CN102257487A - 分析事件 - Google Patents

分析事件 Download PDF

Info

Publication number
CN102257487A
CN102257487A CN2008801322522A CN200880132252A CN102257487A CN 102257487 A CN102257487 A CN 102257487A CN 2008801322522 A CN2008801322522 A CN 2008801322522A CN 200880132252 A CN200880132252 A CN 200880132252A CN 102257487 A CN102257487 A CN 102257487A
Authority
CN
China
Prior art keywords
sequence
events
incident
distance
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2008801322522A
Other languages
English (en)
Other versions
CN102257487B (zh
Inventor
鲁思·伯格曼
迈克尔·阿哈伦
查希·罗斯鲍姆
拉姆·阿拉德
C.斯泰林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of CN102257487A publication Critical patent/CN102257487A/zh
Application granted granted Critical
Publication of CN102257487B publication Critical patent/CN102257487B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/26Visual data mining; Browsing structured data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0481Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Computational Linguistics (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • User Interface Of Digital Computer (AREA)
  • Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)

Abstract

其中基于描述一个或多个事件的事件记录(20)来识别所述事件的序列(44、46)的事件分析方法和设备。确定表示所述序列(44、46)中的一些之间的距离的相应距离值(28)。基于距离值(28)来构造目标度量空间中的点的配置,其中,每个点表示序列(44、46)中的相应一个。在显示器(34)上呈现所述配置的可视表示(38)。

Description

分析事件
背景技术
从电信网络到办公室打印机的几乎所有复杂的系统都包括事件监视器,其生成提供能够用来维修系统的信息的事件流(例如,信息消息、警告和错误消息)。根据系统的类型和大小,典型的一天中可以生成几百个或者甚至几百万个事件。把此类大量的事件整理归类的过程是繁重的,并且妨碍操作员识别故障并修理系统的能力。为此原因,许多系统包括自动化事件过滤系统,其尝试滤出不能提供信息的事件以便减少呈现给用户的事件的数目。事件过滤规则通常由目标系统领域的专家主要基于他或她对正在被监视的系统的知识来编写和确认。此过程通常涉及大量的反复试验。
需要的是用于在开发事件过滤规则时帮助领域专家及其它用户的系统和方法。
发明内容
在一方面,本发明的特征在于一种方法,依照该方法,基于描述事件的事件记录来识别一个或多个事件的序列。确定表示序列中的一些序列之间的距离的相应距离值。基于距离值来构造目标度量空间中的点的配置,其中,每个点表示序列中的相应一个序列。在显示器上呈现该配置的可视表示。
本发明的特征还在于可操作用于实现上述发明方法的装置和存储促使计算机实现上述发明方法的计算机可读指令的计算机可读介质。
通过以下说明(包括附图和权利要求),本发明的其它特征和优点将变得显而易见。
附图说明
图1是事件分析系统的实施例的方框图。
图2是事件分析方法的实施例的流程图。
图3是其中已识别了两个事件序列的示例性事件流的示意图。
图4是确定目标度量空间中的点的配置的多维标度方法的实施例的流程图。
图5是用于图1的事件分析系统的图形用户界面的实施例的示意图。
图6是用于图1的事件分析系统的图形用户界面的实施例的示意图,示出将一组序列合并的结果。
图7是由图1的事件分析系统的实施例生成的报告的实施例的示意图,所述报告示出应用过滤规则的结果。
图8是实现图1的事件分析系统的实施例的计算机的实施例的方框图。
具体实施方式
在以下说明中,使用相同的附图标记来识别相同的元件。此外,附图意图以图表的方式来说明示例性实施例的主要特征。附图并不意图描绘实际实施例的每个特征或所描绘元件的相对尺寸,并且不是按比例绘制的。
I.介绍 
本文所述的实施例提供了使得领域专家及其它用户能够分析事件流并开发事件过滤规则的事件分析系统和方法。某些实施例在事件流内发现显著的事件序列并提供用于对所发现的序列进行可视化、分析和概括的工具。在这些实施例的某些中,在显示器上将事件序列可视化为二维配置的点,其中,通过被更接近地分组在一起的点来表示相似的序列并通过更远地间隔开的点来表示无关的序列。此类可视化允许用户容易地认出频繁地发生的情形并使得他们能够容易地针对给定情形将重要事件与不重要事件分离。这样,这些实施例给用户提供其能够用来定义滤出事件的规则的对于事件数据的认识。某些实施例提供用于将事件流精炼为事件过滤规则的工具和用于确认那些事件过滤规则的工具。
II.分析事件 
A.介绍 
图1示出包括事件映射器12、距离计算器14和可视化引擎16的事件分析系统10的实施例。
图2示出由事件分析系统10实现的事件分析方法的实施例。
依照图2的方法,事件映射器12基于描述一个或多个事件的事件记录20来识别那些事件的序列(图2,方框18)。在此过程中,事件映射器12识别相关事件的序列。事件映射器12生成定义所识别的相关事件的序列的输出24。在所示的实施例中,输出24被传递至距离计算器14和可视化引擎16。在其它实施例中,输出24被以表格或其它数据结构的形式存储在能够被距离计算器14和可视化引擎16访问的数据库22中。
距离计算器14确定表示序列24中的一些序列之间的距离的相应距离值(图2,方框26)。通常,用来计算距离值的距离度量可以对应于多种不同距离度量中的一个或多个。下面详细地描述在距离计算器14的实施例中用来计算距离值的示例性距离度量。距离计算器14向可视化引擎16传送包含所计算的距离值的输出28。
可视化引擎16基于距离值28来构造目标度量空间中的点的配置(图2,方框30)。该配置中的每个点表示事件序列中的相应的一个且每个序列中的组成事件对应于相应点的属性。目标度量空间通常是p维欧几里得空间,其中,p是大于一的整数值。在所示的实施例中,目标度量空间是二维欧几里得空间。可视化引擎16将成对的序列之间的接近性或相异性转换成目标度量空间中的全局结构,其中,该全局结构中的点之间的欧几里得距离反映成对的序列之间的相异性。这样,相似的序列被更接近地分组在一起且无关序列被更远地间隔开。可视化引擎16生成定义点配置的输出32。
基于由可视化引擎16生成的输出32,在显示器34上呈现该配置的可视表示(图2,方框36)。在所示的实施例中,目标度量空间对应于二维欧几里得空间(即,p=2),并且该配置在显示器34上被可视化为二维图像38。在本实施例中,图像38中的点的不同的大小和阴影表示同一事件序列的不同发生数目。在图像38中,点之间的相对间距反映点之间的相异性的水平。因此,对应于相似事件序列的点相互更接近地隔开,并且对应于不相似事件序列的点相互更远地间隔开。此类可视化允许用户容易地认出频繁地发生的情形并使得他们能够容易地针对给定情形将重要事件与不重要事件分离。这样,这些实施例给用户提供其能够用来定义滤出事件的规则的对于事件数据的认识,如下面详细描述的。
B.将事件与点相关联 
如上文所述,事件映射器12基于描述一个或多个事件的事件记录20来识别那些事件的序列(图2,方框18)。
在此过程中,事件记录20被输入到事件映射器12中。在所示的实施例中,事件映射器12从数据库22接收事件记录20,数据库22可以是本地或远程数据库。在其它实施例中,事件映射器12可以从另一源接收事件记录20(例如,直接从最初生成事件记录20的目标系统的事件生成组件接收事件记录20)。
事件记录20通常对应于由目标系统(例如,电信网络或印刷机)的事件生成组件生成并写入日志文件的消息。在某些实施例中,每个事件记录20通常包括报头字段(例如,时间戳、源/目的地地址、路由标识符、优先等级)和有效负荷数据,所述有效负荷数据通常包括描述触发事件记录的生成的事件的性质的数据(例如事件代码和其它参数值)。在某些实施例中,由提取、传输和加载(ETL)应用来处理事件记录20,所述应用处理事件日志文件(例如通过执行诸如数据清洁的常规仓库功能),将已处理事件数据格式化成预定义记录格式,并将结果得到的事件记录20加载到数据库22中。
事件映射器12处理事件记录20以识别相关事件(例如,涉及同一物理现象或问题的事件)的序列。在某些实施例中,事件记录20通常对应于按照与事件相关联的参数值(例如,诸如时间戳值的时间参数值或诸如序列号值的其它参数值)排序的事件的相应序列(或级联)。在这些实施例中,事件映射器12解析事件记录20以得到先后顺序信息(例如,时间戳数据或序列号数据)和描述对应事件的有效负荷数据。事件映射器12然后基于一个或多个领域特定序列定义来识别事件序列。示例性序列定义通常包括定义事件序列的开始的至少一个打开(opening)条件和定义事件序列的结束的至少一个关闭(closing)条件。通常在基于正在被监视的系统的领域特定知识提出的打开和关闭定义的广泛测试和确认之后确定打开和关闭条件。在一个示例性实施例中,已经针对可从美国加利福尼亚州帕洛阿尔托市的惠普公司获得的INDIGO?数字印刷机的实施例定义了以下打开和关闭条件。
打开序列条件: 
· 在印刷机正在印刷的同时发生并将促使印刷机在紧接着的时间帧中停止印刷的事件(机器状态=PRINT_STATE(印刷状态)且事件紧急程度=ERRURG_IMMEDIATELY或ERRURG_SEPERATION)。
关闭序列条件: 
· PRINT_JOB_INTERRUPT(印刷作业中断)事件之后n秒(通常n=2)。
· 从PRINT_STATE到非印刷状态的机器状态变化。
· 自从序列被打开以来已经印刷了k个印刷品(通常k=7)。 
· 自从序列被打开以来已逝去了y秒(通常y=15)。
· 新的作业开始印刷,即发生PRINT_JOB_START(印刷作业开始)事件。
事件映射器12通过向经解析的事件记录数据应用打开和关闭条件来识别事件序列。图3示出其中已经识别了两个事件序列44、46的事件42的示例性流40。在某些实施例中,事件映射器12生成将事件记录20与已识别序列中的相应一些序列相关联的数据结构(例如,表格)。
C.确定距离 
1. 介绍
如上文所述,距离计算器14确定表示点24中的一些点之间的距离的相应距离值(图2,方框26)。
通常,用来计算距离值的距离度量可以对应于多种不同距离度量中的一个或多个。在某些实施例中,距离度量反映点的组成事件之间的固有差异。在这些实施例的某些中,距离度量对于反映正在被监视的系统中的不同问题的事件序列产生较大的距离值,并在反映相同问题的事件序列之间产生较低(例如,非常低,或者甚至为零)的值。定义距离度量的过程通常取决于正在被监视的系统的详细知识。
可以使用各种不同的距离度量来计算距离28,包括但不限于以下距离度量及其变化: 
· 有序距离度量 
· 余弦距离度量(例如,无序距离度量) 
· 部分有序距离度量 
· Jaccard距离度量 
可以单独地或相组合地使用这些距离度量。
2. 有序距离度量 
有序距离度量(也称为“编辑距离”)基于通过替换事件、删除事件和插入事件来将一个序列转换成另一个的确定的成本来测量事件序列之间的距离,其中,可以根据与事件相关联的一个或多个参数(例如,事件类型)不同地对每个操作的成本进行加权。
在某些实施例中,将一对事件序列s1和s2之间的有序距离度量定义为将s1变成s2所需的点变化的最小数目,其中,点变化是:(1)改变事件;(2)插入事件;或(3)删除事件中的一个。可以以多种不同的方式来计算有序距离度量。
在某些实施例中,基于在网站www.csse.monash.edu.au/~lloyd/tildeAlgDS/Dynamic/Edit/中描述的动态编程方法来计算有序距离度量。依照该方法,以下递推关系定义串s1和s2之间的有序距离d(s1, s2): 
Figure DEST_PATH_IMAGE002
其中,' '表示空序列,|s|表示序列的长度(事件的数目),e1是s1的最后一个事件,并且e2是s2的最后一个事件。基于正在被监视的特定系统来定义成本函数cost_subst(e1, e2)、cost_delete(e1)和cost_insert(e2)。
在某些实施例中,如下定义成本函数: 
如果e1=e2,cost_subst(e1, e2)=0,否则cost_subst(e1, e2)=1
对于所有的e1 != ' ',  cost_delete(e1)=1
对于所有的e1 != ' ', cost_insert(e1)=1
在上述INDIGO?数字印刷机的实施例中,这些成本函数中的一个或多个取决于事件是否被报告给操作员。例如,在这些实施例的某些中,如下定义成本函数: 
如果e1=e2,cost_subst(e1, e2)=0,否则cost_subst(e1, e2)=1
如果报告e1 , cost_delete(e1)=1否则cost_delete(e1)=0
如果报告e1 , cost_insert(e1)=1 否则cost_insert(e1)=0
在其它实施例中,基于用于编辑距离的Wagner-Fischer算法来计算有序距离度量(参见例如http://en.wikipedia.org/wiki/ Levenshtein_distance)。
3. 无序距离度量 
无序距离度量是余弦距离度量的变化,其基于序列中相似事件的数目(通常被加权)相对于不同事件的数目来测量事件序列之间的距离。在此过程中,确定相应的事件序列对中的一些主要事件之间的相似性水平。
在某些实施例中,如下计算无序距离度量。给定事件序列I = [i1, i2, … ik]和J = [j1, j2, …, jl],和分别分配给事件的一组权重,如下计算事件序列之间的无序距离:
如果(I∩J)={},则距离=最大距离
否则,距离=权重和((I∪J)/(I∩J))除以权重和((I∩J)) 
如果距离=0,令:距离=最小距离。
其中(I∩J)是集合I和J之间的交集,(I∪J)是集合I和J的并集,并且A/B被定义为未包括在集合B中的集合A中的所有元素。权重可以是默认权重,或其可以由用户来设置。在上述INDIGO?数字印刷机的实施例中,基于事件是否是“已报告”还是“未报告”事件来自动地设置权重,其中,已报告事件是由目标系统的事件生成组件报告给用户的事件,并且未报告事件是未被目标系统的事件生成组件报告给用户的事件。最大和最小距离通常是对应于距离值的指定范围的极值的恒定值。例如,在某些示例性实施例中,最大距离是999999且最小距离是0.001。
4. 部分有序距离度量
部分有序距离度量主要基于序列中的主要事件中的一个或多个来测量事件序列之间的距离(例如,通过给序列中的主要事件中的一个或多个赋予比序列中其它事件更高的重要性)。
在上述INDIGO?数字印刷机的实施例中,部分有序距离指的是每个序列中的第一报告事件。如果第一报告事件是相似的,则将部分有序距离设置为小的值,否则将其设置为大的值。特别地,给定事件序列I=[i1, i2, …ik]、J=[j1, j2, …, jl],并且Ir是序列I中的第一报告事件(所有事件被分类为“已报告”事件或“未报告”事件,并且此数据被提供给算法),并且Jr是序列J中的第一报告事件。如下计算部分有序距离度量: 
如果Ir=Jr,距离=1,否则:距离=100。
D. 构造点的配置
如上文所述,可视化引擎16基于距离值28来构造目标度量空间中的点24的配置(图2,方框30)。在此过程中,可视化引擎16将成对点24之间的距离值28转换成目标度量空间中的全局结构,其中,全局结构中的点之间的欧几里得距离反映成对点之间的相异性。这样,通过被更接近地分组在一起的点来表示相似序列,并且通过更远地间隔开的点来表示无关序列。
图4示出可视化引擎16用来在目标度量空间中构造点24的配置的方法的实施例。依照该实施例,可视化引擎16设置初始配置X[0],计算用于配置X[0]的应力函数
Figure DEST_PATH_IMAGE004
Figure DEST_PATH_IMAGE006
,并设置索引参数k=0(图4,方框50)。 可视化引擎16使索引参数递增(图4,方框52)。可视化引擎16使用优化(majorization)规则来更新当前配置X[k](图4,方框54)。可视化引擎16计算当前应力函数
Figure DEST_PATH_IMAGE008
(图4,方框56)。重复该过程(图4,方框52~56),直至当前和前一应力函数值之间的差(即
Figure DEST_PATH_IMAGE010
-
Figure 455151DEST_PATH_IMAGE008
)小于阈限值(ε),或者k达到迭代阈限(max_iter)(图4,方框58、60)。
配置Xk是大小为N×p的矩阵,其中,N是点的数目,并且p是目标度量空间的维度。在所示的实施例中,p=2(即,每个点有X和Y坐标)。如下定义应力函数: 
Figure DEST_PATH_IMAGE012
其中,wij是分配给成对的点i和j之间的距离的权重,dij(X)是配置X中的点i和j之间的欧几里得距离,并且δij是点i和j之间的给定或理想距离(作为到算法的输入而给出)。权重wij的值是被输入到可视化引擎16中的参数值,并且δij是由距离计算器14计算的距离值。在某些实施例中,权重wij的值反映所计算的点i和j之间的距离的置信度。
使用应力函数σ(X)来评估点X的不同配置。使应力函数σ(X)最小化的配置产生其中接近在一起的点对应于相似序列的点的图。在某些实施例中,如下针对二维目标度量空间中的N个点来计算初始配置X[0],其中,距离是每对点之间的N×N距离矩阵: 
Figure DEST_PATH_IMAGE014
其中,IN×N是大小为N×N的恒等矩阵,1N×N是包含全一并具有大小N×N的矩阵,并且M.Λ2是其中每个元素被平方的矩阵/向量M。在此过程结束时,Q将保持与存储在L中的2个最大特征值相对应的矩阵B的两个特征矢量。矩阵z保持所计算的配置(即,N个点中的每一个的X和Y坐标) 。
可以使用多种不同的方法来确定使应力函数σ(X)最小化的配置,包括但不限于迭代最陡下降法和迭代优化法。在所示的实施例中使用迭代优化法。在该实施例中,如下进行根据优化规则的配置X[k]的更新:
Figure DEST_PATH_IMAGE016
.
其中,X[k-1]是迭代(k-1)中的已知配置,W是大小为N×N的权重矩阵,并且V+是矩阵V的Moore-Penrose伪逆。
E. 呈现配置的可视表示 
如上文所述,基于由可视化引擎16生成的输出32在显示器34上呈现配置的可视表示(图2,方框36)。
图5是用于事件分析系统10(参见图1)的图形用户界面62的实施例的示意图。在某些实施例中,事件分析系统10对三个输入文件进行操作:(1)EventGroups.txt,其为包括在主机计算机系统上检测的序列的文本文件;(2)EventList.txt,其为具有以下信息的包括所有可能事件的文本文件:ID、名称、种类、紧急程度和维修;以及(3)ReportedEvents.txt,其为包括所有已报告事件的列表的文本文件。可以通过选择文件菜单按钮和文件菜单中的定义输入文件选项来改变输入文件。此选项允许用户定义三个输入文件的目录和名称。用户可以通过选择文件菜单按钮和文件菜单中的距离选项来选择在确定配置时使用的距离度量。此选项允许用户选择可能的距离度量中的一个。用户可以通过选择文件菜单按钮、选择文件菜单中的初始化选项和选择初始化菜单中的加载文件和重新计算选项来使配置被重新计算。此选项将加载三个文本文件,根据所选的距离度量来计算距离矩阵,根据所计算的距离来确定配置,并在可视化窗口64中显示该配置。
当规则设计师已经定义了一个或多个过滤规则(下面描述)且现在只想看看未被任何合并序列模板捕捉的序列、以便能够定义捕获这些未被捕捉事件的合并序列模板时,“仅用未被捕捉序列工作”单选按钮69是有用的。“仅用未被捕捉序列工作”单选按钮69的选择将当前过滤规则集捕获的所有事件序列从可视化窗口64中消除。结果得到的(较小的)未被捕捉事件序列集通常使得更容易定义附加的过滤规则。
图形用户界面62包括可视化窗口64。可视化窗口64示出了点的配置的图形描绘38。在所示的实施例中,每个圆圈表示事件序列。圆圈的大小和色彩表示对应序列发生的次数。圆圈越大,序列发生次数越多。在图像38中,点之间的相对间距反映点之间的相异性水平。因此,对应于相似事件序列的点相互间隔更近,并且对应于不相似事件序列的点相互更远地间隔开。可以例如通过将计算机鼠标指针移动到可视化窗口64中所示的圆圈上来检验序列。对应于由鼠标指针选择的圆圈的序列被呈现在列表框74中,其中在每个序列前面的数字描述该序列在当前数据集中发生的次数。此类可视化允许用户容易地认出频繁地发生的情形并使得其能够容易地针对给定情形将重要事件与不重要事件分离。这样,这些实施例为用户提供了其能够用来定义滤出事件的规则的对于事件数据的认识。
图形用户界面62还包括下拉列表框66、“分析”按钮68、“合并”按钮70、和“显示序列”按钮72。
下拉列表框66包含在当前事件分析项目或情形中可用的所有事件。该事件通常被按照字母顺序列出。下拉列表66允许用户选择事件,并查看例如包括所选事件的序列位于可视化窗口64中所示的配置中的什么位置。
分析按钮88能够被用户选择以促使事件分析系统10显示与在下拉列表66中选择的事件有关的报告。该报告包括与包括除第一报告事件之外的在任何位置上的所选事件的所有序列相比包括所选事件作为其第一报告事件的所有序列。
合并按钮70能够被用户选择以促使事件分析系统10依照成对事件对准方法来合并所选事件序列,所述成对事件对准方法保留出现在所有序列中的重要事件并丢弃零星发生的事件。响应于合并按钮70的用户选择,事件分析系统10将所有所选序列(例如,使用显示序列按钮72、在可视化窗口64中绘制包围点的矩形和使用选择按钮84选择的序列)合并并打开呈现合并操作的结果的合并报告。在某些实施例中,合并报告仅显示无序合并的序列和结果,或者显示还包括有序合并结果的更全面的报告。在某些实施例中,可以通过打开上下文菜单(例如,通过点击计算机鼠标的右键)并在上下文菜单列表中选择“简单合并”和“完全合并”中的一个来选择合并报告的类型。通常在图6所示的单独图形用户界面(下文描述)中呈现了合并报告。
显示序列按钮72能够被用户选择以促使事件分析系统10突出显示在可视化窗口64中所示的配置中的所有圆圈,其表示包括在下拉列表66中选择的事件的序列。突出显示的序列组成将被用来生成一个或多个合并序列模板的序列的当前工作集。
图形用户界面62另外包括“群组事件包括”文本框76和“最小数目报告事件”文本框78。当用户向字段“群组事件包括”文本框76输入值时,在其名称中包括此串的所有事件被视为一个事件。此功能可以用来例如通过将在其描述中包括‘PCN_JAM’的所有事件聚集成组来区分JAM事件(纸被卡住)和其它事件。输入到文本框78中的值控制将显示的序列(来自从数据库提取的所有序列)。特别地,将仅显示具有所要求的最小数目的报告事件的序列(通常应该用一个或多个过滤规则来过滤这些序列,因为在序列中的报告事件越多,其在操作期间越倾向于干扰操作员)。
图形用户界面62还包括包含“检查”按钮82、“选择”按钮84、“距离测量”按钮86和“矩形”按钮88的按钮组80。检查按钮82能够被用户选择以使得用户能够查看序列中的所选的一些序列(例如,当用户将指针移动到在可视化窗口中呈现的圆圈上或用户点击此类圆圈时,在列表框74中显示所表示的序列,其中,左列中的数字是从数据库提取的序列的不同发生次数。选择按钮84允许用户通过点击在可视化窗口64所示的配置中的圆圈来选择一组序列。距离测量按钮86能够被用户选择以促使事件分析系统10呈现由用户选择的两个序列之间的距离。在某些实施例中,在点击距离测量按钮86之后,提示用户点击呈现的配置上的两个圆圈(表示两个序列),并呈现对应序列之间的距离)。矩形按钮88允许用户定义在可视化窗口64中呈现的配置上的矩形,其促使事件分析系统选择被该矩形包围的所有序列并在列表框74中呈现所选的序列。
“报告未捕捉”按钮90能够被用户选择以促使事件分析系统10显示具有未被任何当前定义的过滤规则捕捉的所有序列的报告。这允许规则设计师查看到目前为止还未被处理的序列并针对这些未被捕捉的事件序列设计过滤规则。“标记未被捕捉序列”单选按钮91的用户选择突出显示在可视化窗口64所示的配置中的表示未被任何已定义过滤规则捕捉的序列的所有圆圈。此特征向规则设计师显示这些序列位于所呈现的配置中的什么位置;根据此视图,规则设计师能够确定用于设计捕获这些序列的一个或多个过滤规则的起始点。
“统计”按钮92的选择促使事件分析系统10显示关于所选序列的基本统计信息(例如,存在多少具有一个已报告事件、具有两个已报告事件等的序列)。
“仅用未被捕捉序列工作”单选按钮94的选择允许用户使所分析的序列集仅仅局限于未被任何过滤规则(下述)捕捉的那些序列。然后,用户可以对缩小的事件序列集重复该分析(例如,根据距离度量中的一个的距离计算、点配置计算等)。这允许用户在每个合并序列模板定义之后用较小的序列集进行工作,其中,在每次迭代时能够使用不同的度量和试探法来分析事件。
F. 合并序列并生成事件过滤规则 
如上文所解释的,合并按钮70的用户选择能够被用户选择以促使事件分析系统10依照成对事件对准方法来合并事件序列,所述成对事件对准方法保留重要事件并丢弃零星发生的事件。
图6示出呈现合并结果并使得用户能够修改合并过程的图形用户界面100的实施例。图形用户界面100提供具有以下三个部的合并报告:所选序列部102和有序合并结果部104和无序合并结果部106。
所选序列部102列出已经从数据库提取的所有事件序列,其中,列表的左列包含序列在数据库中的不同发生次数。
有序合并结果部104包含将序列中的事件的顺序考虑在内的规则。用户可以通过选择合并更多按钮108和合并更少按钮110来改变当前合并水平。以“合并序列模板”的形式来呈现合并结果。合并序列模板包括事件和“空间”并定义事件的相对排序。空间表示一个事件或零个事件。例如,可能的合并序列模板如下:
Figure DEST_PATH_IMAGE018
 。此合并序列模板捕获包括事件X之后的事件Y的所有序列和包括在X之后的事件之后的事件Y的所有序列。在X之前或Y之后可以是一个事件。在另一示例中,如果所选事件序列是: 
1. A B C
2. A D C 
3. A F C
4. C J K
然后,序列窗口列表将显示那些序列,并且规则列表将显示: 
1. A____C
2. C J K
在本示例中,由规则1来捕捉前三个序列,并且由合并序列模板2来捕捉第四序列。规则设计师能够通过选择一行(序列或规则)来看到序列与规则之间的联系,并且列表框102中的对应的行将被标记。
合并更多按钮108和合并更少按钮110允许用户修改合并序列模板,使得其在没有过度包括的情况下涵盖相当一部分的事件序列。响应于合并更多按钮108的用户选择,事件分析系统10根据试探法将当前合并序列模板一般化(例如,通过丢弃上述示例性合并序列模板中的事件X和Y中的一个)。响应于合并较少按钮100的用户选择,事件分析系统10使得当前规则更加特定(例如,通过向当前合并序列模板添加一个或多个条件)。
无序合并结果部106列出事件序列中的所有事件及其相应的发生频率。每个序列被当作一组事件,且事件顺序没有任何重要性。在无序合并结果部106中,每个事件连同包括该事件的序列的数目一起被单独地列出。通常按照事件的发生次数的顺序来呈现事件,其中,通常首先呈现最频繁的事件(即,出现在最多序列中的事件)。
事件分析系统10显示在部102~106之间的交叉引用。例如,响应于所选序列部102中的序列的用户选择,在有序合并结果部104中突出显示引用所选序列的合并结果,并且在无序合并结果部106中突出显示所选序列中的所有事件。并且,响应于有序合并结果部104中的合并序列模板的用户选择,突出显示服从所选合并序列模板的所选序列部102中的所有序列。另外,响应于无序合并结果部106中的事件的用户选择,在所选序列部102中突出显示包括此事件的所有序列。
规则设计师能够使用图形用户界面62以便通过标记图形用户界面62中的一组序列并点击合并按钮70(参见图5)来自动地计算合并序列模板。规则设计师然后能够分析或修改呈现在图形用户界面100(参见图6)中的有序合并结果部104中的合并序列模板。基于此分析,规则设计师能够确定用于给定的一组序列的适当事件过滤规则。过滤规则具有前提和结果,其中,前提是合并序列且结果是事件。在所示的实施例中,当合并序列与前提匹配时,事件过滤系统用结果来替换匹配的序列。规则设计师能够使用合并序列模板来定义捕捉反映相似问题的序列的事件过滤规则。例如,基于上述示例性合并序列模板,规则设计师可以如下定义最终事件过滤规则:“包括事件X之后的事件Y的所有序列应导致事件Z的事件过滤输出”。
事件分析系统使得用户能够对照整个数据库确认每个事件过滤规则以便验证其捕捉了所有相关序列且未捕捉其它序列。图7示出规则结果报告116的实施例,其示出服从所选事件过滤规则的数据库中的事件和序列的列表。
在某些实施例中,将事件过滤规则编码为XML文件,其可以被手动地或使用规则生成工具来编写。然后可以将已编码规则加载到目标系统中。目标系统将已编码规则转换成有限状态机(FSM)。有限状态机实现业务逻辑,所述业务逻辑收听由目标系统生成的事件流、抑制被事件过滤规则的事件生成组件捕获的其中一些事件的呈现并输出与触发事件流的生成的物理现象有关的描述性数据和恢复信息。在某些实施例中,事件过滤系统每次接收一个事件并处理该事件。使用领域特定序列定义,事件过滤系统确定事件何时包括相关序列。不是已定义序列的一部分的事件被传递至将事件报告给用户的用户界面。是已定义序列的一部分的事件被提供给实现事件过滤规则的有限状态机。当系统发现序列的结束时,其向有限状态机发送终止序列事件。那时,如果任何有限状态机对序列进行响应,则其输出将被发送到用户界面,而不是事件的原始序列被发送到用户界面。根据事件过滤规则和输入事件流,有限状态机可以通过不采取动作、输出来自事件流的原始事件中的一个或多个或输出与对应于事件序列的物理现象有关的描述性数据和恢复信息来对输入事件序列进行响应。
III. 示例性事件分析系统架构 
可以由不限于任何特定硬件、固件或软件配置的一个或多个分立模块(或数据处理组件)来实现事件分析系统10的实施例。在所示的实施例中,可以在任何计算或数据处理环境中实现模块,包括在数字电子电路(例如,专用集成电路,诸如数字信号处理器(DSP))中或在计算机硬件、固件、设备驱动器或软件中实现。在某些实施例中,模块的功能被组合到单个数据处理组件中。在某些实施例中,由一组相应的多个数据处理组件来执行一个或多个模块中的每一个的相应功能。
在某些实施方式中,用于实现由事件分析系统10的实施例执行的方法的过程指令(例如,机器可读代码,诸如计算机软件)以及其生成的数据被存储在一个或多个机器可读介质中。适合于有形地体现这些指令和数据的存储设备包括所有形式的非易失性计算机可读存储器,包括例如诸如EPROM、EEPROM和闪存设备的半导体存储器设备、诸如内部硬盘和可移除硬盘的磁盘、磁光盘、DVD-ROM/RAM和CD-ROM/RAM。
通常,可以在包括台式计算机、工作站计算机和服务器计算机的多种电子设备中的任何一个中实现事件分析系统10的实施例。
图8示出能够实现本文所述的事件分析系统10的任何实施例的计算机系统120的实施例。计算机系统120包括处理单元122(CPU)、系统存储器124和将处理单元122耦合到计算机系统120的各种组件的系统总线126。处理单元122通常包括一个或多个处理器,其中的每一个可以采取各种市售处理器中的任何一个的形式。系统存储器124通常包括存储基本输入/输出系统(BIOS)的只读存储器(ROM)和随机存取存储器(RAM),所述BIOS包含用于计算机系统120的启动例程。系统总线126可以是存储器总线、外围总线或本地总线,并且可以与多种总线协议中的任何一个兼容,所述总线协议包括PCI、VESA、MicroChannel(微通道)、ISA和EISA。计算机系统120还包括持久性存储存储器128(例如,硬盘驱动器、软盘驱动器、CD ROM驱动器、磁带驱动器、闪存设备和数字视频盘),其被连接到系统总线126并包含提供数据、数据结构和计算机可执行指令的非易失性或持久性存储的一个或多个计算机可读介质盘。
用户可以使用一个或多个输入设备130(例如,键盘、计算机鼠标、麦克风、操纵杆和触控板)来与计算机120相交互(例如,输入命令或数据)。可以通过在由显示控制器134控制的显示监视器132上向用户显示的图形用户界面(GUI)来呈现信息。计算机系统120通常还包括诸如扬声器和打印机的外围输出设备。可以通过网络接口卡(NIC)136将一个或多个远程计算机连接到计算机系统120。
如图8所示,系统存储器124还存储事件分析系统10、GUI驱动器138和包含输入数据、处理数据和输出数据的至少一个数据库140。在某些实施例中,组成平衡和色彩驱动内容检索系统10与GUI驱动器138和用户输入端130对接以呈现用于管理和控制事件分析系统10的操作的用户界面。
IV. 结论 
本文所述的实施例提供了使得领域专家及其它用户能够分析事件流并开发事件过滤规则的事件分析系统和方法。如上文详细地解释的,某些实施例在事件流内发现显著的事件序列并提供用于对所发现的序列进行可视化、分析和一般化的工具。可视化工具使得用户能够容易地认出频繁地发生的情形并将给定情形中的重要事件与不重要事件分离。这样,这些实施例为用户提供其能够用来定义滤出事件的规则的对于事件数据的认识。某些实施例提供了用于将事件流精炼成事件过滤规则的工具和用于确认这些事件过滤规则的工具。
其它实施例在权利要求的范围内。

Claims (15)

1. 一种事件分析方法,包括: 
基于描述一个或多个事件的事件记录(20)来识别所述事件的序列(44、46); 
确定表示所述序列(44、46)中的一些序列之间的距离的相应距离值(28); 
基于距离值(28)来构造目标度量空间中的点的配置,其中,每个点表示所述序列(44、46)中的相应一个;以及 
在显示器(34)上呈现所述配置的可视表示(38)。
2. 权利要求1的方法,其中,所述识别包括基于一个或多个序列定义来识别事件序列(44、46),其中,每个序列定义包括定义事件序列的开始的至少一个条件和定义事件序列的结束的至少一个条件。
3. 权利要求1的方法,其中,所述确定包括基于距离度量来查明成对序列(44、46)之间的相应距离。
4. 权利要求3的方法,其中,所述查明包括基于分配给事件中的相应事件的可变权重值来确定所述距离。
5. 权利要求1的方法,还包括在显示器(34)上呈现使得用户能够对事件序列(44、46)中的一些事件序列执行操作的图形用户界面(62、100)。
6. 权利要求5的方法,还包括响应于通过图形用户界面(62、100)接收到的用户输入来将事件序列(44、46)中的一些事件序列合并。
7. 权利要求6的方法,其中,所述合并包括识别在事件序列(44、46)间被共同地共享的事件,并且还包括以识别所识别的事件的相应排序的格式在图形用户界面(100)中呈现所识别的事件。
8. 权利要求7的方法,还包括在图形用户界面(100)中显示满足所识别的事件的相应排序的事件列表。
9. 权利要求5的方法,其中,所述识别包括解析事件记录(20)的流,基于该解析来识别一组事件序列(44、46),并基于通过图形用户界面(62)接收到的用户输入来选择已识别组中的一个或多个事件序列。
10. 权利要求5的方法,还包括在图形用户界面(62)中呈现一个或多个用户可选距离度量,并且其中,所述确定包括基于所述距离度量中的用户选择的一个所选距离度量来查明成对序列(44、46)之间的相应距离。
11. 权利要求5的方法,还包括接收事件过滤规则的用户指定,针对一组事件序列(44、46)应用所指定的事件过滤规则,并在显示器(34)上呈现满足指定的事件过滤规则的事件序列(44、46)中的一些和未能满足指定的事件过滤规则的所述组中的事件序列(44、46)中的一些。
12. 一种事件分析系统,包括: 
计算机可读存储器(124、128),其存储计算机可读指令;以及 
耦合到所述存储器(124、128)的数据处理单元(122),其在操作中用于执行所述指令并至少部分地基于所述指令的执行在操作中用于实施包括以下步骤的操作: 
基于描述一个或多个事件的事件记录(20)来识别所述事件的序列(44、46); 
确定表示所述序列(44、46)中的一些序列之间的距离的相应距离值(28); 
基于距离值(28)来构造目标度量空间中的点的配置,其中,每个点表示所述序列(44、46)中的相应一个;以及 
在显示器(34)上呈现所述配置的可视表示(38)。
13. 权利要求12的设备,其中,基于所述指令的执行,数据处理单元(122)在操作中用于实施包括以下步骤的操作:在显示器(34)上呈现包括使得用户能够对事件序列(44、46)中的一些事件序列实施包括以下至少之一的操作的界面的图形用户界面(62、100):选择在所述确定时使用的多个距离度量中的一个;将序列(44、46)中的一些合并;以及针对一组事件序列(44、46)应用所指定的事件过滤规则,并在显示器(34)上呈现满足指定的事件过滤规则的事件序列(44、46)中的一些和未能满足指定的事件过滤规则的所述组中的事件序列(44、46)中的一些。
14. 一种存储计算机可读指令的计算机可读介质,所述计算机可读指令在被计算机执行时促使计算机实施包括以下步骤的操作: 
基于描述一个或多个事件的事件记录(20)来识别所述事件的序列(44、46); 
确定表示所述序列(44、46)中的一些序列之间的距离的相应距离值(28); 
基于距离值(28)来构造目标度量空间中的点的配置,其中,每个点表示所述序列(44、46)中的相应一个;以及 
在显示器(34)上呈现所述配置的可视表示(38)。
15. 权利要求14的计算机可读介质,其中,在被计算执行时,所述计算机可读指令促使计算机实施包括以下步骤的操作:在显示器(34)上呈现包括使得用户能够对事件序列中的一些事件序列实施包括以下至少之一的操作的界面的图形用户界面(62、100):选择在所述确定时使用的多个距离度量中的一个;将序列(44、46)中的一些合并;以及针对一组事件序列(44、46)应用所指定的事件过滤规则,并在显示器(34)上呈现满足指定的事件过滤规则的事件序列(44、46)中的一些和未能满足指定的事件过滤规则的所述组中的事件序列(44、46)中的一些。
CN200880132252.2A 2008-10-07 2008-10-07 分析事件 Expired - Fee Related CN102257487B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2008/079058 WO2010042112A1 (en) 2008-10-07 2008-10-07 Analyzing events

Publications (2)

Publication Number Publication Date
CN102257487A true CN102257487A (zh) 2011-11-23
CN102257487B CN102257487B (zh) 2015-07-01

Family

ID=42100858

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200880132252.2A Expired - Fee Related CN102257487B (zh) 2008-10-07 2008-10-07 分析事件

Country Status (5)

Country Link
US (1) US8655800B2 (zh)
CN (1) CN102257487B (zh)
DE (1) DE112008004025T5 (zh)
GB (1) GB2476905A (zh)
WO (1) WO2010042112A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103999433A (zh) * 2011-12-13 2014-08-20 西门子公司 用于对网络流量进行过滤的方法和设备
CN109271606A (zh) * 2018-08-23 2019-01-25 南京理工大学 考虑并发的业务过程事件序列间编辑距离的求解方法

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009146178A1 (en) * 2008-04-15 2009-12-03 President And Fellows Of Harvard College Angiogenin and amyotrophic lateral sclerosis
US8856645B2 (en) * 2009-03-20 2014-10-07 Xerox Corporation Generating formatted documents based on collected data content
US8924788B2 (en) * 2010-06-28 2014-12-30 Intel Corporation Replaying architectural execution with a probeless trace capture
US8549138B2 (en) 2010-10-01 2013-10-01 Microsoft Corporation Web test generation
US10496900B2 (en) * 2013-05-08 2019-12-03 Seagate Technology Llc Methods of clustering computational event logs
US20160078352A1 (en) * 2014-09-11 2016-03-17 Paul Pallath Automated generation of insights for events of interest
CN107211300A (zh) * 2015-01-26 2017-09-26 诺基亚通信公司 分析和分类信令集合或呼叫
WO2016200373A1 (en) * 2015-06-09 2016-12-15 Hewlett-Packard Development Company, L.P. Generating further groups of events based on similarity values and behavior matching using a representation of behavior
US11043298B2 (en) * 2016-07-18 2021-06-22 Abbyy Development Inc. System and method for visual analysis of event sequences
US11150972B1 (en) * 2020-05-12 2021-10-19 International Business Machines Corporation Self-reporting and self-upgrading of enterprise systems

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1664819A (zh) * 2004-03-02 2005-09-07 微软公司 通过对信息新颖性和动态学的分析来个性化新闻馈送的原理和方法
US6968341B2 (en) * 2001-05-25 2005-11-22 International Business Machines Corporation System and method for post-analyzing, and sequentially visualizing plurality of predefined metrics in a stored dynamic data values associated identifiers within determined time range
US20060288037A1 (en) * 2005-06-20 2006-12-21 Microsoft Corporation Queued system event notification and maintenance
US20080126858A1 (en) * 2006-08-25 2008-05-29 Accenture Global Services Gmbh Data visualization for diagnosing computing systems

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7034701B1 (en) * 2000-06-16 2006-04-25 The United States Of America As Represented By The Secretary Of The Navy Identification of fire signatures for shipboard multi-criteria fire detection systems
US7814194B2 (en) * 2000-12-07 2010-10-12 International Business Machines Corporation Method and system for machine-aided rule construction for event management
US7043500B2 (en) * 2001-04-25 2006-05-09 Board Of Regents, The University Of Texas Syxtem Subtractive clustering for use in analysis of data
WO2005036441A1 (ja) * 2003-10-07 2005-04-21 Reverse Proteomics Research Institute Co., Ltd. 生体関連事象間の相関データの可視化方法、解析法及びデータベース
US7406199B2 (en) 2004-05-12 2008-07-29 Northrop Grumman Corporation Event capture and filtering system
US8005767B1 (en) * 2007-02-13 2011-08-23 The United States Of America As Represented By The Secretary Of The Navy System and method of classifying events
EP2208138A4 (en) 2007-09-21 2012-09-19 Hewlett Packard Development Co CREATING A PARALLEL RECOVERY PLAN FOR A DATA STORAGE SYSTEM

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6968341B2 (en) * 2001-05-25 2005-11-22 International Business Machines Corporation System and method for post-analyzing, and sequentially visualizing plurality of predefined metrics in a stored dynamic data values associated identifiers within determined time range
CN1664819A (zh) * 2004-03-02 2005-09-07 微软公司 通过对信息新颖性和动态学的分析来个性化新闻馈送的原理和方法
US20060288037A1 (en) * 2005-06-20 2006-12-21 Microsoft Corporation Queued system event notification and maintenance
US20080126858A1 (en) * 2006-08-25 2008-05-29 Accenture Global Services Gmbh Data visualization for diagnosing computing systems

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103999433A (zh) * 2011-12-13 2014-08-20 西门子公司 用于对网络流量进行过滤的方法和设备
CN109271606A (zh) * 2018-08-23 2019-01-25 南京理工大学 考虑并发的业务过程事件序列间编辑距离的求解方法
CN109271606B (zh) * 2018-08-23 2023-05-26 南京理工大学 考虑并发的业务过程事件序列间编辑距离的求解方法

Also Published As

Publication number Publication date
GB2476905A (en) 2011-07-13
CN102257487B (zh) 2015-07-01
WO2010042112A1 (en) 2010-04-15
US8655800B2 (en) 2014-02-18
US20110202483A1 (en) 2011-08-18
GB201106730D0 (en) 2011-06-01
DE112008004025T5 (de) 2012-03-01

Similar Documents

Publication Publication Date Title
CN102257487B (zh) 分析事件
US20230236805A1 (en) Systems and Methods for Development and Deployment of Software Platforms Having Advanced Workflow and Event Processing Components
US7251584B1 (en) Incremental detection and visualization of problem patterns and symptoms based monitored events
US11048854B2 (en) System and method of highlighting influential samples in sequential analysis
JP4972866B2 (ja) 変換プログラム
WO2007139039A1 (ja) 情報分類装置、情報分類方法、及び情報分類プログラム
US10354003B2 (en) Data filtering based on a cell entry
KR102298395B1 (ko) 사용자 행위 분석 시스템 및 방법과, 이를 위한 이벤트 수집 에이전트
JP2008310582A (ja) 保守作業支援装置とシステム並びに保守作業支援方法
US9721040B2 (en) Mechanism to input, search and create complex data strings within a single dialog
CN103262049A (zh) 带有事件属性的电子表单数据的采集方法
CN110941702A (zh) 一种法律法规和法条的检索方法及装置、可读存储介质
JP2007011604A (ja) 不具合診断システム及びプログラム
JP4383484B2 (ja) メッセージ解析装置、制御方法および制御プログラム
US20220318681A1 (en) System and method for scalable, interactive, collaborative topic identification and tracking
US10956914B2 (en) System and method for mapping a customer journey to a category
US6938219B2 (en) Method and system for displaying actions and historical content in an output view
JP2009301134A (ja) Ft図作成プログラム、ft図作成装置、記録媒体及びft図作成方法
JP2008027431A (ja) 情報解析装置、情報解析方法、及び情報解析プログラム
JP2011186706A (ja) 情報処理装置、情報処理方法およびプログラム
JP2007072549A (ja) コミュニケーション分析装置および方法
KR20150142459A (ko) 인스트루먼트 인덱스 자동화 시스템 및 방법
JP2019160134A (ja) 文章処理装置および文章処理方法
JP7268220B2 (ja) 文章処理装置および文章処理方法
WO2016125277A1 (ja) データベース分析装置およびデータベース分析方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20170123

Address after: American Texas

Patentee after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP

Address before: American Texas

Patentee before: Hewlett Packard Development Co.

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20150701

Termination date: 20171007

CF01 Termination of patent right due to non-payment of annual fee