CN102238023A - 一种生成网络管理系统的告警数据的方法及装置 - Google Patents
一种生成网络管理系统的告警数据的方法及装置 Download PDFInfo
- Publication number
- CN102238023A CN102238023A CN2010101599727A CN201010159972A CN102238023A CN 102238023 A CN102238023 A CN 102238023A CN 2010101599727 A CN2010101599727 A CN 2010101599727A CN 201010159972 A CN201010159972 A CN 201010159972A CN 102238023 A CN102238023 A CN 102238023A
- Authority
- CN
- China
- Prior art keywords
- rule
- state
- filtering
- daily record
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供了一种生成网络管理系统的告警数据的方法及装置。其中所述方法包括:采集所述网络管理系统中网元上报的记录网元发生的事件的日志数据;将所述日志数据与预先设定的过滤规则逐个进行匹配:若匹配上,则滤除所述日志数据;否则,继续下一条过滤规则的匹配,直到所有过滤规则都匹配完毕;在所有过滤规则都与所述日志数据不匹配时,按照预先设定的日志数据到告警数据的转换规则,对所述日志数据进行转换,生成所述网络管理系统的告警数据。本发明实现了操作流程和业务数据处理相分离,以及实现了数据采集与数据分析的松耦合,具有较高性能的大数据量处理能力,并且便于开发维护和定位故障。
Description
技术领域
本发明涉及网络管理与安全管理结合的技术领域,特别是涉及一种通过日志数据分析处理生成网络管理系统(NMS,Network Management System)的告警数据的方法和装置。
背景技术
网络管理系统中包括多个网元。具体的,网元可以是路由器、服务器、防火墙、数据库或交换机等各种设备。网元利用日志数据记录其所发生的各种事件,日志数据对网络安全、网络稳定、以及网络故障分析方面起着非常的重要作用。
例如,系统日志(Syslog)协议是一种已得到许多设备厂商和多个平台操作系统支持的工业标准简单协议(参考RFC 3164)。Syslog采用用户数据报协议(UDP)作为其底层传输层机制(RFC 3195采用了传输控制协议TCP)。Syslog协议和进程最基本原则就是简便性,在协议的发送者和接收者之间不要求有严格的相互协调。Syslog协议中并没有任何关于Syslog报文的格式或内容的假设。由于每个进程、应用程序和操作系统都或多或少地被独立完成,所以不同的Syslog报文在格式或内容上会有一些不一致的地方。完整的Syslog报文由3部分组成,分别是PRI、HEADER和MSG。其中PRI部分包含了程序模块(Facility)和严重性(Severity),其值是由Facility乘以8,然后加上Severity得来;HEADER部分包括两个字段,分别是时间和主机名(或IP地址);MSG部分又具体分为两个部分,分别为TAG和Content。其中TAG部分是可选的。实际应用中大部分Syslog都包含PRI和MSG部分,而HEADER部分可能没有。
下面是一个Syslog报文的具体示例:
<45>Dec 2 14:12:59 Suse syslog-ng[14762]:STATS:dropped 0.
其中“<45>”是PRI部分,其值为45;“Dec 2 14:12:59 Suse”是HEADER部分;“syslog-ng[14762]:STATS:dropped 0.”则是MSG部分。Syslog报文能够详细记录网元每天发生的各种各样的事件。
随着互联网的快速发展,在各个领域内的网络管理系统中,需要管理的网元类型及网元数量越来越多,这些不同种类的大量网元通过Syslog协议上报的事件信息量非常之大。如何从这些大量的事件信息中通过高效、准确的分析处理方法,提取有效的告警事件,并且达到易于开发、维护及扩展新网元类型的管理支持就成为一个非常重要的问题。
目前,大部分的网络管理系统对网元的日志数据(如Syslog报文)的支持程度有限,比如一些网络管理系统虽然声称支持,但实际上是独立于整个系统的一个工具插件,在最为重要告警管理中没有任何体现,无法及时发现问题;另外一些系统却提供了非常复杂、难于理解掌握的配置功能,增加了对系统的应用难度。这些做法对于整个网络的管理、网络故障的分析没有带来方便,反而增加了网络管理人员的负担,增加了网络运维管理的成本。
发明内容
本发明的目的在于提供一种生成网络管理系统的告警数据的方法及装置,用以对日志数据进行高效、准确的分析,提取有效的告警数据。
为实现上述目的,本发明提供了一种生成网络管理系统的告警数据的方法,包括:
采集所述网络管理系统中网元上报的记录网元发生的事件的日志数据;
将所述日志数据与预先设定的过滤规则逐个进行匹配:若匹配上,则滤除所述日志数据;否则,继续下一条过滤规则的匹配,直到所有过滤规则都匹配完毕;
在所有过滤规则都与所述日志数据不匹配时,按照预先设定的日志数据到告警数据的转换规则,对所述日志数据进行转换,生成所述网络管理系统的告警数据。
优选地,上述方法中,
在生成所述告警数据后,还包括:将所述告警数据发送给所述网络管理系统的告警模块进行处理。
优选地,上述方法中,
所述过滤规则包括有状态参数、优先级参数和过滤条件;
所述将所述日志数据与预先设定的过滤规则逐个进行匹配是:
获取当前处于激活状态的过滤规则;
按照优先级参数从高到底的顺序,逐个提取各条处于激活状态的过滤规则的过滤条件,并与所述日志数据进行匹配:若匹配上,则滤除该日志数据;否则,继续提取下一条处于激活状态的过滤规则的过滤条件并进行匹配,直到所有处于激活状态的过滤规则都匹配完毕。
优选地,上述方法中,
所述转换规则包括有状态参数、优先级参数、转换条件和告警数据参数;
所述按照预先设定的日志数据到告警数据的转换规则,对所述日志数据进行转换,生成所述网络管理系统的告警数据,包括:
获取当前处于激活状态的转换规则;
按照优先级参数从高到底的顺序,逐个提取各条处于激活状态的转换规则的转换条件,并与所述日志数据进行匹配:
若匹配上,则根据匹配上的转换规则的告警数据参数,生成所述告警数据;
否则,继续提取下一条处于激活状态的转换规则的转换条件并进行匹配,直到所有处于激活状态的转换规则都匹配完毕。
优选地,上述方法中,还包括:
在接收到对第一过滤规则的删除命令时,设置该第一过滤规则的状态参数为失效状态,但并不物理清除该第一过滤规则;
在接收到对第二过滤规则的第一修改命令时,设置该第二过滤规则的状态参数为失效状态或暂停状态,同时根据所述第一修改命令和第二过滤规则,新建一第三过滤规则;
在接收到对第一转换规则的删除命令时,设置该第一转换规则的状态参数为失效状态,但并不物理清除该第一转换规则;
在接收到对第二转换规则的第二修改命令时,设置该第二转换规则的状态参数为失效状态或暂停状态,同时根据所述第二修改命令和第二转换规则,新建一第三转换规则。
优选地,上述方法中,
所述日志数据为系统日志Syslog报文;
所述过滤条件为发送Syslog报文的网元的IP地址、Syslog报文的报文长度、程序模块Facility的值、严重性Severity的值或消息MSG部分的关键字;
所述转换条件为发送Syslog报文的网元IP地址、Syslog报文的接收时间、Syslog报文的程序模块Facility的值、严重性Severity的值、或消息MSG部分的关键字。
为实现上述目的,本发明还提供了一种生成网络管理系统的告警数据的装置,包括:
采集模块,用于采集所述网络管理系统中网元上报的记录网元发生的事件的日志数据;
过滤匹配模块,用于将所述日志数据与预先设定的过滤规则逐个进行匹配:若匹配上,则滤除所述日志数据;否则,继续下一条过滤规则的匹配,直到所有过滤规则都匹配完毕;
告警生成模块,用于在所有过滤规则都与所述日志数据不匹配时,按照预先设定的日志数据到告警数据的转换规则,对所述日志数据进行转换,生成所述网络管理系统的告警数据。
优选地,上述装置中,还包括:
告警发送模块,用于在生成所述告警数据后,将所述告警数据发送给所述网络管理系统的告警模块进行处理。
优选地,上述装置中,
所述过滤规则包括有状态参数、优先级参数和过滤条件;
所述过滤匹配模块包括:
第一获取模块,用于获取当前处于激活状态的过滤规则;
第一匹配模块,用于按照优先级参数从高到底的顺序,逐个提取各条处于激活状态的过滤规则的过滤条件,并与所述日志数据进行匹配:若匹配上,则滤除该日志数据;否则,继续提取下一条处于激活状态的过滤规则的过滤条件并进行匹配,直到所有处于激活状态的过滤规则都匹配完毕。
优选地,上述装置中,
所述转换规则包括有状态参数、优先级参数、转换条件和告警数据参数;
所述告警生成模块包括:
第二获取模块,用于获取当前处于激活状态的转换规则;
第二匹配模块,用于按照优先级参数从高到底的顺序,逐个提取各条处于激活状态的转换规则的转换条件,并与所述日志数据进行匹配:若匹配上,则根据匹配上的转换规则的告警数据参数,生成所述告警数据;否则,继续提取下一条处于激活状态的转换规则的转换条件并进行匹配,直到所有处于激活状态的转换规则都匹配完毕。
优选地,上述装置中,还包括:
过滤规则设置模块,用于在接收到对第一过滤规则的删除命令时,设置该第一过滤规则的状态为失效状态,但并不物理清除该第一过滤规则;在接收到对第二过滤规则的第一修改命令时,设置该第二过滤规则的状态为失效状态或暂停状态,同时根据所述第一修改命令和第二过滤规则,新建一第三过滤规则;
转换规则设置模块,用于在接收到对第一转换规则的删除命令时,设置该第一转换规则的状态为失效状态,但并不物理清除该第一转换规则;在接收到对第二转换规则的第二修改命令时,设置该第二转换规则的状态为失效状态或暂停状态,同时根据所述第二修改命令和第二转换规则,新建一第三转换规则。
优选地,上述装置中,
所述日志数据为系统日志Syslog报文;
所述过滤条件为发送Syslog报文的网元的IP地址、Syslog报文的报文长度、程序模块Facility的值、严重性Severity的值或消息MSG部分的关键字;
所述转换条件为发送Syslog报文的网元IP地址、Syslog报文的接收时间、Syslog报文的程序模块Facility的值、严重性Severity的值、或消息MSG部分的关键字。
从以上所述可以看出,本发明提供的生成网络管理系统的告警数据的方法及装置,通过预先设定日志数据的过滤规则和告警数据的转换规则,先对日志数据进行过滤处理,从而有效地从大量日志数据中筛选出重要的信息,然后,再按照转换规则,将过滤后剩余的日志数据转换成网络管理系统的告警数据,并发送给网络管理系统的告警模块,以及时将告警信息通知网络管理人员,极大地降低了网元故障带来的风险。本实施例实现了操作流程和业务数据处理相分离,以及实现了数据采集与数据分析的松耦合,具有较高性能的大数据量处理能力,并且便于开发维护和定位故障。
附图说明
图1为本发明实施例所述的生成网络管理系统的告警数据的方法的流程示意图;
图2为本发明另一实施例所述的生成网络管理系统的告警数据的方法的流程图;
图3为本发明实施例中Syslog报文采集服务注册的流程图;
图4是本发明实施例中Syslog报文的过滤处理的流程图;
图5是本发明实施例中Syslog报文的告警转换解析处理的流程图;
图6是本发明实施例所述的生成网络管理系统的告警数据的装置的结构示意图。
具体实施方式
本发明首先通过对采集到的日志数据进行过滤,以丢弃无效的日志数据,然后再对过滤后剩余的日志数据进行告警数据的转换,得到网络管理系统的告警数据,从而实现了对日志数据的高效、准确分析处理,并提取到有效的告警数据。以下将结合附图,通过具体实施例对本发明坐进一步的说明。
请参照图1,本发明实施例所述生成网络管理系统的告警数据的方法,包括:
步骤11,采集所述网络管理系统中网元上报的记录网元发生的事件的日志数据。
步骤12,将所述日志数据与预先设定的过滤规则逐个进行匹配:若匹配上,则滤除所述日志数据;否则,继续下一条过滤规则的匹配,直到所有过滤规则都匹配完毕。
步骤13,在所有过滤规则都与所述日志数据不匹配时,按照预先设定的日志数据到告警数据的转换规则,对所述日志数据进行转换,生成所述网络管理系统的告警数据。
在上述步骤13之后,上述方法还进一步将所述告警数据发送给所述网络管理系统的告警模块,由告警模块发出对应的告警信息,以及时通知网络管理人员。
以上步骤提供了一种简单、灵活、通用、有效的方法,用以处理网元上报的日志数据,得到网络管理系统的告警数据。
本实施例中预先设定的过滤规则和转换规则,可使用文件、数据库或其它存储方式进行保存,以便下次系统重启后可以继续适用。
本实施例支持多条过滤规则并存,也支持多条转换规则并存。规则之间以规则唯一标识确定。本实施例提供设定规则的功能,包括规则的新增、删除、激活、暂停、优先级设定等操作。新增的规则默认处于激活状态,处于激活状态下的规则可以对其进行暂停、删除操作;处于暂停状态的可以对其激活、删除操作;只有处于激活状态下的规则才是有效的规则,上述匹配处理和转换处理,都是利用当前激活的规则进行相应的处理。
为方便网络管理系统的故障追溯分析,防止由于规则频繁变更而引起的故障难以定位问题,本实施例不提供对已有规则的修改操作。对于需要修改的过滤规则,需先暂停或删除当前规则,然后重新增加一条规则;在对已存在的过滤规则进行删除操作时,只是在网络管理系统的操作界面上不再显示该规则,但实际上并不物理清除该规则,而是通过修改该规则的状态在逻辑上实现此功能。
具体的,本实施例所述方法,在在接收到对第一过滤规则的删除命令时,设置该第一过滤规则的状态为失效状态,但并不物理清除该第一过滤规则;以及,在接收到对第二过滤规则的第一修改命令时,设置该第二过滤规则的状态为失效状态或暂停状态,同时根据所述第一修改命令和第二过滤规则,新建一第三过滤规则;在接收到对第一转换规则的删除命令时,设置该第一转换规则的状态为失效状态,但并不物理清除该第一转换规则;在接收到对第二转换规则的第二修改命令时,设置该第二转换规则的状态为失效状态或暂停状态,同时根据所述第二修改命令和第二转换规则,新建一第三转换规则。
下面以日志数据为Syslog报文为例,对上述方法做更为详细的说明。
请参照2,本实施例所述生成网络管理系统的告警数据的方法,包括以下步骤:
步骤201:预先设定Syslog报文的过滤规则。
该步骤操作在网络管理系统启动成功后,通过网络管理系统的客户端界面操作方式直接进行交互设定。该步骤的操作结果直接影响后续步骤206的处理结果。本实施例中,一条过滤规则可能包含以下内容:
1、规则标识(ID)号:过滤规则的唯一标识;
2、规则标签名:过滤规则的简要说明标题;
3、状态参数:使用数字表示过滤规则的有效性。例如,规定过滤规则有三种状态,1表示激活状态,0表示暂停状态,-1表示已删除状态,即失效状态;
4、优先级参数:使用正整数表示各过滤规则之间的优先级,数值越小,优先级越高,各过滤规则之间优先级字段的数值不同;
5、创建时间:过滤规则创建时的日期和时间;
6、创建人:创建过滤规则的网络管理系统的用户;
7、过滤规则的过滤条件:具体包括发送Syslog报文的网元的IP地址、Syslog报文的报文长度、程序模块(Facility)的值、严重性(Severity)的值、MSG部分的关键字等等;
8、历史操作记录:记录对该过滤规则操作过的用户、操作日期和具体操作行为等信息。
一条典型的过滤规则示例如下:
| RULE_ID(规则ID号) | 10001 |
| RULE_LABLE(规则标签名) | 过滤Warning及以下Syslog报文 |
| RULE_STATUS(规则状态) | 1 |
| RULE_PRI(规则优先级) | 1 |
| CREATEED_DATE(创建日期) | 11/19/2009 2:32:37 PM |
| CREATEED_USER(创建人) | NMS_Admin |
| FILTER_CON(过滤条件) | Severity:Warning(4) |
| HIS_RECORDS(历史操作记录) | 11/19/2009 2:32:37 PM,NMS_Admin,Created. |
步骤202:预先设定Syslog报文到告警数据的转换规则。
该步骤操作在网络管理系统成功启动后,通过网络管理系统的客户端界面操作方式直接进行交互设定。该步骤的操作结果直接影响步骤207的处理结果。本实施例中,一条转换规则可能包含以下内容:
1、规则ID号:转换规则的唯一标识;
2、规则标签名:该转换规则的简要说明标题;
3、状态参数:使用数字表示转换规则的有效性。规定转换规则有三种状态,1表示激活状态,0表示暂停状态,-1表示已删除状态,即失效状态;
4、优先级参数:使用正整数表示各过滤规则之间的优先级,数值越小,优先级越高,各转换规则之间优先级字段的数值不同;
5、创建时间:转换规则创建时的日期和时间;
6、创建人:创建转换规则的网络管理系统的用户;
7、转换规则的转换条件:可能包括以下内容:
Syslog报文的PRI部分:程序模块(Facility)的值、严重性(Severity)的值;
Syslog报文来源IP地址:发送Syslog报文的网元IP地址;
Syslog报文发生时间:Syslog报文监听服务接收到Syslog报文时的时间,该时间由系统产生,而非Syslog报文HERDER部分的时间戳;
Syslog报文的消息(MSG)部分:Syslog报文除PRI部分的其他信息集合。
8、该转换规则对应的告警数据参数,具体包括告警类型、告警码、告警码描述、告警原因、告警严重度、告警详细信息等参数。例如,根据实际情况需要,可以转换的告警类型有告警、告警恢复和通知,同时可以设定的告警严重度有严重、重要、警告、一般等四类。
9、历史操作记录:记录对该转换规则操作过的用户、操作日期和具体操作行为等信息。
一条典型的转换规则示例如下:
| RULE_ID(规则ID号) | 10001 |
| RULE_LABLE(规则标签名) | 严重Syslog日志告警 |
| RULE_STATUS(规则状态) | 1 |
| RULE_PRI(规则优先级) | 1 |
| CREATEED_DATE(创建日期) | 11/19/2009 3:22:10 PM |
| CREATEED_USER(创建人) | NMS_Admin |
| TRANS_CON(转换条件) | Severity:Critical(2) |
| ALARM_DATA(告警数据) | AlarmType:Syslog Alarm(告警类型)AlarmCode:××(告警码)AlarmDesr:Critical Syslog Alarm(告警码描述)AlarmSeverity:Critical(告警严重度)AlarmReason:A new critical syslog is received.(告警原因描述)AlarmInfo:××(告警详细信息。Syslog报文的消息部分)…… |
| HIS_RECORDS(历史操作记录) | 11/19/2009 3:22:10 PM,NMS_Admin,Created. |
步骤203:预先配置Syslog报文监听服务的配置参数。
可以采用可扩展标记语言(XML)文档格式存储上述配置参数,以方便修改。具体的配置参数包括:支持Syslog报文采集的网元类型(默认为网络管理系统支持的所有网元类型)、支持的多个UDP/TCP监听端口号(默认为UDP的514号端口)等参数。参数配置文档格式示例如下:
| <syslogConfig><!--监听端口,可指定协议,支持配置多个--><listenPorts><port protocol=″UDP″value=″514″/></listenPorts><!--支持的网元类型,默认提供所有网元类型--> |
步骤204:注册Syslog报文监听服务,实现Syslog报文采集服务。通过注册Syslog报文监听服务来实现Syslog报文的采集,接收到Syslog报文以后进入步骤205。
步骤205:对Syslog报文进行初步的判断,判断接收到的日志数据是否为有效的Syslog报文以及是否为被管理的网元发送的Syslog报文:若是被管理的网元发送的日志数据并且该日志数据是有效的Syslog报文,则进入步骤206进行处理,否则,将该日志数据视为无效数据,丢弃该数据。具体的,可以根据Syslog报文是否符合相关协议的规定,来判断Syslog报文是否有效;以及,根据发送Syslog报文的网元的IP地址,是否存在预先建立的被管理网元的IP地址列表中,来判断该Syslog报文是否为被管理的网元发送的Syslog报文。
步骤206:经过步骤205对Syslog报文的初步判断取舍后,进入到Syslog报文的过滤匹配模块,利用过滤规则进行过滤处理。
步骤207:经过步骤206对Syslog报文的过滤处理后,没有被过滤掉的Syslog报文在记录队列中等待解析,即进入告警生成模块处理,最终得到告警数据。
步骤208:将步骤207中生成的告警数据,发送给网络管理系统的告警模块进行处理,以及时将告警信息通知网络管理人员,降低网元故障带来的风险。
其中,上述步骤204的具体流程请参考图3:
S301,网络管理系统启动时,读取Syslog报文监听服务的配置参数到内存。
S302,由Syslog采集服务注册模块根据网元类型及监听端口,为所有有效的被管理的网元注册Syslog报文监听服务,实现Syslog报文采集服务模块。
S303,同时启动网元操作事件监听器,用以接收网元操作事件消息。
S304~S308,接收到网元操作事件消息后,判断是何种网元操作事件:当发生网元删除事件时,注销对应网元的Syslog报文监听服务;当发生网元添加事件、并且需要注册对应网元的Syslog报文监听服务时,注册该对应网元的Syslog报文监听服务。注册对应网元的Syslog报文监听服务时,可根据对应网元的类型、对应网元的IP地址和指定的UDP/TCP端口注册监听服务。不同的监听服务之间并行运行,提高对Syslog原始数据信息采集处理的性能。
其中,上述步骤206的具体流程请参考图4:
S401,接收到Syslog报文后,进入过滤处理服务程序。
S402,获取预先设定的日志数据的过滤规则,并判断当前是否存在激活的过滤规则:如果没有激活的过滤规则,则进入S407;否则,进入S403。
S403,按照优先级从高到底的顺序,对当前处于激活状态的过滤规则进行排序。
S404~S406,按照优先级从高到底的顺序,逐个提取各条处于激活状态的过滤规则的过滤条件,并与Syslog报文进行匹配:若匹配上,则滤除该Syslog报文;否则,继续提取下一条处于激活状态的过滤规则的过滤条件并进行匹配,直到所有处于激活状态的过滤规则都匹配完毕。
这里,过滤规则的匹配依据是Syslog报文是否匹配过滤规则的过滤条件,如果匹配,则滤除该Syslog报文。例如,当某个转换规则的转换条件是Syslog报文的严重性(Severity)的值大于某个预定值时,则严重性(Severity)的值大于该预定值的Syslog报文都会依据该过滤规则被滤除掉。在滤除Syslog报文时,通过网络管理系统的日志管理记录下被滤除的日志数据的概要信息,具体包括被滤除的Syslog报文的原始报文信息、匹配的过滤规则ID号、过滤日期时间等,方便以后问题的跟踪定位。
一个Syslog报文可能与两个以上的过滤规则相匹配,本实施例中为不同过滤规则设置不同优先级,并按照优先级高低顺序进行过滤规则的匹配,只要Syslog报文与某个过滤规则匹配,该Syslog报文就会直接被滤除,而不再进行其它过滤规则的匹配。
S407,在没有匹配的激活过滤规则(包括当前不存在激活过滤规则)时,将该Syslog报文视为有效报文数据,存入Syslog报文记录队列,等待Syslog报文的解析服务线程取出后进入上述步骤207处理。
经过上述过滤处理,大量的无关Syslog报文被滤除,仅保留下网络管理系统关心的Syslog报文,减少了后期的数据处理量,提高了网络管理的效率,降低了网络管理成本。
其中,上述步骤207具体的处理流程请参考图5:
S501,调用解析服务线程池中空闲的解析服务线程,每一个空闲的解析服务线程从Syslog报文记录队列中,取出一条Syslog报文。
S502,获取预先设定的转换规则,并判断当前是否存在激活的转换规则:如果没有激活的转换规则,则进入S506;否则,进入S503。
S503,按照优先级从高到底的顺序,对当前处于激活状态的转换规则进行排序。
S504~S506,按照优先级参数从高到底的顺序,逐个提取各条处于激活状态的转换规则的转换条件,并与Syslog报文进行匹配:若匹配上,则根据匹配上的转换规则的告警数据参数,生成网络管理系统的告警数据,然后进入S508;否则,继续提取下一条处于激活状态的转换规则的转换条件并进行匹配,直到所有处于激活状态的转换规则都匹配完毕。
这里,转换规则的匹配依据是Syslog报文是否匹配转换规则的转换条件,如果匹配,则根据该转换规则中的告警数据参数,将Syslog报文转换成符合网络管理系统的告警数据格式的告警数据。例如,当某个激活的转换规则的转换条件是Syslog报文的严重性(Severity)的值为某个预定值时,则严重性(Severity)的值等于该预定值的Syslog报文将与该转换规则相匹配,然后,根据该转换规则中的告警数据参数,就可以生成相应的告警数据。告警数据中还可以附加有匹配的转换规则标识号,如此便可在网络管理系统告警管理中关注被管理的网元的事件告警信息。
一个Syslog报文可能与两个以上的转换规则相匹配,本实施例中通过为不同转换规则设置不同优先级,并按照优先级高低顺序进行转换规则的匹配,从而使得Syslog报文与其中优先级最高的转换规则匹配成功,并根据该有进行最高的转换规则生成相应的告警数据。
S507,在没有匹配的转换规则(包括当前不存在激活的转换规则)时,将该Syslog报文丢弃,以降低系统负荷,并通过网络管理系统的日志管理记录下该日志数据的概要信息,具体包括Syslog报文的原始报文信息、丢弃日期时间等信息,以方便问题的跟踪定位。
S508,将生成的告警数据发送到网络管理系统的告警模块进行处理。
从以上所述可以看出,本实施例提供的生成网络管理系统的告警数据的方法,通过预先设定日志数据的过滤规则和告警数据的转换规则,先对日志数据进行过滤处理,从而有效地从大量日志数据中筛选出重要的信息,然后,再按照转换规则,将过滤后剩余的日志数据转换成网络管理系统的告警数据,并发送给网络管理系统的告警模块,以及时将告警信息通知网络管理人员,极大地降低了网元故障带来的风险。本实施例实现了操作流程和业务数据处理相分离,以及实现了数据采集与数据分析的松耦合,具有较高性能的大数据量处理能力,并且便于开发维护和定位故障。
基于上述生成网络管理系统的告警数据的方法,本实施例还相应地提供了一种生成网络管理系统的告警数据的装置。
如图6所示,本实施例提供的生成网络管理系统的告警数据的装置,包括:
采集模块,用于采集所述网络管理系统中网元上报的记录网元发生的事件的日志数据;
过滤匹配模块,用于将所述日志数据与预先设定的过滤规则逐个进行匹配:若匹配上,则滤除所述日志数据;否则,继续下一条过滤规则的匹配,直到所有过滤规则都匹配完毕;
告警生成模块,用于在所有过滤规则都与所述日志数据不匹配时,按照预先设定的日志数据到告警数据的转换规则,对所述日志数据进行转换,生成所述网络管理系统的告警数据。
作为一个优选实施例,上述装置还包括:
告警发送模块,用于在生成所述告警数据后,将所述告警数据发送给所述网络管理系统的告警模块进行处理。
上述装置中,所述过滤规则包括有状态参数、优先级参数和过滤条件;所述过滤匹配模块具体包括:
第一获取模块,用于获取当前处于激活状态的过滤规则;
第一匹配模块,用于按照优先级参数从高到底的顺序,逐个提取各条处于激活状态的过滤规则的过滤条件,并与所述日志数据进行匹配:若匹配上,则滤除该日志数据;否则,继续提取下一条处于激活状态的过滤规则的过滤条件并进行匹配,直到所有处于激活状态的过滤规则都匹配完毕。
上述装置中,所述转换规则包括有状态参数、优先级参数、转换条件和告警数据参数;所述告警生成模块具体包括:
第二获取模块,用于获取当前处于激活状态的转换规则;
第二匹配模块,用于按照优先级参数从高到底的顺序,逐个提取各条处于激活状态的转换规则的转换条件,并与所述日志数据进行匹配:若匹配上,则根据匹配上的转换规则的告警数据参数,生成所述告警数据;否则,继续提取下一条处于激活状态的转换规则的转换条件并进行匹配,直到所有处于激活状态的转换规则都匹配完毕。
优选地,上述装置还包括:
过滤规则设置模块,用于在接收到对第一过滤规则的删除命令时,设置该第一过滤规则的状态为失效状态,但并不物理清除该第一过滤规则;在接收到对第二过滤规则的第一修改命令时,设置该第二过滤规则的状态为失效状态或暂停状态,同时根据所述第一修改命令和第二过滤规则,新建一第三过滤规则;
转换规则设置模块,用于在接收到对第一转换规则的删除命令时,设置该第一转换规则的状态为失效状态,但并不物理清除该第一转换规则;在接收到对第二转换规则的第二修改命令时,设置该第二转换规则的状态为失效状态或暂停状态,同时根据所述第二修改命令和第二转换规则,新建一第三转换规则。
其中,所述日志数据为系统日志Syslog报文;
所述过滤条件为发送Syslog报文的网元的IP地址、Syslog报文的报文长度、程序模块Facility的值、严重性Severity的值或消息MSG部分的关键字;
所述转换条件为发送Syslog报文的网元IP地址、Syslog报文的接收时间、Syslog报文的程序模块Facility的值、严重性Severity的值、或消息MSG部分的关键字。
以上所述仅是本发明的实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种生成网络管理系统的告警数据的方法,其特征在于,包括:
采集所述网络管理系统中网元上报的记录网元发生的事件的日志数据;
将所述日志数据与预先设定的过滤规则逐个进行匹配:若匹配上,则滤除所述日志数据;否则,继续下一条过滤规则的匹配,直到所有过滤规则都匹配完毕;
在所有过滤规则都与所述日志数据不匹配时,按照预先设定的日志数据到告警数据的转换规则,对所述日志数据进行转换,生成所述网络管理系统的告警数据。
2.如权利要求1所述的方法,其特征在于,
在生成所述告警数据后,还包括:将所述告警数据发送给所述网络管理系统的告警模块进行处理。
3.如权利要求1所述的方法,其特征在于,
所述过滤规则包括有状态参数、优先级参数和过滤条件;
所述将所述日志数据与预先设定的过滤规则逐个进行匹配是:
获取当前处于激活状态的过滤规则;
按照优先级参数从高到底的顺序,逐个提取各条处于激活状态的过滤规则的过滤条件,并与所述日志数据进行匹配:若匹配上,则滤除该日志数据;否则,继续提取下一条处于激活状态的过滤规则的过滤条件并进行匹配,直到所有处于激活状态的过滤规则都匹配完毕。
4.如权利要求1所述的方法,其特征在于,
所述转换规则包括有状态参数、优先级参数、转换条件和告警数据参数;
所述按照预先设定的日志数据到告警数据的转换规则,对所述日志数据进行转换,生成所述网络管理系统的告警数据,包括:
获取当前处于激活状态的转换规则;
按照优先级参数从高到底的顺序,逐个提取各条处于激活状态的转换规则的转换条件,并与所述日志数据进行匹配:
若匹配上,则根据匹配上的转换规则的告警数据参数,生成所述告警数据;
否则,继续提取下一条处于激活状态的转换规则的转换条件并进行匹配,直到所有处于激活状态的转换规则都匹配完毕。
5.如权利要求4所述的方法,其特征在于,还包括:
在接收到对第一过滤规则的删除命令时,设置该第一过滤规则的状态参数为失效状态,但并不物理清除该第一过滤规则;
在接收到对第二过滤规则的第一修改命令时,设置该第二过滤规则的状态参数为失效状态或暂停状态,同时根据所述第一修改命令和第二过滤规则,新建一第三过滤规则;
在接收到对第一转换规则的删除命令时,设置该第一转换规则的状态参数为失效状态,但并不物理清除该第一转换规则;
在接收到对第二转换规则的第二修改命令时,设置该第二转换规则的状态参数为失效状态或暂停状态,同时根据所述第二修改命令和第二转换规则,新建一第三转换规则。
6.如权利要求4所述的方法,其特征在于,
所述日志数据为系统日志Syslog报文;
所述过滤条件为发送Syslog报文的网元的IP地址、Syslog报文的报文长度、程序模块Facility的值、严重性Severity的值或消息MSG部分的关键字;
所述转换条件为发送Syslog报文的网元IP地址、Syslog报文的接收时间、Syslog报文的程序模块Facility的值、严重性Severity的值、或消息MSG部分的关键字。
7.一种生成网络管理系统的告警数据的装置,其特征在于,包括:
采集模块,用于采集所述网络管理系统中网元上报的记录网元发生的事件的日志数据;
过滤匹配模块,用于将所述日志数据与预先设定的过滤规则逐个进行匹配:若匹配上,则滤除所述日志数据;否则,继续下一条过滤规则的匹配,直到所有过滤规则都匹配完毕;
告警生成模块,用于在所有过滤规则都与所述日志数据不匹配时,按照预先设定的日志数据到告警数据的转换规则,对所述日志数据进行转换,生成所述网络管理系统的告警数据。
8.如权利要求7所述的装置,其特征在于,还包括:
告警发送模块,用于在生成所述告警数据后,将所述告警数据发送给所述网络管理系统的告警模块进行处理。
9.如权利要求7所述的装置,其特征在于,
所述过滤规则包括有状态参数、优先级参数和过滤条件;
所述过滤匹配模块包括:
第一获取模块,用于获取当前处于激活状态的过滤规则;
第一匹配模块,用于按照优先级参数从高到底的顺序,逐个提取各条处于激活状态的过滤规则的过滤条件,并与所述日志数据进行匹配:若匹配上,则滤除该日志数据;否则,继续提取下一条处于激活状态的过滤规则的过滤条件并进行匹配,直到所有处于激活状态的过滤规则都匹配完毕。
10.如权利要求7所述的装置,其特征在于,
所述转换规则包括有状态参数、优先级参数、转换条件和告警数据参数;
所述告警生成模块包括:
第二获取模块,用于获取当前处于激活状态的转换规则;
第二匹配模块,用于按照优先级参数从高到底的顺序,逐个提取各条处于激活状态的转换规则的转换条件,并与所述日志数据进行匹配:若匹配上,则根据匹配上的转换规则的告警数据参数,生成所述告警数据;否则,继续提取下一条处于激活状态的转换规则的转换条件并进行匹配,直到所有处于激活状态的转换规则都匹配完毕。
11.如权利要求10所述的装置,其特征在于,还包括:
过滤规则设置模块,用于在接收到对第一过滤规则的删除命令时,设置该第一过滤规则的状态为失效状态,但并不物理清除该第一过滤规则;在接收到对第二过滤规则的第一修改命令时,设置该第二过滤规则的状态为失效状态或暂停状态,同时根据所述第一修改命令和第二过滤规则,新建一第三过滤规则;
转换规则设置模块,用于在接收到对第一转换规则的删除命令时,设置该第一转换规则的状态为失效状态,但并不物理清除该第一转换规则;在接收到对第二转换规则的第二修改命令时,设置该第二转换规则的状态为失效状态或暂停状态,同时根据所述第二修改命令和第二转换规则,新建一第三转换规则。
12.如权利要求10所述的装置,其特征在于,
所述日志数据为系统日志Syslog报文;
所述过滤条件为发送Syslog报文的网元的IP地址、Syslog报文的报文长度、程序模块Facility的值、严重性Severity的值或消息MSG部分的关键字;
所述转换条件为发送Syslog报文的网元IP地址、Syslog报文的接收时间、Syslog报文的程序模块Facility的值、严重性Severity的值、或消息MSG部分的关键字。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010159972.7A CN102238023B (zh) | 2010-04-23 | 2010-04-23 | 一种生成网络管理系统的告警数据的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010159972.7A CN102238023B (zh) | 2010-04-23 | 2010-04-23 | 一种生成网络管理系统的告警数据的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102238023A true CN102238023A (zh) | 2011-11-09 |
| CN102238023B CN102238023B (zh) | 2014-03-19 |
Family
ID=44888272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010159972.7A Expired - Fee Related CN102238023B (zh) | 2010-04-23 | 2010-04-23 | 一种生成网络管理系统的告警数据的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102238023B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102970165A (zh) * | 2012-11-20 | 2013-03-13 | 北京思特奇信息技术股份有限公司 | 一种网络设备联合分析告警系统 |
| CN103532760A (zh) * | 2013-10-18 | 2014-01-22 | 北京奇虎科技有限公司 | 用于分析在各主机上执行的命令的分析设备、系统和方法 |
| CN103780601A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种自动建立以太网通信安全规则的方法 |
| CN104092575A (zh) * | 2014-07-29 | 2014-10-08 | 中国联合网络通信集团有限公司 | 一种资源监控方法及系统 |
| CN104601369A (zh) * | 2014-12-15 | 2015-05-06 | 中电长城网际系统应用有限公司 | It运维报警方法、装置和系统 |
| CN105446707A (zh) * | 2014-07-09 | 2016-03-30 | 杭州海康威视系统技术有限公司 | 一种数据转换方法 |
| CN108234245A (zh) * | 2018-01-09 | 2018-06-29 | 上海帝联网络科技有限公司 | 日志内容及日志数据的筛选方法、装置、系统、可读介质 |
| CN108985053A (zh) * | 2018-06-27 | 2018-12-11 | 北京奇安信科技有限公司 | 分布式数据处理方法及装置 |
| CN109002480A (zh) * | 2018-06-20 | 2018-12-14 | 郑州云海信息技术有限公司 | 一种数据处理方法和服务器 |
| CN110990655A (zh) * | 2019-12-23 | 2020-04-10 | 国网黑龙江省电力有限公司 | 一种电力系统电网告警数据的过滤方法 |
| WO2021129849A1 (zh) * | 2019-12-26 | 2021-07-01 | 中兴通讯股份有限公司 | 日志处理方法、装置、设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009586A (zh) * | 2006-01-27 | 2007-08-01 | 华为技术有限公司 | 告警系统中对告警过滤条件的处理方法 |
| CN101312405A (zh) * | 2007-05-24 | 2008-11-26 | 杭州华三通信技术有限公司 | 一种告警处理方法及网管系统 |
| CN101388794A (zh) * | 2008-10-10 | 2009-03-18 | 中兴通讯股份有限公司 | 一种定位网络管理系统异常事件的方法和系统 |
-
2010
- 2010-04-23 CN CN201010159972.7A patent/CN102238023B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009586A (zh) * | 2006-01-27 | 2007-08-01 | 华为技术有限公司 | 告警系统中对告警过滤条件的处理方法 |
| CN101312405A (zh) * | 2007-05-24 | 2008-11-26 | 杭州华三通信技术有限公司 | 一种告警处理方法及网管系统 |
| CN101388794A (zh) * | 2008-10-10 | 2009-03-18 | 中兴通讯股份有限公司 | 一种定位网络管理系统异常事件的方法和系统 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780601A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种自动建立以太网通信安全规则的方法 |
| CN102970165A (zh) * | 2012-11-20 | 2013-03-13 | 北京思特奇信息技术股份有限公司 | 一种网络设备联合分析告警系统 |
| CN102970165B (zh) * | 2012-11-20 | 2015-07-08 | 北京思特奇信息技术股份有限公司 | 一种网络设备联合分析告警系统 |
| CN103532760A (zh) * | 2013-10-18 | 2014-01-22 | 北京奇虎科技有限公司 | 用于分析在各主机上执行的命令的分析设备、系统和方法 |
| CN105446707A (zh) * | 2014-07-09 | 2016-03-30 | 杭州海康威视系统技术有限公司 | 一种数据转换方法 |
| CN105446707B (zh) * | 2014-07-09 | 2020-02-21 | 杭州海康威视系统技术有限公司 | 一种数据转换方法 |
| CN104092575A (zh) * | 2014-07-29 | 2014-10-08 | 中国联合网络通信集团有限公司 | 一种资源监控方法及系统 |
| CN104601369A (zh) * | 2014-12-15 | 2015-05-06 | 中电长城网际系统应用有限公司 | It运维报警方法、装置和系统 |
| CN108234245A (zh) * | 2018-01-09 | 2018-06-29 | 上海帝联网络科技有限公司 | 日志内容及日志数据的筛选方法、装置、系统、可读介质 |
| CN109002480A (zh) * | 2018-06-20 | 2018-12-14 | 郑州云海信息技术有限公司 | 一种数据处理方法和服务器 |
| CN108985053A (zh) * | 2018-06-27 | 2018-12-11 | 北京奇安信科技有限公司 | 分布式数据处理方法及装置 |
| CN108985053B (zh) * | 2018-06-27 | 2020-10-02 | 奇安信科技集团股份有限公司 | 分布式数据处理方法及装置 |
| CN110990655A (zh) * | 2019-12-23 | 2020-04-10 | 国网黑龙江省电力有限公司 | 一种电力系统电网告警数据的过滤方法 |
| WO2021129849A1 (zh) * | 2019-12-26 | 2021-07-01 | 中兴通讯股份有限公司 | 日志处理方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102238023B (zh) | 2014-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102238023B (zh) | 一种生成网络管理系统的告警数据的方法及装置 | |
| CN100544272C (zh) | 网络设备管理系统及其控制方法 | |
| CN106487585A (zh) | 设备综合监控系统架构 | |
| CN103546343B (zh) | 网络流量分析系统的网络流量展示方法和系统 | |
| CN114584401B (zh) | 一种面向大规模网络攻击的追踪溯源系统及方法 | |
| GB2427490A (en) | Network usage monitoring with standard message format | |
| CN106412061A (zh) | 一种基于Linux的日志文件夹远程传输系统 | |
| CN102148827A (zh) | 安全事件管理方法、装置及安全管理平台 | |
| CN103095498A (zh) | 话单采集方法和系统 | |
| US7099736B2 (en) | Operation management system | |
| KR101416280B1 (ko) | 이벤트 처리 시스템 및 방법 | |
| CN101834747A (zh) | 一种适用于各种告警信息格式的数据采集器及其方法 | |
| CN101830240A (zh) | 一种轨道交通集中告警管理系统及其方法 | |
| US10887408B2 (en) | Remote monitoring of network communication devices | |
| CN101482960A (zh) | 一种实现银行大堂营销的方法及系统 | |
| CN102142971A (zh) | 实现订阅-收集机制的监控系统及监控方法 | |
| CN101252487B (zh) | 一种处理安全告警的方法及安全策略设备 | |
| CN102082677B (zh) | 一种告警信息处理方法和装置及系统 | |
| CN101197714B (zh) | 一种移动数据业务状态集中采集的方法 | |
| CN208046653U (zh) | 一种电力监控系统网络安全监测主站平台系统 | |
| CN100505643C (zh) | 一种网络管理系统及其通信方法 | |
| CN103957127B (zh) | 异构厂家传输网络接口适配方法 | |
| CN106330567A (zh) | 一种服务器集群的服务器管理控制方法及系统 | |
| JP2003233417A (ja) | データ通信装置とその方法、およびデータ通信プログラムとそのプログラムを記録した記録媒体 | |
| CN116166499A (zh) | 数据监测方法、装置、电子设备及非易失性存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140319 Termination date: 20180423 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |