CN117149500B - 基于指标数据和日志数据的异常根因获得方法及*** - Google Patents

Abstract

本发明提供一种基于指标数据和日志数据的异常根因获得方法，包括：S1：获取微服务***的指标数据和日志数据；S2：通过BIRCH聚类算法计算获得指标数据的指标异常分数序列集合MASS；S3：通过DeepLog算法计算获得日志数据的日志异常分数序列LAS；S4：将指标异常分数序列集合MASS中的每个指标数据的聚类结果与日志异常分数序列LAS进行关联度分析，获得关联度；S5：通过关联度排序获得异常根因指标。本发明通过指标数据的聚类结果与日志异常分数序列进行关联度分析，通过关联度排序可以量化异常根因，能够辅助运维人员快速定位问题根因，降低企业运维损失。

Description

基于指标数据和日志数据的异常根因获得方法及***

技术领域

本发明涉及智能运维领域，尤其涉及一种基于指标数据和日志数据的异常根因获得方法及***。

背景技术

互联网的快速发展使得微服务***的规模、复杂度急剧膨胀。大部分互联网企业的运维手段过于单一，仍停留在人工分析为主的阶段。传统人工分析的运维方式逐渐落后，无法解决涉及大规模、高复杂度的问题。

近年来，随着人工智能领域的发展，数据驱动的自动化算法成功在多种复杂场景中应用，这也为解决这些问题提供了契机。数据驱动的自动化算法的基础是数据，对于微服务***来说日志和指标是运维可观测性的重要组成部分。日志是微服务***异常检测的重要数据来源，记录了微服务***运行期间详细的运行信息，以及一个事件的时间戳、涉及的方法及参数等。通过检查日志能够帮助维护管理人员了解***的行为并发现可能的异常信息。***运行指标是定时采集的时序数据，例如CPU使用率、相应延迟等。常采集到的指标是（时间戳，值）的形式。当数值呈现出异常时，例如出现突增突降等，意味着与之相关的微服务发生了一些异常，需要运维人员及时进行根因定位并采取有效措施。

但是现有的自动化检测方法也存在着仅适用于指标层面的微服务***根因，仅适用于日志告警问题的根因分析，日志数据与指标数据的因果分析未考虑日志运行过程中的异常属性等问题。

发明内容

为解决上述技术问题，本发明提供一种基于指标数据和日志数据的异常根因获得方法，包括：

S1：获取微服务***的指标数据和日志数据；

S2：通过BIRCH聚类算法计算获得指标数据的指标异常分数序列集合MASS；

S3：通过DeepLog算法计算获得日志数据的日志异常分数序列LAS；

S4：将指标异常分数序列集合MASS中的每个指标数据的聚类结果与日志异常分数序列LAS进行关联度分析，获得关联度；

S5：通过关联度排序获得异常根因指标。

优选的，步骤S2具体为：

S21：对获得的N条指标数据进行归一化处理，将指标数据转化为[0,1]范围内的指标向量M={m₁,m₂,...,m_N}；

S22：通过BIRCH聚类算法对指标向量M中的每个指标数据m_u分别进行聚类，将各指标数据的聚类结果集合作为指标异常分数序列集合MASS={MAS₁,MAS₂,...,MAS_N}，其中MAS_u为第u个指标数据的聚类结果，u的取值范围为1至N。

优选的，步骤S3具体为：

S31：将日志数据按照日志类别解析为日志键序列和参数向量序列；

S32：基于DeepLog分析日志键序列，获得日志键异常分数序列LAS_t；

S33：基于DeepLog分析参数向量序列，获得参数向量异常分数序列LAS_p；

S34：通过日志键异常分数序列LAS_t和参数向量异常分数序列LAS_p，计算获得日志数据的日志异常分数序列LAS。

优选的，步骤S32具体为：

S321：设置第一时间窗口，获取日志键序列在第一时间窗口内的日志键集合window_h={k_h-H,k_h-H+1,...,k_h}，其中，h为时刻，H为第一时间窗口的长度，k_h为第h个日志键；通过Deeplog预测日志键集合在h+1时刻的日志键k_h+1；

S322：通过标准多项式逻辑函数计算获得日志键k_h+1的概率分布集合P={k₁:p₁,k₂:p₂,...,k_i:p_i,...,k_g:p_g}，其中，i为日志键的编号，p_i表示日志键k_h+1为日志键k_i的概率，g为日志键种类个数；

S323：若h+1时刻的日志键的真实日志键为k_i，且p_i小于设置的阈值Threshold，则判断日志发生了执行路径异常，令h+1时刻的日志键异常分数AS_th=Threshold-p_i；若p_i不小于Threshold则判断日志正常，令h+1时刻的日志键异常分数AS_th=0；

S324：令h=h+1；

S325：重复步骤S321-S324，通过日志键序列中所有日志键的异常分数，构建日志键异常分数序列LAS_t。

优选的，步骤S33具体为：

S331：设置第二时间窗口，获取参数向量序列在第二时间窗口内的参数向量集合e_q={v_q-Q,v_q-Q+1,...,v_q}，其中，q为参数向量的编号，Q为第二时间窗口的长度，v_q为第q个参数向量；通过Deeplog对参数向量集合e_q进行预测，获得预测参数向量集合，计算/>与e_q+1之间的参数向量误差z_q+1；

S332：将参数向量误差z_q+1建模为高斯分布；若z_q+1在高斯分布的高置信区间内，则判断参数向量v_q正常，设置参数向量v_q的异常分数AS_pq=0；否则判断参数向量v_q异常，设置参数向量v_q的异常分数AS_pq=1；

S333：令p=p+1；

S334：重复步骤S331-S333，通过参数向量序列中所有参数向量的异常分数，构建参数向量异常分数序列LAS_p。

优选的，日志异常分数序列LAS的计算公式为：

其中，w为超参数。

优选的，关联度的计算公式为：

其中，MI(MAS_u;LAS)为MAS_u与LAS的关联度，x为MAS_u中的聚类元素，y为LAS中的日志异常分数，p(x,y)为x与y的联合概率分布函数，p(x)为x的边缘概率分布函数，p(y)为y的边缘概率分布函数。

一种基于指标数据和日志数据的异常根因获得***，包括：

数据获取模块，用于获取微服务***的指标数据和日志数据；

指标异常分数计算模块，用于通过BIRCH聚类算法计算获得指标数据的指标异常分数序列集合MASS；

日志异常分数计算模块，用于通过DeepLog算法计算获得日志数据的日志异常分数序列LAS；

关联度分析模块，用于将指标异常分数序列集合MASS中的每个指标数据的聚类结果与日志异常分数序列LAS进行关联度分析，获得关联度；

异常根因指标获取模块，用于通过关联度排序获得异常根因指标。

本发明具有以下有益效果：

通过微服务***的指标数据和日志数据进行异常分析，指标数据和日志数据能够覆盖更多种类的异常类型，降低单一数据来源导致的异常漏报现象；通过指标数据的聚类结果与日志异常分数序列进行关联度分析，通过关联度排序可以量化异常根因，能够辅助运维人员快速定位问题根因，降低企业运维损失。

附图说明

图1为本发明实施例方法流程图；

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1，本发明提供一种基于指标数据和日志数据的异常根因获得方法，针对微服务***中可观测性数据（指标+日志）兼容性较低的问题，能够降低单一数据来源导致的异常漏报现象并辅助运维人员快速定位问题根因。

包括：

S1：获取微服务***的指标数据和日志数据；

S2：通过BIRCH聚类算法计算获得指标数据的指标异常分数序列集合MASS；

S3：通过DeepLog算法计算获得日志数据的日志异常分数序列LAS；

S4：将指标异常分数序列集合MASS中的每个指标数据的聚类结果与日志异常分数序列LAS进行关联度分析，获得关联度；

S5：通过关联度排序获得异常根因指标。

进一步的，步骤S1具体包括：

步骤S11：设置过采样参数，通过扩展异常时间的长度对异常点数据（日志数据+指标数据）进行过采样收集，假设异常时间段为L，收集数据过程中异常时间段展开为(1+α)L，其中α = 0.4；

步骤S12：过采样收集微服务***的日志数据Raw_Logs，其中日志数据包括日志时间戳、cmdb_id、日志文件名和日志内容；日志数据Raw_Logs存储在ElasticSearch数据库中；

步骤S13：以5s的时间间隔过采样收集微服务***指标数据Raw_Metrics，微服务***指标数据包含性能指标数据和业务指标数据；性能指标数据记录服务器组件的状态信息，如CPU使用率、内存使用率、网络丢包率等；业务指标数据包括***响应率、成功率和平均响应时间等；指标数据Raw_Metrics存储在ElasticSearch数据库中。

进一步的，步骤S2具体为：

S21：对获得的N条指标数据进行归一化处理，将指标数据转化为[0,1]范围内的指标向量M={m₁,m₂,...,m_N}；

具体的，归一化处理的计算公式为：

其中x’表示归一化结果，x表示源指标数据，归一化处理过程将指标数据转化为指标向量，以确保不同指标数据具有可比性；

S22：通过BIRCH聚类算法对指标向量M中的每个指标数据m_u分别进行聚类，将各指标数据的聚类结果集合作为指标异常分数序列集合MASS={MAS₁,MAS₂,...,MAS_N}，其中MAS_u为第u个指标数据的聚类结果，u的取值范围为1至N。

进一步的，步骤S3具体为：

S31：将日志数据按照日志类别解析为日志键序列和参数向量序列；

具体的，应用Drain日志解析工具对日志数据Raw_log按照日志类别解析为“日志键+参数向量”的形式；

S32：基于DeepLog分析日志键序列，获得日志键异常分数序列LAS_t；

S33：基于DeepLog分析参数向量序列，获得参数向量异常分数序列LAS_p；

S34：通过日志键异常分数序列LAS_t和参数向量异常分数序列LAS_p，计算获得日志数据的日志异常分数序列LAS。

进一步的，步骤S32具体为：

S321：设置第一时间窗口，获取日志键序列在第一时间窗口内的日志键集合window_h={k_h-H,k_h-H+1,...,k_h}，其中，h为时刻，H为第一时间窗口的长度，k_h为第h个日志键；通过Deeplog预测日志键集合在h+1时刻的日志键k_h+1；

S322：通过标准多项式逻辑函数计算获得日志键k_h+1的概率分布集合P={k₁:p₁,k₂:p₂,...,k_i:p_i,...,k_g:p_g}，其中，i为日志键的编号，p_i表示日志键k_h+1为日志键k_i的概率，g为日志键种类个数；

S323：若h+1时刻的日志键的真实日志键为k_i，且p_i小于设置的阈值Threshold，则判断日志发生了执行路径异常，令h+1时刻的日志键异常分数AS_th=Threshold-p_i；若p_i不小于Threshold则判断日志正常，令h+1时刻的日志键异常分数AS_th=0；

S324：令h=h+1；

S325：重复步骤S321-S324，通过日志键序列中所有日志键的异常分数，构建日志键异常分数序列LAS_t。

进一步的，步骤S33具体为：

S331：设置第二时间窗口，获取参数向量序列在第二时间窗口内的参数向量集合e_q={v_q-Q,v_q-Q+1,...,v_q}，其中，q为参数向量的编号，Q为第二时间窗口的长度，v_q为第q个参数向量；通过Deeplog对参数向量集合e_q进行预测，获得预测参数向量集合，计算/>与e_q+1之间的参数向量误差z_q+1；

S332：将参数向量误差z_q+1建模为高斯分布；若z_q+1在高斯分布的高置信区间内，则判断参数向量v_q正常，设置参数向量v_q的异常分数AS_pq=0；否则判断参数向量v_q异常，设置参数向量v_q的异常分数AS_pq=1；

S333：令p=p+1；

S334：重复步骤S331-S333，通过参数向量序列中所有参数向量的异常分数，构建参数向量异常分数序列LAS_p。

进一步的，日志异常分数序列LAS的计算公式为：

其中，w为超参数（超参数w设置为0.6）。

进一步的，关联度的计算公式为：

其中，MI(MAS_u;LAS)为MAS_u与LAS的关联度，x为MAS_u中的聚类元素，y为LAS中的日志异常分数，p(x,y)为x与y的联合概率分布函数，p(x)为x的边缘概率分布函数，p(y)为y的边缘概率分布函数。

进一步的，步骤S5具体为：

在计算获得所有指标数据的聚类结果与日志异常分数序列的关联度后，将各关联度按照从高到低依次排序，若关联度越大则在列表中的排序越高，即这个指标数据越有可能是异常根因。

一种基于指标数据和日志数据的异常根因获得***，包括：

数据获取模块，用于获取微服务***的指标数据和日志数据；

指标异常分数计算模块，用于通过BIRCH聚类算法计算获得指标数据的指标异常分数序列集合MASS；

日志异常分数计算模块，用于通过DeepLog算法计算获得日志数据的日志异常分数序列LAS；

关联度分析模块，用于将指标异常分数序列集合MASS中的每个指标数据的聚类结果与日志异常分数序列LAS进行关联度分析，获得关联度；

异常根因指标获取模块，用于通过关联度排序获得异常根因指标。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序，可将这些词语解释为标识。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (4)

1.一种基于指标数据和日志数据的异常根因获得方法，其特征在于，包括：

S1：获取微服务***的指标数据和日志数据；

S2：通过BIRCH聚类算法计算获得指标数据的指标异常分数序列集合MASS；

S3：通过DeepLog算法计算获得日志数据的日志异常分数序列LAS；

S4：将指标异常分数序列集合MASS中的每个指标数据的聚类结果与日志异常分数序列LAS进行关联度分析，获得关联度；

S5：通过关联度排序获得异常根因指标；

步骤S3具体为：

S31：将日志数据按照日志类别解析为日志键序列和参数向量序列；

S32：基于DeepLog分析日志键序列，获得日志键异常分数序列LAS_t；

S33：基于DeepLog分析参数向量序列，获得参数向量异常分数序列LAS_p；

S34：通过日志键异常分数序列LAS_t和参数向量异常分数序列LAS_p，计算获得日志数据的日志异常分数序列LAS；

步骤S32具体为：

S321：设置第一时间窗口，获取日志键序列在第一时间窗口内的日志键集合window_h={k_h-H,k_h-H+1,...,k_h}，其中，h为时刻，H为第一时间窗口的长度，k_h为第h个日志键；通过Deeplog预测日志键集合在h+1时刻的日志键k_h+1；

S322：通过标准多项式逻辑函数计算获得日志键k_h+1的概率分布集合P={k₁:p₁,k₂:p₂,...,k_i:p_i,...,k_g:p_g}，其中，i为日志键的编号，p_i表示日志键k_h+1为日志键k_i的概率，g为日志键种类个数；

S323：若h+1时刻的日志键的真实日志键为k_i，且p_i小于设置的阈值Threshold，则判断日志发生了执行路径异常，令h+1时刻的日志键异常分数AS_th=Threshold-p_i；若p_i不小于Threshold则判断日志正常，令h+1时刻的日志键异常分数AS_th=0；

S324：令h=h+1；

S325：重复步骤S321-S324，通过日志键序列中所有日志键的异常分数，构建日志键异常分数序列LAS_t；

步骤S33具体为：

S331：设置第二时间窗口，获取参数向量序列在第二时间窗口内的参数向量集合e_q={v_q-Q,v_q-Q+1,...,v_q}，其中，q为参数向量的编号，Q为第二时间窗口的长度，v_q为第q个参数向量；通过Deeplog对参数向量集合e_q进行预测，获得预测参数向量集合，计算/>与e_q+1之间的参数向量误差z_q+1；

S332：将参数向量误差z_q+1建模为高斯分布；若z_q+1在高斯分布的高置信区间内，则判断参数向量v_q正常，设置参数向量v_q的异常分数AS_pq=0；否则判断参数向量v_q异常，设置参数向量v_q的异常分数AS_pq=1；

S333：令p=p+1；

S334：重复步骤S331-S333，通过参数向量序列中所有参数向量的异常分数，构建参数向量异常分数序列LAS_p；

关联度的计算公式为：

其中，MI(MAS_u;LAS)为MAS_u与LAS的关联度，x为MAS_u中的聚类元素，y为LAS中的日志异常分数，p(x,y)为x与y的联合概率分布函数，p(x)为x的边缘概率分布函数，p(y)为y的边缘概率分布函数。

2.根据权利要求1所述的基于指标数据和日志数据的异常根因获得方法，其特征在于，步骤S2具体为：

S21：对获得的N条指标数据进行归一化处理，将指标数据转化为[0,1]范围内的指标向量M={m₁,m₂,...,m_N}；

S22：通过BIRCH聚类算法对指标向量M中的每个指标数据m_u分别进行聚类，将各指标数据的聚类结果集合作为指标异常分数序列集合MASS={MAS₁,MAS₂,...,MAS_N}，其中MAS_u为第u个指标数据的聚类结果，u的取值范围为1至N。

3.根据权利要求1所述的基于指标数据和日志数据的异常根因获得方法，其特征在于，日志异常分数序列LAS的计算公式为：

其中，w为超参数。

4.一种基于指标数据和日志数据的异常根因获得***，其特征在于，包括：

数据获取模块，用于获取微服务***的指标数据和日志数据；

指标异常分数计算模块，用于通过BIRCH聚类算法计算获得指标数据的指标异常分数序列集合MASS；

日志异常分数计算模块，用于通过DeepLog算法计算获得日志数据的日志异常分数序列LAS；

关联度分析模块，用于将指标异常分数序列集合MASS中的每个指标数据的聚类结果与日志异常分数序列LAS进行关联度分析，获得关联度；

异常根因指标获取模块，用于通过关联度排序获得异常根因指标；

日志异常分数计算模块的工作流程具体为：

S31：将日志数据按照日志类别解析为日志键序列和参数向量序列；

S32：基于DeepLog分析日志键序列，获得日志键异常分数序列LAS_t；

S33：基于DeepLog分析参数向量序列，获得参数向量异常分数序列LAS_p；

S34：通过日志键异常分数序列LAS_t和参数向量异常分数序列LAS_p，计算获得日志数据的日志异常分数序列LAS；

步骤S32具体为：

S321：设置第一时间窗口，获取日志键序列在第一时间窗口内的日志键集合window_h={k_h-H,k_h-H+1,...,k_h}，其中，h为时刻，H为第一时间窗口的长度，k_h为第h个日志键；通过Deeplog预测日志键集合在h+1时刻的日志键k_h+1；

S322：通过标准多项式逻辑函数计算获得日志键k_h+1的概率分布集合P={k₁:p₁,k₂:p₂,...,k_i:p_i,...,k_g:p_g}，其中，i为日志键的编号，p_i表示日志键k_h+1为日志键k_i的概率，g为日志键种类个数；

S323：若h+1时刻的日志键的真实日志键为k_i，且p_i小于设置的阈值Threshold，则判断日志发生了执行路径异常，令h+1时刻的日志键异常分数AS_th=Threshold-p_i；若p_i不小于Threshold则判断日志正常，令h+1时刻的日志键异常分数AS_th=0；

S324：令h=h+1；

S325：重复步骤S321-S324，通过日志键序列中所有日志键的异常分数，构建日志键异常分数序列LAS_t；

步骤S33具体为：

S331：设置第二时间窗口，获取参数向量序列在第二时间窗口内的参数向量集合e_q={v_q-Q,v_q-Q+1,...,v_q}，其中，q为参数向量的编号，Q为第二时间窗口的长度，v_q为第q个参数向量；通过Deeplog对参数向量集合e_q进行预测，获得预测参数向量集合，计算/>与e_q+1之间的参数向量误差z_q+1；

S332：将参数向量误差z_q+1建模为高斯分布；若z_q+1在高斯分布的高置信区间内，则判断参数向量v_q正常，设置参数向量v_q的异常分数AS_pq=0；否则判断参数向量v_q异常，设置参数向量v_q的异常分数AS_pq=1；

S333：令p=p+1；

S334：重复步骤S331-S333，通过参数向量序列中所有参数向量的异常分数，构建参数向量异常分数序列LAS_p；

关联度的计算公式为：

其中，MI(MAS_u;LAS)为MAS_u与LAS的关联度，x为MAS_u中的聚类元素，y为LAS中的日志异常分数，p(x,y)为x与y的联合概率分布函数，p(x)为x的边缘概率分布函数，p(y)为y的边缘概率分布函数。