设备501、502、503可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器505可以是提供各种服务的服务器，例如对用户利用终端设备501、502、503所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的物品信息查询请求等数据进行分析等处理，并将处理结果反馈给终端设备。

需要说明的是，本发明实施例所提供的大数据集群的故障检测方法一般由服务器505执行，相应地，所述大数据集群的故障检测装置一般设置在服务器505中。

应该理解，图5中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

下面参考图6，其示出了适于用来实现本发明实施例的终端设备的计算机***600的结构示意图。图6示出的终端设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图6所示，计算机***600包括中央处理单元(CPU)601，其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中，还存储有***600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

以下部件连接至I/O接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。

特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时，执行本发明的***中限定的上述功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的***、方法和计算机程序的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括采集模块、确定模块、学习模块和检测模块，其中，这些模块的名称在某种情况下并不构成对该模块本身的限定。

作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，该设备实现如下方法：采集大数据集群的指标数据和日志数据；根据所述指标数据和日志数据确定异常信息及其对应的处理方案；对所述异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中；基于所述运维库中的学习结果对所述大数据集群进行故障检测。

根据本发明实施例的技术方案，因为采用根据指标数据和日志数据确定异常信息及其对应的处理方案，对异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中，基于运维库中的学习结果对所述大数据集群进行故障检测的技术手段，所以克服了现有技术中故障根源检测难和运维成本高的技术问题。本发明实施例对日志中的各种维度的告警进行抽象聚合、收敛为少量的事件，从而可以有效地减少告警数量，避免真正有用的告警信息淹没到海量的无用告警信息中，从而能够快速、准确地检测出故障，并降低运维成本。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims

1.一种大数据集群的故障检测方法，其特征在于，包括：

采集大数据集群的指标数据和日志数据；

基于所述运维库中的学习结果对所述大数据集群进行故障检测；

所述指标数据包括操作***进程、单台服务器、分布式服务和分布式集群的指标数据；

根据所述指标数据和日志数据确定异常信息及其对应的处理方案，包括：

根据所述指标数据和日志数据确定异常信息；

根据所述异常信息确定对应的处理方案；

所述异常信息包括：异常点、所述异常点产生时的上下文信息、异常分类、异常关键字和异常详细信息；

根据所述指标数据和日志数据确定异常信息，包括：

对所述指标数据进行异常点检测，得到异常点；

根据所述日志数据确定异常点产生时的上下文、异常分类、异常关键字和异常详细信息；

对所述异常信息及其对应的处理方案进行机器学习，将学习结果存储到运维库中，包括：

将所述告警组合及其对应的处理方案存储到运维库中。

2.根据权利要求1所述的方法，其特征在于，所述单台服务器的指标数据包括：主机名配置检查、NTP偏移量检查、平均负载、主机磁盘读写效率、CPU使用率、主机文件句柄使用率、主机网络状态及负载、HA状态检查、关键目录检查、内存使用率、硬件状态检查、SWAP使用率、主机状态检查、告警信息、错误信息。

3.根据权利要求1所述的方法，其特征在于，所述操作***进程的指标数据包括：大数据进程存活状态、多线程信息、进程拥塞情况、堆栈使用情况。

4.根据权利要求1所述的方法，其特征在于，所述分布式服务的指标数据包括：启停状态、Kerberos身份认证机制连通状态、关键进程健康状态、数据库连通状态、服务状态和告警信息。

5.根据权利要求1所述的方法，其特征在于，所述分布式集群的指标数据包括：集群主机健康状态统计、主机网络读写速率分布、主机磁盘占用率分布、主机内存占用率分布和主机CPU占用率分布。

6.根据权利要求1所述的方法，其特征在于，根据所述指标数据和日志数据确定异常信息及其对应的处理方案之前，还包括：

对采集的日志数据进行标准化操作；

对标准化操作后的日志数据进行聚合操作；

对聚合操作后的日志数据进行异常点检测。

7.根据权利要求6所述的方法，其特征在于，对采集的日志数据进行标准化操作，包括：

8.根据权利要求7所述的方法，其特征在于，使用Linux的***sed命令和awk命令，对日志数据进行标准化工作，包括：

使用sed命令，实现对数据进行替换、删除、新增以及特定行的选取操作；

9.根据权利要求7所述的方法，其特征在于，所述多元组包括：产生时间、应用或组件的名称、IP地址、详细内容和备注。

10.根据权利要求6所述的方法，其特征在于，对标准化操作后的日志数据进行聚合操作，包括：

11.根据权利要求10所述的方法，其特征在于，所述聚合的维度字段包括：时间、地点、业务线、服务和接口。

12.根据权利要求11所述的方法，其特征在于，对聚合操作后的日志数据进行异常点检测，包括：

13.根据权利要求1所述的方法，其特征在于，基于所述运维库中的学习结果对所述大数据集群进行故障检测，包括：

14.一种大数据集群的故障检测装置，其特征在于，包括：

采集模块，用于采集大数据集群的指标数据和日志数据；

检测模块，用于基于所述运维库中的学习结果对所述大数据集群进行故障检测；

所述确定模块还用于：

根据所述指标数据和日志数据确定异常信息；

根据所述异常信息确定对应的处理方案；

所述确定模块还用于：

对所述指标数据进行异常点检测，得到异常点；

所述学习模块还用于：

将所述告警组合及其对应的处理方案存储到运维库中。

15.一种电子设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行时，所述一个或多个处理器实现如权利要求1-13中任一所述的方法。

16.一种计算机可读介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1-13中任一所述的方法。