CN103346912B - 告警相关性分析的方法、装置及系统 - Google Patents
告警相关性分析的方法、装置及系统 Download PDFInfo
- Publication number
- CN103346912B CN103346912B CN201310270246.6A CN201310270246A CN103346912B CN 103346912 B CN103346912 B CN 103346912B CN 201310270246 A CN201310270246 A CN 201310270246A CN 103346912 B CN103346912 B CN 103346912B
- Authority
- CN
- China
- Prior art keywords
- alarm
- alert
- analysis
- analysis rule
- alert analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/065—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
本发明实施例提供告警相关性分析方法、装置及系统,将告警分析规则按照一定的策略分组,每个告警分析规则组都与一个分析引擎关联,由该分析引擎根据同一个告警分析规则组中的告警分析规则,对于该告警分析规则组具有关联关系的告警进行相关性分析,从而实现多个分析引擎同时对大量告警进行分析,充分利用多核资源,提供了告警相关性分析效率。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及针对告警相关性分析的方法、装置及系统。
背景技术
随着通信技术的迅速发展,通信网络的规模不断扩大,结构也越来越复杂。通信网络是由大量的设备和链路互连形成的,当某一设备或链路发生故障时会产生告警,并且由于该设备或链路可能关联多个设备或链路,因此当该设备或链路发生故障时可能会引起与该设备或链路关联的设备或链路发生故障并产生告警。其中,发生故障的设备或链路产生的告警为根因告警,与该设备或链路关联的设备或链路产生的告警为衍生告警。当通信网络中产生告警时,需要对产生的告警进行相关性分析,从产生的告警中分析出根因告警和衍生告警,以便运维人员对根因告警进行处理,从而保证通信网络的正常运行。通过相关性分析功能自动识别出根源告警,运维人员对根因告警进行处理,已成为快速排障的重要手段,极大提升了运维人员排除故障的效率。目前的相关性分析功能还是采用单引擎分析,现有的处理机制存以下以几个问题:存在效率瓶颈,单个引擎存在效率上限,无法满足越来越高的要求。无法充分利用多核资源,发挥并行处理的优势。
发明内容
本发明实施例提供告警相关性分析方法、装置及系统,用以一定程度上提高告警相关性分析的效率。
第一方面,本发明实施例提供一种告警相关性分析方法,该方法包括:接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识;若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则由包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,根据所述分析引擎对应的告警分析规则组中的告警分析规则,对接收到的所述告警进行相关性分析,其中,同一个告警分析规则组包括相互关联的告警分析规则,一个告警分析规则组与一个分析引擎对应,所述告警分析规则用于表示不同的告警之间的相互关系,存在相互关联的多条告警分析规则均至少包括一个具有相同告警标识的告警。
结合第一方面,在第一种实现方式下,将接收到的所述告警传递给包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,由所述分析引擎根据所述分析引擎对应的告警分析规则组中的告警分析规则,对传递过来的所述告警进行相关性分析。
结合第一方面,在第二种实现方式下,将接收到的所述告警与包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎进行关联,由所述分析引擎根据所述关联获取所述告警,并根据所述分析引擎对应的告警分析规则组中的告警分析规则,对获取的所述告警进行相关性分析。
结合第一方面、第一方面的第一种实现方式或第一方面的第二种实现方式,在第三种实现方式下,所述不同的告警之间的相互关系包括不同的告警之间的根源和衍生关系;所述相互关联的告警分析规则包括第一告警分析规则和第二告警分析规则,且所述第一告警分析规则中的根源告警与所述第二告警分析规则中的根源告警的告警标识相同,或者,所述第一告警分析规则中的衍生告警与所述第二告警分析规则中的衍生告警的告警标识相同,或者,所述第一告警分析规则中的衍生告警与所述第二告警分析规则中的根源告警的告警标识相同。
结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式或第一方面的第三种实现方式,在第四种实现方式下,所述不同的告警之间的相互关系包括不同的告警之间的兄弟关系,所述兄弟关系指所述不同的告警具有相同的根源告警;所述相互关联的告警分析规则包括第三告警分析规则和第四告警分析规,且所述第三告警分析规则中的任意一个告警与所述第四告警分析规则中任意一个告警的告警标识相同。
结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式或第一方面的第四种实现方式,在第五种实现方式下,该方法还包括:将相互关联的告警分析规则分到同一个告警分析规则组中。
结合第一方面的第五种实现方式,在第六种实现方式下,所述方法还包括:接收用户定义的相互关联的告警分析规则与分析引擎的对应关系;然后,根据接收到的所述相互关联的告警分析规则与分析引擎的对应关系,将所述相互关联的告警分析规则分到与所述分析引擎对应的告警分析规则组中。
第二方面,本发明实施例提供一种告警相关性分析装置,该装置包括:告警接收模块,用于接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识;告警处理模块,包括两个或两个以上分析引擎;所述告警处理模块用于若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则由包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,根据所述分析引擎对应的告警分析规则组中的告警分析规则,对接收到的所述告警进行相关性分析,其中,同一个告警分析规则组包括相互关联的告警分析规则,一个告警分析规则组与一个分析引擎对应,所述告警分析规则用于表示不同的告警之间的相互关系,存在相互关联的多条告警分析规则均至少包括一个具有相同告警标识的告警。
结合第二方面,在第一种实现方式下,所述告警处理模块具体用于:若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则将接收到的所述告警传递给包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,由所述分析引擎根据所述分析引擎对应的告警分析规则组中的告警分析规则,对传递过来的所述告警进行相关性分析。
结合第二方面,在第二种实现方式下,所述告警处理模块具体用于:若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则将接收到的所述告警与包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎进行关联,由所述分析引擎根据所述关联获取所述告警,并根据所述分析引擎对应的告警分析规则组中的告警分析规则,对获取的所述告警进行相关性分析。
结合第二方面、第二方面的第一种实现方式或第二方面的第二种实现方式,在第三种实现方式下,所述不同的告警之间的相互关系包括不同的告警之间的根源和衍生关系;所述相互关联的告警分析规则包括第一告警分析规则和第二告警分析规则,且所述第一告警分析规则中的根源告警与所述第二告警分析规则中的根源告警的告警标识相同,或者,所述第一告警分析规则中的衍生告警与所述第二告警分析规则中的衍生告警的告警标识相同,或者,所述第一告警分析规则中的衍生告警与所述第二告警分析规则中的根源告警的告警标识相同。
结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式或第二方面的第三种实现方式,在第四种实现方式下,所述不同的告警之间的相互关系包括不同的告警之间的兄弟关系,所述兄弟关系指所述不同的告警具有相同的根源告警;所述相互关联的告警分析规则包括第三告警分析规则和第四告警分析规,且所述第三告警分析规则中的任意一个告警与所述第四告警分析规则中任意一个告警的告警标识相同。
结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式、第二方面的第三种实现方式或第二方面的第四种实现方式,在第五种实现方式下,所述装置还包括:规则分组模块,用于将相互关联的告警分析规则分到同一个告警分析规则组中。
结合第二方面的第五种实现方式,在第六种实现方式下,所述装置还包括:关联关系接收模块,用于接收用户定义的相互关联的告警分析规则与分析引擎的对应关系;所述规则分组模块具体用于:根据接收到的所述相互关联的告警分析规则与分析引擎的对应关系,将所述相互关联的告警分析规则分到与所述分析引擎对应的告警分析规则组中。
第三方面,本发明实施例提供一种告警相关性分析方法,该方法包括:接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识;若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则由包括相同告警标识标识的告警的告警组所对应的分析引擎,根据告警分析规则,对接收到的所述告警进行相关性分析,其中,同一个告警组包括相互关联的告警,一个告警组与一个分析引擎对应,所述相互关联的告警指属于同一个逻辑区域的网元设备产生的告警,其中所述同一个逻辑区域中的网元设备具有业务关联关系。
结合第三方面,在第一种实现方式下,将接收到的所述告警传递给包括相同告警标识表示的告警的告警组所对应的分析引擎,由所述分析引擎根据所述告警分析规则,对传递过来的所述告警进行相关性分析。
结合第三方面,在第二种实现方式下,将接收到的所述告警与包括相同告警标识表示的告警的告警组所对应的分析引擎进行关联,由所述分析引擎根据所述关联获取所述告警,并根据所述告警分析规则,对获取的所述告警进行相关性分析。
结合第三方面、第三方面的第一种实现方式或第三方面的第二种实现方式,在第三种实现方式下,该方法还包括:将相互关联的告警分到同一告警组中。
结合第三方面、第三方面的第一种实现方式、第三方面的第二种实现方式或第三方面的第三种实现方式,在第四种实现方式下,所述逻辑区域按照网元设备所在的子网划分;或者,所述逻辑区域按照维护人员划分的维护区域划分。
第四方面,本发明实施例提供一种告警相关性分析装置,该装置包括:告警接收模块,用于接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识;告警处理模块,包括两个或两个以上分析引擎;所述告警处理模块用于,若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则由包括相同告警标识标识的告警的告警组所对应的分析引擎,根据告警分析规则对接收到的所述告警进行相关性分析,其中,同一个告警组包括相互关联的告警,一个告警组与一个分析引擎对应,所述相互关联的告警指属于同一个逻辑区域的网元设备产生的告警,其中所述同一个逻辑区域中的网元设备具有业务关联关系。
结合第四方面,在第一种实现方式下,所述告警处理模块具体用于:若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则将接收到的所述告警传递给包括相同告警标识表示的告警的告警组所对应的分析引擎,由所述分析引擎根据所述告警分析规则,对传递过来的所述告警进行相关性分析。
结合第四方面,在第二种实现方式下,所述告警处理模块具体用于:若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则将接收到的所述告警与包括相同告警标识表示的告警的告警组所对应的分析引擎进行关联,由所述分析引擎根据所述关联获取所述告警,并根据所述告警分析规则,对获取的所述告警进行相关性分析。
结合第四方面、第四方面的第一种实现方式或第四方面的第二种实现方式,在第三种实现方式下,所述装置还包括:告警分组模块,用于将相互关联的告警分到同一告警组中。
结合第四方面、第四方面的第一种实现方式、第四方面的第二种实现方式,或第四方面的第三种实现方式,在第四种实现方式下,所述逻辑区域按照网元设备所在的子网划分;或者,所述逻辑区域按照维护人员划分的维护区域划分。
第五方面,本发明实施例还提供一种网络管理系统,该系统包括:本发明第一方面和第二方面提供的任意一种告警相关性分析装置,以及至少一个与所述告警相关性分析装置具有通信连接的网元设备,所述网元设备用于在发生故障时向所述告警相关性分析装置上报告警。
综上所述,本发明实施例提供的告警相关性分析方法、装置及系统,将告警分析规则按照一定的策略分组,每个告警分析规则组都与一个分析引擎关联,由该分析引擎根据同一个告警分析规则组中的告警分析规则,对与该告警分析规则组具有关联关系的告警进行相关性分析,从而实现多个分析引擎同时对大量告警进行分析,充分利用多核资源,提供了告警相关性分析效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a为本发明实施例提供的一种告警相关性分析的方法的流程示意图;
图1b为本发明实施例提供的另一种告警相关性分析的方法的流程示意图;
图2a为本发明实施例提供的一种实现告警分析规则分组的方法流程示意图;
图2b为本发明实施例提供的另一种实现告警分析规则分组的方法流程示意图;
图3为本发明实施例提供的一种告警分析规则的新增方法的流程示意图;
图4为本发明实施例提供的再一种告警相关性分析的方法的流程示意图;
图5a-图5b为本发明实施例提供的另外的告警相关性分析方法的流程示意图;
图6a-图6c为本发明实施例提供的告警相关性分析装置的结构示意图;
图7为本发明实施例提供的一种告警相关性分析装置的应用示意图;
图8a-图8b为本发明实施例提供的另外的告警相关性分析方法的流程示意图;
图9为本发明实施例提供的另一种告警相关性分析装置的应用示意图;
图10为本发明实施例提供的告警相关性分析装置的另一种结构示意图;
图11为本发明实施例提供的告警相关性分析系统的逻辑结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1a-图1b,为本发明实施例提供的告警相关性分析的方法流程示意图,该方法可以应用于运行有两个或两个以上分析引擎的告警相关性分析装置中,该告警相关性分析装置具体可以部署在台式计算机、笔记本电脑、手机终端、平板电脑或服务器等电子设备中,或者该告警相关性分析装置就是这些电子设备本身,或者该告警相关性分析装置是一个区别于以上的独立的计算机处理系统。
如图1a所示,本发明实施例提供的这种告警相关性分析方法具体包括:
S101、接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识。
所述告警标识可以用于指示告警的特征,可以是特征描述,也可以是代表特征描述的ID号等。告警标识不同则表示两条告警不同。
S102、若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则由包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,根据所述分析引擎对应的告警分析规则组中的告警分析规则,对接收到的所述告警进行相关性分析。
其中,同一个告警分析规则组包括相互关联的告警分析规则,一个告警分析规则组与一个分析引擎对应,所述告警分析规则用于表示不同的告警之间的相互关系,存在相互关联的多条告警分析规则均至少包括一个具有相同告警标识的告警。
在一种实现方式下,告警相关性分析装置将接收到的所述告警传递给包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,由所述分析引擎根据所述分析引擎对应的告警分析规则组中的告警分析规则,对传递过来的所述告警进行相关性分析。告警相关性分析装置
在另一种实现方式下,将接收到的所述告警与包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎进行关联,由所述分析引擎根据所述关联获取所述告警,并根据所述分析引擎对应的告警分析规则组中的告警分析规则,对获取的所述告警进行相关性分析。
前一种方式将接收到的告警推送给分析引擎,后一种方式仅将接收到的告警与对应的分析引擎进行关联,由该分析引擎主动获取该告警后再对告警进行相关性分析。需说明的是,分析引擎在执行告警相关性分析时会涉及多个告警。
可见,本发明实施例提供的告警相关性分析方法,将告警分析规则按照一定的策略分组,每个告警分析规则组都与一个分析引擎关联,由该分析引擎根据同一个告警分析规则组中的告警分析规则,对与该告警分析规则组具有关联关系的告警进行相关性分析,从而实现多个分析引擎同时对大量告警进行分析,充分利用多核资源,提供了告警相关性分析效率。
如图1b所示,本发明实施例提供的这种告警相关性分析方法还可以包括步骤101a。具体的,如图1b所示:
S101A、将相互关联的告警分析规则分到同一个告警分析规则组中。
告警分析规则的关联关系可以为两个告警分析规则之间的关联关系,也可以为三个或三个以上告警分析规则之间的关联关系。
相互关联的告警分析规则具体包括:两个或两个以上告警分析规则符合某种特定的关联关系,这种关联关系可以是用户自主定义的,也可以是通过分析大量的告警和/或告警分析规则获得的。告警分析规则的关联关系通常是多种,以两个告警分析规则为例,如果这两个告警分析规则符合所述关联关系中的任意一种,这两个告警分析规则即为相互关联的告警分析规则。告警分析规则的关联关系可以变化,例如随着告警分析规则的增多,分析得到新的关联关系;或者,一些告警分析规则随着其包含的告警的消失而消失,那么与这些告警分析规则对应的关联关系也可以不再使用。
具体的,不同的告警之间的相互关系可以包括不同的告警之间的根源和衍生关系。一个告警分析规则中定义了两个或多个不同告警之间的和衍生关系,例如告警a是告警b的根源告警,或告警a是告警b和告警c的根源告警。此时,若第一告警分析规则中的根源告警与第二告警分析规则中的根源告警的告警标识相同,则所述第一告警分析规则与所述第二告警分析规则相互关联;若第一告警分析规则中的衍生告警与第二告警分析规则中的衍生告警的告警标识相同,则所述第一告警分析规则与所述第二告警分析规则相互关联;若第一告警分析规则中的衍生告警与第二告警分析规则中的根源告警的告警标识相同,则所述第一告警分析规则与所述第二告警分析规则相互关联。
本领域技术人员可以理解的是,只要两条告警分析规则符合上述任意一种,那么这两条告警分析规则就相互关联。若相互关联的两条告警分析规则中的任意一条与另外相互关联的两条告警分析规则中的任意一条满足上述任意一种,那么这四条告警分析规则都相互关联。
不同的告警之间的相互关系还可以包括:不同的告警之间的兄弟关系,所述兄弟关系指所述不同的告警具有相同的根源告警。一个告警分析规则中定义了告警a和b具备相互关联且这种相互关系就是指它们的根源告警都是告警c。该告警分析规则中不一定要指明告警a和告警b的根源告警是谁,可以仅指示告警a和告警b具备兄弟关系。此时,若第一告警分析规则中的任意一个告警与第二告警分析规则中任意一个告警的告警标识相同,则所述第一告警分析规则与所述第二告警分析规则相互关联。举例来说,若第一告警分析规则中定义了告警a和告警b是兄弟关系,第二告警分析规则中定义了告警b和告警c是兄弟关系,那么在根源告警唯一的情况下,告警a和告警c也是兄弟关系,所以认为这两个告警分析规则具备相互关联关系。
需说明的是,本发明实施例中所述的“第一”和“第二”等除非有明确说明,否则仅是为了区分而言,并非特定顺序限定。
在一种实现方式下,相互关联的告警分析规则可以是计算机自动分配到同一分析引擎中。
在另一种实现方式下,告警分析规则与引擎的对应关系可以由用户指定。所以该方法还可以包括:接收用户定义的相互关联的告警分析规则与分析引擎的对应关系。此时,步骤S101A可以实现为:根据接收到的所述相互关联的告警分析规则与分析引擎的对应关系,将所述相互关联的告警分析规则分到与所述分析引擎对应的告警分析规则组中。
告警分析规则组与分析引擎的对应关系可以通过为告警分析规则组设置标识实现,该标识仅用于该告警分析规则组所对应的分析引擎识别;或者通过为每个分析引擎分配私有访问区域,告警分析规则组中的告警都存储到与其对应的分析引擎对应的私有访问区域中。
S101、接收网元设备上报的告警,所述告警包括告警标识。
网元设备在发生故障时会上报告警到告警相关性分析装置,这些告警通常包含告警标识、告警来源以及告警的内容描述等信息。
需说明的是,图1b仅是示例,本发明对步骤S101A和步骤S101的顺序不作限定。告警分析规则的分组与接收网元设备的告警也可以是同步进行的,或者告警分析规则的分组在接收网元设备的告警之后,或者二者交替执行。
S102、若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则由包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,根据所述分析引擎对应的告警分析规则组中的告警分析规则,对接收到的所述告警进行相关性分析。
步骤S102的具体实现方式可以参考前述,在此不再赘述。其中,
将告警与分析引擎进行关联可以通过给告警增加一个相应的标识,该标识仅用于该对应的分析引擎识别。例如告警a要关联分析引擎m,则为告警a引入标识m,则分析引擎m在判断出告警a包含m标识时,对该告警进行相关性分析。
将告警与分析引擎进行关联还可以通过设置分析引擎的访问区域实现。例如分析引擎m可以访问一个存储区域,该存储区域其它分析引擎不能访问,则该告警a可以存储到该存储区域中。
需说明的是,若该告警的告警标识分别与多个分析引擎对应的告警分析规则组中的告警分析规则中告警的告警标识相同,那么可以根据这几个分析引擎当前需要处理的告警数量和分析引擎的性能来平衡分析引擎的负载。例如第一分析引擎目前已关联告警数量为100条,第二分析引擎目前已关联告警数量为10条,同时两个分析引擎的性能相同,那么可将该告警分配到第二分析引擎,以避免第一分析引擎负载过大。
对告警进行相关性分析的目的通常是找到告警之间的相互关系,即一个告警的根源告警是哪一个告警,或该告警是哪一个或哪些告警的根源告警,或一个告警的兄弟告警有哪些等。
分析引擎将获取的告警与告警分析规则中的告警进行匹配,例如接收到的告警e和告警f与某一告警分析规则中的告警e和告警f相同,且这一告警分析规则定义了告警e是告警f的根源告警,那么就可分析得出告警e是告警f的根源告警。
可见,本发明实施例提供的告警相关性分析方法,将告警分析规则按照一定的策略分组,每个告警分析规则组都与一个分析引擎关联,由该分析引擎根据同一个告警分析规则组中的告警分析规则,对与该告警分析规则组具有关联关系的告警进行相关性分析,从而实现多个分析引擎同时对大量告警进行分析,充分利用多核资源,提供了告警相关性分析效率。
进一步的,告警分析规则的分组对用户可以是透明的,用户只从业务角度关注规则定义即可,系统可自动完成规则分组并分配到对应的引擎中。进一步的,系统也可以提供用户接口,让用户自己定义规则分组与引擎的对应关系,增加了系统的灵活性。
需说明的是,本发明实施例中多个分析引擎可以是多个线程、多个进程或多个实体处理器,该多个分析引擎可以位于同一物理机器上,也可以位于不同的物理机器上。因此,突破了原来告警相关性分析单核或单机的限制,提高了资源利用率和告警分析效率
下面通过具体实施例介绍告警分析规则的分组是如何实现的。
请参阅图2a,为实现告警分析规则分组的一种方法,该方法包括:
S201a、遍历告警分析规则集合中的每一条告警分析规则;
告警分析规则集合中包括了所有将要分配到分析引擎的告警分析规则。
S202a、判断所述告警分析规则是否与已存在的告警分析规则组中的任意一条或多条告警分析规则相互关联,所述已存在的告警分析规则组中的告警分析规则相互关联;
S203a、若所述判断结果为是,则将该条告警分析规则加入所述已存在的告警分析规则组;
S204a、若所述判断结果为否,则新增一个告警分析规则组,将该条告警分析规则加入所述新增的告警分析规则组;
S205a、遍历结束后,将同一个告警分析规则组中包含的告警分析规则与同一个分析引擎关联。
请参考图2b,为实现告警分析规则分组的另一种方法,该方法包括:
S201b、读取所有告警分析规则,生成规则缓存列表R。
S202b、从R中读取一条告警分析规则。
S203b、判断步骤S202b获取的该条告警分析规则是否在S<r,g>中。S<r,g>用于缓存告警分析规则与规则组的映射关系,r代表规则标识,g代表r所属的规则组标识。若判断结果为是,则转到步骤S207b;若判断结果为否,则执行步骤S204b。
S204b、给该条告警分析规则分配新的规则组标识,规则组标识能唯一确定一个规则组,例如组号。并将该告警分析规则与其所属的规则组标识加入到S<r,g>,由此该告警分析规则已经获得分配。
S205b、然后在R中查找与告警分析规则存在关联关系的所有规则。
S206b、判断查找是否成功。查找的依据是告警分析规则的关联关系,根据前述实施例所述,与该条告警分析规则相互关联的告警分析规则只要符合任意一种关联关系即可。若查找成功,执行步骤S208b;若查找失败,执行步骤S207b。
S207b、将该告警分析规则从R中删除。
S208b、给与该告警分析规则关联的关联规则分配相同的规则组标识,并加入到S<r,g>中。
S209b、将该告警分析规则及其关联规则从R中删除。由此该条告警分析规则和与之关联的告警分析规则被分配到同一个规则组中。
S210b、判断R是否为空,若不为空返回步骤S202b;若为空则执行步骤S211b。
S211b、根据S<r,g>及预定的分析引擎个数,生成S<r,g,e>。S<r,g,e>用于缓存告警分析规则与规则组以及分析引擎的映射关系,r代表规则标识,g代表r所属的规则组标识,e代表r所属的分析引擎的标识。
S212b、根据S<r,g,e>将告警分析规则关联对应的分析引擎。
缓存列表R中的告警分析规则都分配到对应的分析引擎后,可能还会存在新增、删除以及修改告警分析规则的情况。下面通过图3介绍一种新增告警分析规则时的处理过程。
301、获取增加的告警分析规则集合。当然也可以在新增加一条告警规则时就立即进行下面的处理。
302、读取增加的告警分析规则集合中的一条规则。
303、在S<r,g,e>中查找是否有与该新增的告警分析规则具有关联关系的规则。若查找成功,执行步骤304;若查找失败,执行步骤305。
304、判断查找到的与该新增的告警分析规则具有关联关系的规则是否在同一个分析引擎中。若这些关联规则都在同一分析引擎中,执行步骤306;否则,执行步骤307。
305、因为没有已存在的规则与这条新增的规则有关联关系,所以为这条新增的规则分配新的规则组标识,并分配新的引擎,将三者的对应关系增加到S<r,g,e>中。
306、将该条新增的规则增加到S<r,g,e>,并将规则关联到与其关联规则相同的引擎中。
307、为新增的规则和与之关联的规则重新划分新的规则组,更新S<r,g,e>,将该新增的规则与其关联规则调整到同一个引擎中。注意这里“同一个引擎”可以是一个不同于其关联规则所在的所有引擎的新的引擎,也可以是其关联规则所在的任意一个引擎。
308、判断新增规则是否处理完,若是,方法结束;若否,返回步骤302。
另外,删除告警分析规则不涉及到关联关系的调整,只需要将待删除的告警分析规则从映射关系S<r,g,e>中删除,并从对应的引擎中删除即可。修改告警分析规则的情形可以看做删除告警分析规则与新增告警分析规则的流程合并体,本领域技术人员根据前述实施例所述容易获知,因此这里不再详细描述。
在图2b所示的实施例的基础上,图4示出了本发明实施例提供的一种告警相关性分析的方法流程示意图。如图4所示,该方法包括:
401、从缓存中获取待分析的告警。网元设备的告警可以储存在缓存中。
402、获取该告警中的告警标识,例如告警ID。
403、将该告警的告警标识与告警分析规则中的告警标识比对,查找该告警可以匹配的告警分析规则。
404、若找到某条告警分析规则中的告警标识与该告警的告警标识相同,则认为此条告警分析规则与该告警匹配,执行步骤405;若没找到匹配的告警分析规则,则可以将此告警上报给管理员处理。
405、根据S<r,g,e>中记录的信息,将该条告警关联对应的分析引擎。该分析引擎就是与该告警匹配的告警分析规则所对应的分析引擎。
406、引擎分析结束后,将该告警打上根源告警标识或衍生告警标识。当然,在其它实施例中,分析结果也可以是告警与哪些其它告警是兄弟关系。
可见,本发明实施例提供的告警相关性分析方法,将告警分析规则按照一定的策略分组,每个告警分析规则组都与一个分析引擎关联,由该分析引擎根据同一个告警分析规则组中的告警分析规则,对与该告警分析规则组具有关联关系的告警进行相关性分析,从而实现多个分析引擎同时对大量告警进行分析,充分利用多核资源,提供了告警相关性分析效率。
请参阅图5a,为本发明实施例提供的另外一种告警相关性分析方法,所述方法应用于具有两个或两个以上分析引擎的告警相关性分析装置中。如图5a所示,该方法包括:
S501、接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识。所述网元设备分布于多个子网,或分布于多个维护人员划分的维护区域。
S502、若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则由包括相同告警标识标识的告警的告警组所对应的分析引擎,根据告警分析规则,对接收到的所述告警进行相关性分析。
其中,同一个告警组包括相互关联的告警,一个告警组与一个分析引擎对应,所述相互关联的告警指属于同一个逻辑区域的网元设备产生的告警,其中所述同一个逻辑区域中的网元设备具有业务关联关系。
在一种实现方式下,将接收到的所述告警传递给包括相同告警标识表示的告警的告警组所对应的分析引擎,由所述分析引擎根据所述告警分析规则,对传递过来的所述告警进行相关性分析。
在另一种实现方式下,将接收到的所述告警与包括相同告警标识表示的告警的告警组所对应的分析引擎进行关联,由所述分析引擎根据所述关联获取所述告警,并根据所述告警分析规则,对获取的所述告警进行相关性分析。
请参阅图5b,该方法还可以包括S501B,
S501、接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识。所述网元设备分布于多个子网,或分布于多个维护人员划分的维护区域。
S501B、将相互关联的告警分到同一告警组中。
其中,一个告警组与一个分析引擎对应,所述相互关联的告警指属于同一个逻辑区域的网元设备产生的告警,所述逻辑区域中的网元具有业务关联关系。
可选的,所述逻辑区域可以按照网元所在的子网划分,也可以按照维护人员划分的维护区域划分,或者其它的划分方式。
S502、若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则由包括相同告警标识标识的告警的告警组所对应的分析引擎,根据告警分析规则,对接收到的所述告警进行相关性分析。
本领域技术人员可以理解的是,告警分析规则可以存储在一个地方供各个分析引擎读取;也可以按照前述实施例的方法将告警分析规则进行分组后,将每个告警分析规则组分别关联一个分析引擎;或者将一个告警分析规则关联到一个分析引擎,该分析引擎中包含至少一个与该告警分析规则中任意一个告警具有相同告警标识的告警。
需说明的是,本发明实施例提供的告警相关性分析方法应用于具备多个分析引擎的告警相关性分析装置中,这多个分析引擎可以是完全相同的,也可以是不同的,例如分析性能或分析方法上存在区别;同时,这多个分析引擎可以同时部署在同一台物理机器上,也可以分别部署在多台物理机器上。
可见,本发明实施例提供的告警相关性分析方法,通过将属于同一个逻辑区域的告警关联到同一个分析引擎,实现多个分析引擎同时对告警进行分析,多个分析引擎可以是多个线程、多个进程,甚至可以位于不同的物理机器上,因此突破了原来告警相关性分析单核或单机的限制,提高了资源利用率和告警分析效率。
请参阅图6a,为本发明实施例提供的一种告警相关性分析装置600的逻辑结构示意图。如图6a所示,该装置包括,
告警接收模块601,用于接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识;
告警处理模块602,包括两个或两个以上分析引擎6021;所述告警处理模块602用于若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则由包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎6021,根据所述分析引擎6021对应的告警分析规则组中的告警分析规则,对接收到的所述告警进行相关性分析。
其中,同一个告警分析规则组包括相互关联的告警分析规则,一个告警分析规则组与一个分析引擎对应,所述告警分析规则用于表示不同的告警之间的相互关系,存在相互关联的多条告警分析规则均至少包括一个具有相同告警标识的告警。
在一种实现方式下,所述告警处理模块602具体用于:若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则将接收到的所述告警传递给包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎6021,由所述分析引擎6021根据所述分析引擎6021对应的告警分析规则组中的告警分析规则,对传递过来的所述告警进行相关性分析。
在另一种实现方式下,所述告警处理模块602具体用于:若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则将接收到的所述告警与包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎6021进行关联,由所述分析引擎6021根据所述关联获取所述告警,并根据所述分析引擎6021对应的告警分析规则组中的告警分析规则,对获取的所述告警进行相关性分析。
可见,本发明实施例提供的告警相关性分析装置,将告警分析规则按照一定的策略分组,每个告警分析规则组都与一个分析引擎关联,由该分析引擎根据同一个告警分析规则组中的告警分析规则,对与该告警分析规则组具有关联关系的告警进行相关性分析,从而实现多个分析引擎同时对大量告警进行分析,充分利用多核资源,提供了告警相关性分析效率。
请参阅图6b,本发明实施例提供告警相关性分析装置600还可以包括:
规则分组模块603,用于将相互关联的告警分析规则分到同一个告警分析规则组中。
其中,一个告警分析规则组与一个分析引擎对应,所述告警分析规则定义了不同的告警之间的相互关系,所述不同的告警指告警的告警标识不同,所述相互关联指不同的告警分析规则中至少包括一个具有相同告警标识的告警。所述告警标识用于指示告警的特征。
其中,所述不同的告警之间的相互关系包括不同的告警之间的根源和衍生关系;
所述告警分析规则相互关联,包括:若第一告警分析规则中的根源告警与第二告警分析规则中的根源告警的告警标识相同,则所述第一告警分析规则与所述第二告警分析规则相互关联;
若第一告警分析规则中的衍生告警与第二告警分析规则中的衍生告警的告警标识相同,则所述第一告警分析规则与所述第二告警分析规则相互关联;
若第一告警分析规则中的衍生告警与第二告警分析规则中的根源告警的告警标识相同,则所述第一告警分析规则与所述第二告警分析规则相互关联。
所述不同的告警之间的相互关系还可以包括不同的告警之间的兄弟关系,所述兄弟关系指所述不同的告警具有相同的根源告警;
所述告警分析规则相互关联,包括:若第一告警分析规则中的任意一个告警与第二告警分析规则中任意一个告警的告警标识相同,则所述第一告警分析规则与所述第二告警分析规则相互关联。
进一步的,如图6c所示,该装置还可以包括:关联关系接收模块604,用于接收用户定义的相互关联的告警分析规则与分析引擎的对应关系。规则分组模块603具体用于:根据接收到的所述相互关联的告警分析规则与分析引擎的对应关系,将所述相互关联的告警分析规则分到与所述分析引擎对应的告警分析规则组中。
可见,本发明实施例提供的告警相关性分析装置,将告警分析规则按照一定的策略分组,每个告警分析规则组都与一个分析引擎关联,由该分析引擎根据同一个告警分析规则组中的告警分析规则,对与该告警分析规则组具有关联关系的告警进行相关性分析,从而实现多个分析引擎同时对大量告警进行分析,充分利用多核资源,提供了告警相关性分析效率。
进一步的,告警分析规则的分组对用户可以是透明的,用户只从业务角度关注规则定义即可,系统可自动完成规则分组并分配到对应的引擎中。进一步的,系统也可以提供用户接口,让用户自己定义规则分组与引擎的对应关系,增加了系统的灵活性。
需说明的是,图6a-图6c所示的告警相关性分析装置中的多个分析引擎可以相同也可以不同;可以位于同一台物理机器上,也可以位于不同的物理机器上。
参考图7,为本发明实施例提供的另一种告警相关性分析装置100的应用示意图。具体过程如下:
1)启动相关性分析功能,初始化各个模块及预定义的分析引擎个数;
2)规则分组模块101加载告警分析规则并解析,然后根据告警规则关联关系对告警分析规进行分组,并将分组与对应的分析引擎关联;
告警分析规则的加载和初步的解析也可以由独立与规则分组模块的其它模块处理;
3)告警接收模块102用于接收网元设备上报的各种告警数据,包括告警标识、告警特征描述、告警来源等;
4)告警分组模块103将告警与指定的分析引擎关联,以便于该指定的分析引擎对该告警进行相关性分析;
5)各分析引擎104根据对应的告警分析规则对与该分析引擎关联的告警进行相关性分析,识别根源告警与衍生告警;
6)根源告警在客户端呈现,衍生告警则可以选择不再客户端呈现。
可选的,本发明实施例提供的告警相关性分析装置还可以包括关联关系接收模块105,用于用户定义的相互关联的告警分析规则与分析引擎的对应关系。规则分组模块101具体用于:根据接收到的所述相互关联的告警分析规则与分析引擎的对应关系,将所述相互关联的告警分析规则分到与所述分析引擎对应的告警分析规则组中。
需说明的是,告警分析规则的关联关系可以由用户自主定义,也可以由计算机根据大量告警分析规则进行分析获得,两种方式也可以同时存在。
本发明实施例所示的告警分组模块103与规则分组模块101可以实现为独立的两个模块,也可以实现为具备两个功能的一个分组模块。
请参阅图8a所示,本发明实施例提供另一种告警相关性分析装置800。该装置800包括:
告警接收模块801,用于接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识。
告警处理模块802,包括两个或两个以上分析引擎8021;所述告警处理模块802用于,若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则由包括相同告警标识标识的告警的告警组所对应的分析引擎8021,根据告警分析规则对接收到的所述告警进行相关性分析,其中,同一个告警组包括相互关联的告警,一个告警组与一个分析引擎对应,所述相互关联的告警指属于同一个逻辑区域的网元设备产生的告警,其中所述同一个逻辑区域中的网元设备具有业务关联关系。
本领域技术人员可以理解的是,告警分析规则可以存储在一个地方供各个分析引擎读取;也可以按照前述实施例的方法将告警分析规则进行分组后,将每个告警分析规则组分别关联一个分析引擎;或者将一个告警分析规则关联到一个分析引擎,该分析引擎中包含至少一个与该告警分析规则中任意一个告警具有相同告警标识的告警。
在一种实现方式下,告警处理模块802具体用于:若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则将接收到的所述告警传递给包括相同告警标识表示的告警的告警组所对应的分析引擎8021,由所述分析引擎8021根据所述告警分析规则,对传递过来的所述告警进行相关性分析。
在另一种实现方式下,所述告警处理模块802具体用于:若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则将接收到的所述告警与包括相同告警标识表示的告警的告警组所对应的分析引擎8021进行关联,由所述分析引擎8021根据所述关联获取所述告警,并根据所述告警分析规则,对获取的所述告警进行相关性分析。
请参阅图8b所示,本发明实施例提供的告警相关性分析装置800还可以包括:告警分组模块803,用于将相互关联的告警分到同一告警组中。
可选的,所述逻辑区域可以按照网元所在的子网划分,也可以按照维护人员划分的维护区域划分,或者其它的划分方式。
可见,本发明实施例提供的告警相关性分析装置,通过将属于同一个逻辑区域的告警与同一个分析引擎关联,实现多个分析引擎同时对告警进行分析,多个分析引擎可以是多个线程、多个进程,甚至可以位于不同的物理机器上,因此突破了原来告警相关性分析单核或单机的限制,提高了资源利用率和告警分析效率。
如图9所示,为本发明实施例提供的另一种告警相关性分析装置200的应用过程示例图。具体过程如下;
1)启动相关性分析功能,初始化各个模块及预定义的分析引擎个数;
2)告警接收模块201接收网元设备上报的告警数据;
3)告警分组模块202从缓存中获取告警数据,并根据告警数据中包含的网元信息将告警数据与相应的分析引擎关联;
4)各个分析引擎203根据告警分析规则对关联的告警数据进行相关性分析,识别出根源告警与衍生告警;
5)根源告警在客户端呈现,衍生告警则可以选择不再客户端呈现。
请参阅图10,为本发明实施例提供的一种告警相关性分析装置300的结构示意图。如图10所示,该装置包括处理器301、存储器302以及接收器303,且三者通过总线304连接。其中,处理器301为多核处理器。所述多核处理器为集成有两个或两个以上完整的计算引擎(也称为内核)的处理器。如图10所示,处理器301包括n(n≥2)个分析引擎,所述分析引擎为用于告警相关性分析的计算引擎。
在一种实现方式下:
接收器303用于接收网络设备上传的告警,所述告警包括能唯一标识所述告警的告警标识。所述告警标识可以为用于指示该告警的特征的特征描述或特征指示ID等。
存储器302用于存储程序,所述程序被处理器301中的各个分析引擎调用。进一步的,存储器302还可以用于存储告警和/或告警相关性分析规则。
处理器301用于调用存储器302中存储的程序,执行如下操作:若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则由包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,根据所述分析引擎对应的告警分析规则组中的告警分析规则,对接收到的所述告警进行相关性分析。同一个告警分析规则组包括相互关联的告警分析规则,一个告警分析规则组与一个分析引擎对应,所述告警分析规则用于表示不同的告警之间的相互关系,存在相互关联的多条告警分析规则均至少包括一个具有相同告警标识的告警。
分析引擎1-n分别调用存储器302中存储的程序生成n个处理实例,根据每个分析引擎对应的告警分析规则组中的告警分析规则对与该分析引擎关联的告警进行相关性分析,从而实现了多个分析引擎同时执行各自的告警相关性分析操作。
具体的,存储器302可以包括各个分析引擎可以分别访问的私有存储区域。若告警分析规则组与某个分析引擎对应,则可以将该告警分析规则组中的所有告警分析规则存储到与该分析引擎对应的私有存储区域中;接收到的告警若确定于该分析引擎关联,也可以存储到该私有存储区域中。私有存储区域用于实现分析引擎与各自对应的告警分析规则组或告警的关联。
可选的,所述不同的告警之间的相互关系包括不同的告警之间的根源和衍生关系;所述相互关联的告警分析规则包括第一告警分析规则和第二告警分析规则,且所述第一告警分析规则中的根源告警与所述第二告警分析规则中的根源告警的告警标识相同,或者,所述第一告警分析规则中的衍生告警与所述第二告警分析规则中的衍生告警的告警标识相同,或者,所述第一告警分析规则中的衍生告警与所述第二告警分析规则中的根源告警的告警标识相同。
可选的,所述不同的告警之间的相互关系包括不同的告警之间的兄弟关系,所述兄弟关系指所述不同的告警具有相同的根源告警;所述相互关联的告警分析规则包括第三告警分析规则和第四告警分析规,且所述第三告警分析规则中的任意一个告警与所述第四告警分析规则中任意一个告警的告警标识相同。
进一步的,处理器301还可以用于:将相互关联的告警分析规则分到同一个告警分析规则组中。
需说明的是,除了告警相关性分析之外,处理器301执行的计算可以由处理器301包含的任意一个或多个计算引擎执行,该计算引擎包括分析引擎1-n和其它计算引擎。
再进一步的,接收器301还可以用于:接收用户定义的相互关联的告警分析规则与分析引擎的对应关系。处理器301用于根据接收到的所述相互关联的告警分析规则与分析引擎的对应关系,将所述相互关联的告警分析规则分到与所述分析引擎对应的告警分析规则组中。
在另一种实现方式下:
接收器303用于接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识。所述告警标识可以为用于指示该告警的特征的特征描述或特征指示ID等。
处理器301调用存储器302中的存储程序,用于执行如下操作:若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则由包括相同告警标识标识的告警的告警组所对应的分析引擎,根据告警分析规则对接收到的所述告警进行相关性分析,其中,同一个告警组包括相互关联的告警,一个告警组与一个分析引擎对应,所述相互关联的告警指属于同一个逻辑区域的网元设备产生的告警,其中所述同一个逻辑区域中的网元设备具有业务关联关系。
具体的,存储器302可以包括各个分析引擎可以分别访问的私有存储区域和各个分析引擎都可以访问的公共存储区域。告警分析规则存储在该公共存储区域中,与各个分析引擎对应的告警组中的告警分别存储在与各个分析引擎对应的私有存储区域中。从而,各个分析引擎可以访问告警分析规则,并根据告警分析规则对各自的告警同时进行相关性分析。在其它实施例中,告警分析规则也可以分别存储在与各个分析引擎对应的私有存储区域中。
其中,所述逻辑区域按照网元设备所在的子网划分;或者,所述逻辑区域按照维护人员划分的维护区域划分。
需说明的是,本发明实施例提供的告警相关性分析装置800的其它一些具体实现方法可以参考前述方法或装置实施例所述,再次不再赘述。
可见,本发明实施例提供的告警相关性分析装置,将告警分析规则按照一定的策略分组,每个告警分析规则组都与一个分析引擎关联,由该分析引擎根据同一个告警分析规则组中的告警分析规则,对与该告警分析规则组具有关联关系的告警进行相关性分析;或者,将属于同一个逻辑区域的告警与同一个分析引擎关联,从而实现多个分析引擎同时对大量告警进行分析,充分利用多核资源,提供了告警相关性分析效率。
请参阅图11,为本发明实施例提供的网络管理系统400的逻辑结构示意图。该网络管理系统400包括告警相关性分析装置401以及一个或多个与所述告警相关性分析装置401具有通信连接的网元设备,所述网元设备用于在发生故障时向所述告警相关性分析装置上报告警。告警相关性分析装置901可以为前述装置实施例中任意一个告警相关性分析装置,具体的模块划分和方法实现可以参考前述实施例所述,在此不再赘述。
具体的,所述告警相关性分析装置901可以为独立的计算设备,也可以部署在现有技术网络管理系统的网元管理系统(也称之为EMS,element management system)或其它种类的管理系统中。
需说明的是,本发明实施例中二者或三者具有的通信连接并非一定为直接连接,中间也可以经过其它设备或系统;也并非一定为有线或无线连接。总之,只要满足相互通信即可。
综上所述,本发明实施例提供的告警相关性分析方法、装置及系统,通过将告警分析规则按照一定的策略分到同一个分析引擎中,然后对告警也进行相应的分配,或者,通过将告警按照逻辑区域划分到不同的分析引擎中,从而实现多个分析引擎同时对大量告警进行分析,多个分析引擎可以是多个线程、多个进程,甚至可以位于不同的物理机器上。因此,突破了原来告警相关性分析单核或单机的限制,提高了资源利用率和告警分析效率。告警分析规则的分组对用户可以使透明的,用户只从业务角度关注规则定义即可,系统可自动完成规则分组并分配到对应的引擎中。进一步的,系统也可以提供用户接口,让用户自己定义规则分组与引擎的对应关系,增加了系统的灵活性。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,通用硬件包括通用集成电路、通用CPU、通用存储器、通用元器件等,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (25)
1.一种告警相关性分析方法,其特征在于,所述方法应用于运行有两个或两个以上分析引擎的告警相关性分析装置中,所述方法包括:
接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识;
若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则由包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,根据所述分析引擎对应的告警分析规则组中的告警分析规则,对接收到的所述告警进行相关性分析,其中,同一个告警分析规则组包括相互关联的告警分析规则,一个告警分析规则组与一个分析引擎对应,所述告警分析规则用于表示不同的告警之间的相互关系,存在相互关联的多条告警分析规则均至少包括一个具有相同告警标识的告警。
2.根据权利要求1所述的方法,其特征在于,所述由包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,根据所述分析引擎对应的告警分析规则组中的告警分析规则,对接收到的所述告警进行相关性分析,包括:
将接收到的所述告警传递给包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,由所述分析引擎根据所述分析引擎对应的告警分析规则组中的告警分析规则,对传递过来的所述告警进行相关性分析。
3.根据权利要求1所述的方法,其特征在于,所述由包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,根据所述分析引擎对应的告警分析规则组中的告警分析规则,对接收到的所述告警进行相关性分析,包括:
将接收到的所述告警与包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎进行关联,由所述分析引擎根据所述关联获取所述告警,并根据所述分析引擎对应的告警分析规则组中的告警分析规则,对获取的所述告警进行相关性分析。
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述不同的告警之间的相互关系包括不同的告警之间的根源和衍生关系;
所述相互关联的告警分析规则包括第一告警分析规则和第二告警分析规则,且所述第一告警分析规则中的根源告警与所述第二告警分析规则中的根源告警的告警标识相同,或者,所述第一告警分析规则中的衍生告警与所述第二告警分析规则中的衍生告警的告警标识相同,或者,所述第一告警分析规则中的衍生告警与所述第二告警分析规则中的根源告警的告警标识相同。
5.根据权利要求1-3任意一项所述的方法,其特征在于,所述不同的告警之间的相互关系包括不同的告警之间的兄弟关系,所述兄弟关系指所述不同的告警具有相同的根源告警;
所述相互关联的告警分析规则包括第三告警分析规则和第四告警分析规,且所述第三告警分析规则中的任意一个告警与所述第四告警分析规则中任意一个告警的告警标识相同。
6.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
将相互关联的告警分析规则分到同一个告警分析规则组中。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收用户定义的相互关联的告警分析规则与分析引擎的对应关系;
所述将相互关联的告警分析规则分到同一个告警分析规则组中,包括:
根据接收到的所述相互关联的告警分析规则与分析引擎的对应关系,将所述相互关联的告警分析规则分到与所述分析引擎对应的告警分析规则组中。
8.一种告警相关性分析装置,其特征在于,所述装置包括:
告警接收模块,用于接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识;
告警处理模块,包括两个或两个以上分析引擎;所述告警处理模块用于若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则由包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,根据所述分析引擎对应的告警分析规则组中的告警分析规则,对接收到的所述告警进行相关性分析,其中,同一个告警分析规则组包括相互关联的告警分析规则,一个告警分析规则组与一个分析引擎对应,所述告警分析规则用于表示不同的告警之间的相互关系,存在相互关联的多条告警分析规则均至少包括一个具有相同告警标识的告警。
9.根据权利要求8所述的装置,其特征在于,所述告警处理模块具体用于:
若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则将接收到的所述告警传递给包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎,由所述分析引擎根据所述分析引擎对应的告警分析规则组中的告警分析规则,对传递过来的所述告警进行相关性分析。
10.根据权利要求8所述的装置,其特征在于,所述告警处理模块具体用于:
若接收到的所述告警的告警标识与任一所述分析引擎对应的告警分析规则组中包括的任一告警分析规则中的任一告警的告警标识相同,则将接收到的所述告警与包括相同告警标识表示的告警的告警分析规则组所对应的分析引擎进行关联,由所述分析引擎根据所述关联获取所述告警,并根据所述分析引擎对应的告警分析规则组中的告警分析规则,对获取的所述告警进行相关性分析。
11.根据权利要求8-10任一项所述的装置,其特征在于,所述不同的告警之间的相互关系包括不同的告警之间的根源和衍生关系;
所述相互关联的告警分析规则包括第一告警分析规则和第二告警分析规则,且所述第一告警分析规则中的根源告警与所述第二告警分析规则中的根源告警的告警标识相同,或者,所述第一告警分析规则中的衍生告警与所述第二告警分析规则中的衍生告警的告警标识相同,或者,所述第一告警分析规则中的衍生告警与所述第二告警分析规则中的根源告警的告警标识相同。
12.根据权利要求8-10任一项所述的装置,其特征在于,所述不同的告警之间的相互关系包括不同的告警之间的兄弟关系,所述兄弟关系指所述不同的告警具有相同的根源告警;
所述相互关联的告警分析规则包括第三告警分析规则和第四告警分析规,且所述第三告警分析规则中的任意一个告警与所述第四告警分析规则中任意一个告警的告警标识相同。
13.根据权利要求8-10任一项所述的装置,其特征在于,所述装置还包括:
规则分组模块,用于将相互关联的告警分析规则分到同一个告警分析规则组中。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
关联关系接收模块,用于接收用户定义的相互关联的告警分析规则与分析引擎的对应关系;
所述规则分组模块具体用于:根据接收到的所述相互关联的告警分析规则与分析引擎的对应关系,将所述相互关联的告警分析规则分到与所述分析引擎对应的告警分析规则组中。
15.一种告警相关性分析方法,其特征在于,所述方法应用于运行有两个或两个以上分析引擎的告警相关性分析装置中,所述方法包括:
接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识;
若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则由包括相同告警标识标识的告警的告警组所对应的分析引擎,根据告警分析规则,对接收到的所述告警进行相关性分析,其中,同一个告警组包括相互关联的告警,一个告警组与一个分析引擎对应,所述相互关联的告警指属于同一个逻辑区域的网元设备产生的告警,其中所述同一个逻辑区域中的网元设备具有业务关联关系。
16.根据权利要求15所述的方法,其特征在于,所述由包括相同告警标识标识的告警的告警组所对应的分析引擎,根据告警分析规则,对接收到的所述告警进行相关性分析,包括:
将接收到的所述告警传递给包括相同告警标识表示的告警的告警组所对应的分析引擎,由所述分析引擎根据所述告警分析规则,对传递过来的所述告警进行相关性分析。
17.根据权利要求15所述的方法,其特征在于,所述由包括相同告警标识标识的告警的告警组所对应的分析引擎,根据告警分析规则,对接收到的所述告警进行相关性分析,包括:
将接收到的所述告警与包括相同告警标识表示的告警的告警组所对应的分析引擎进行关联,由所述分析引擎根据所述关联获取所述告警,并根据所述告警分析规则,对获取的所述告警进行相关性分析。
18.根据权利要求15-17任意一项所述的方法,其特征在于,还包括:
将相互关联的告警分到同一告警组中。
19.根据权利要求15-17任意一项所述的方法,其特征在于,所述逻辑区域按照网元设备所在的子网划分;或者,所述逻辑区域按照维护人员划分的维护区域划分。
20.一种告警相关性分析装置,其特征在于,所述装置包括:
告警接收模块,用于接收网元设备上报的告警,所述告警包括能唯一标识所述告警的告警标识;
告警处理模块,包括两个或两个以上分析引擎;所述告警处理模块用于,若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则由包括相同告警标识标识的告警的告警组所对应的分析引擎,根据告警分析规则对接收到的所述告警进行相关性分析,其中,同一个告警组包括相互关联的告警,一个告警组与一个分析引擎对应,所述相互关联的告警指属于同一个逻辑区域的网元设备产生的告警,其中所述同一个逻辑区域中的网元设备具有业务关联关系。
21.根据权利要求20所述的装置,其特征在于,所述告警处理模块具体用于:若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则将接收到的所述告警传递给包括相同告警标识表示的告警的告警组所对应的分析引擎,由所述分析引擎根据所述告警分析规则,对传递过来的所述告警进行相关性分析。
22.根据权利要求20所述的装置,其特征在于,所述告警处理模块具体用于:若接收到的所述告警的告警标识与任一告警组中的任一告警的告警标识相同,则将接收到的所述告警与包括相同告警标识表示的告警的告警组所对应的分析引擎进行关联,由所述分析引擎根据所述关联获取所述告警,并根据所述告警分析规则,对获取的所述告警进行相关性分析。
23.根据权利要求20-22任意一项所述的装置,其特征在于,所述装置还包括:
告警分组模块,用于将相互关联的告警分到同一告警组中。
24.根据权利要求20-22任意一项所述的装置,其特征在于,所述逻辑区域按照网元设备所在的子网划分;或者,所述逻辑区域按照维护人员划分的维护区域划分。
25.一种网络管理系统,其特征在于,所述系统包括:如权利要求8-14任意一项所述的告警相关性分析装置或如权利要求20-24任意一项所述的告警相关性分析装置,以及至少一个与所述告警相关性分析装置具有通信连接的网元设备,所述网元设备用于在发生故障时向所述告警相关性分析装置上报告警。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310270246.6A CN103346912B (zh) | 2013-06-29 | 2013-06-29 | 告警相关性分析的方法、装置及系统 |
| PCT/CN2014/070402 WO2014206066A1 (zh) | 2013-06-29 | 2014-01-09 | 告警相关性分析的方法、装置及系统 |
| EP14728803.9A EP2838228B1 (en) | 2013-06-29 | 2014-01-09 | Alarm correlation analysis method, apparatus, and system |
| US14/319,228 US9256828B2 (en) | 2013-06-29 | 2014-06-30 | Alarm correlation analysis method, apparatus and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310270246.6A CN103346912B (zh) | 2013-06-29 | 2013-06-29 | 告警相关性分析的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103346912A CN103346912A (zh) | 2013-10-09 |
| CN103346912B true CN103346912B (zh) | 2017-04-12 |
Family
ID=49281688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310270246.6A Active CN103346912B (zh) | 2013-06-29 | 2013-06-29 | 告警相关性分析的方法、装置及系统 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP2838228B1 (zh) |
| CN (1) | CN103346912B (zh) |
| WO (1) | WO2014206066A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9256828B2 (en) | 2013-06-29 | 2016-02-09 | Huawei Technologies Co., Ltd. | Alarm correlation analysis method, apparatus and system |
| CN103346912B (zh) * | 2013-06-29 | 2017-04-12 | 华为技术有限公司 | 告警相关性分析的方法、装置及系统 |
| CN105323100B (zh) * | 2014-07-31 | 2019-10-11 | 南京中兴软件有限责任公司 | 告警的生成方法及装置 |
| CN105827418B (zh) * | 2015-01-04 | 2019-07-05 | 中国移动通信集团山东有限公司 | 一种通信网络告警关联方法及装置 |
| CN104680031B (zh) * | 2015-03-18 | 2019-12-24 | 联想(北京)有限公司 | 一种联动规则生成方法和装置 |
| WO2017008197A1 (zh) * | 2015-07-10 | 2017-01-19 | 华为技术有限公司 | 告警信息上报方法及装置 |
| CN106789138B (zh) * | 2015-11-23 | 2019-10-15 | 中国移动通信集团广西有限公司 | 一种网络告警关联分析的方法及装置 |
| CN105827447A (zh) * | 2016-03-31 | 2016-08-03 | 乐视控股(北京)有限公司 | 一种业务报警方法和装置 |
| CN107548087A (zh) * | 2016-06-24 | 2018-01-05 | 中兴通讯股份有限公司 | 一种告警关联分析的方法及装置 |
| CN106209431B (zh) * | 2016-06-29 | 2019-06-11 | 瑞斯康达科技发展股份有限公司 | 一种告警关联方法及网管系统 |
| CN113946461A (zh) | 2018-06-15 | 2022-01-18 | 华为技术有限公司 | 一种故障根因分析的方法及装置 |
| CN111786806B (zh) * | 2019-04-04 | 2022-03-01 | 大唐移动通信设备有限公司 | 一种网元异常处理方法及网管系统 |
| CN112073208B (zh) * | 2019-05-25 | 2022-01-14 | 成都华为技术有限公司 | 一种告警分析方法、装置、芯片系统、存储介质 |
| CN111221702B (zh) * | 2019-11-18 | 2024-02-27 | 上海维谛信息科技有限公司 | 基于日志分析的异常处理方法、系统、终端及介质 |
| CN111555899B (zh) * | 2020-02-18 | 2023-07-28 | 远景智能国际私人投资有限公司 | 告警规则配置方法、设备状态监测方法、装置和存储介质 |
| CN112559569B (zh) * | 2020-12-11 | 2023-07-21 | 广东电力通信科技有限公司 | 一种复合条件的告警规则处理方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102118275A (zh) * | 2009-12-30 | 2011-07-06 | 大唐移动通信设备有限公司 | 一种告警风暴的处理方法及处理装置 |
| CN102142983A (zh) * | 2010-11-24 | 2011-08-03 | 华为技术有限公司 | 告警相关性分析方法和装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003257768A1 (en) * | 2003-07-08 | 2005-01-21 | Huawei Technologies Co., Ltd. | A processing method about alarm in network management system |
| US8626894B2 (en) * | 2004-06-24 | 2014-01-07 | International Business Machines Corporation | Generating visualization output of event correlation information |
| US20060036713A1 (en) * | 2004-08-10 | 2006-02-16 | International Business Machines Corporation | Method, system and program product for configuring an event management system |
| US8099197B2 (en) * | 2009-08-18 | 2012-01-17 | Enphase Energy, Inc. | Method and system for distributed energy generator message aggregation |
| US8559336B2 (en) * | 2010-01-29 | 2013-10-15 | Alcatel Lucent | Method and apparatus for hint-based discovery of path supporting infrastructure |
| CN102136949A (zh) * | 2011-03-24 | 2011-07-27 | 国网电力科学研究院 | 一种基于网络和时间的告警相关性分析方法及系统 |
| CN103346912B (zh) * | 2013-06-29 | 2017-04-12 | 华为技术有限公司 | 告警相关性分析的方法、装置及系统 |
-
2013
- 2013-06-29 CN CN201310270246.6A patent/CN103346912B/zh active Active
-
2014
- 2014-01-09 EP EP14728803.9A patent/EP2838228B1/en active Active
- 2014-01-09 WO PCT/CN2014/070402 patent/WO2014206066A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102118275A (zh) * | 2009-12-30 | 2011-07-06 | 大唐移动通信设备有限公司 | 一种告警风暴的处理方法及处理装置 |
| CN102142983A (zh) * | 2010-11-24 | 2011-08-03 | 华为技术有限公司 | 告警相关性分析方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103346912A (zh) | 2013-10-09 |
| EP2838228A4 (en) | 2015-02-18 |
| EP2838228A1 (en) | 2015-02-18 |
| WO2014206066A1 (zh) | 2014-12-31 |
| EP2838228B1 (en) | 2019-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103346912B (zh) | 告警相关性分析的方法、装置及系统 | |
| CN110535831B (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
| US10623235B2 (en) | Correlating computing network events | |
| CN109241358A (zh) | 元数据管理方法、装置、计算机设备及存储介质 | |
| CN112182655A (zh) | 多设备间的数据交互方法及相关设备 | |
| CN105787364B (zh) | 任务的自动化测试方法、装置及系统 | |
| US20150006459A1 (en) | Alarm Correlation Analysis Method, Apparatus and System | |
| CN110956269A (zh) | 数据模型的生成方法、装置、设备以及计算机存储介质 | |
| CN112738040A (zh) | 一种基于dns日志的网络安全威胁检测方法、系统及装置 | |
| CN106571933A (zh) | 业务处理方法及装置 | |
| CN111488594A (zh) | 一种基于云服务器的权限检查方法、装置、存储介质及终端 | |
| CN109614164A (zh) | 实现插件可配置的方法、装置、设备及可读存储介质 | |
| CN112559489A (zh) | 基于跨链的区块链监管方法、设备及存储介质 | |
| JP2006025434A (ja) | 大容量障害相関システム及び方法 | |
| CN102571381B (zh) | 一种信息存储方法以及信息存储装置 | |
| CN110198246B (zh) | 一种流量监控的方法及系统 | |
| CN115496470A (zh) | 全链路配置化数据处理方法、装置和电子设备 | |
| CN106790339A (zh) | 元数据服务器、网络装置及自动资源管理方法 | |
| CN115617781A (zh) | 数字对象创建、数据管理方法及装置 | |
| CN110958267B (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
| CN108111513A (zh) | 应用于前置装置的数据管理方法、装置、介质及电子设备 | |
| CN114157662A (zh) | 一种云平台参数适配方法、装置、终端设备及储存介质 | |
| CN113726855A (zh) | 服务聚合方法、装置、电子设备以及计算机可读存储介质 | |
| CN117879975B (zh) | 一种基于5g移动通信网络安全的方法 | |
| CN115604000B (zh) | 一种越权检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |