CN110188025B - 一种告警日志的高效关联方法 - Google Patents

Abstract

本发明公开了一种告警日志的高效关联方法，其步骤包括：1、序列化告警信息日志，获得时间段‑事件集表；2、均分时间‑事件集表，改变数据结构，获得事件‑时间段集表；3、迭代计算频繁项集；4、推送重要度最高若干告警信息。本发明能高效地处理海量告警信息，推送引发告警风暴的告警条目，从而大大减少运维人员的工作负担，并且为分布式告警日志处理提供了可靠的方法。

Description

一种告警日志的高效关联方法

技术领域

本发明属于运维系统优化领域，具体地说是一种告警日志的高效关联方法。

背景技术

当前，处于数据大爆炸的时代，不同的公司都有自己的运维系统，这些运维系统负责维护并确保整个服务的高可用性，同时不断优化系统架构提升部署效率、优化资源利用率提高整体ROI。运维系统中最重要的环节就是告警的产生和推送，由于系统故障的特殊性，系统的某个模块发生错误，往往会产生风暴式的告警信息，这就对运维人员排查系统故障造成了极大的困难，运维人员的经验成为了提高排除故障效率的关键，这对于具有复杂IT基础架构，并且信息通信运维对象的规模和复杂度日益提高的企业造成了巨大的困扰。这些因素导致了过去互联网的IT基础架构运维经验已经无法满足现今的需求，必须针对现在企业架构的特点设计专有方法和技术。

现有的一些告警信息优化的方法，往往利用的传统的Apriori算法，不能够分布式处理的同时，还会产生数量级的数据，这对于告警日志规模越来越大的企业显然是不适用的。

发明内容

本发明为了克服现有技术存在的不足之处，提出一种告警日志的高效关联方法，以期能快速、有效、动态地关联日志中的各类事件，从而为运维人员高效排除系统故障提供可靠的技术支持。

本发明为解决技术问题采用如下技术方案：

本发明一种告警日志的高效关联方法，所述告警信息是由n条有时间信息的告警条目组成，记为I＝{I₁,I₂...,I_i,...,I_n}，其中，I_i表示第i条告警条目，且第i条告警条目由三个特征组成，分别为第i个时间特征t_i，第i个事件特征e_i和第i个紧急度p_i，1≤i≤n；

定义

为时间段-事件集合，其中，

表示第k₁个时间特征

至第k₂个时间特征

之间的时间段

中出现的非重复事件集合，且

e_y表示第y个事件特征，1≤k_h≤n,1≤y＜n；

定义

为事件-时间段集合，其中，

表示第z个事件特征e_z所出现的时间段，且

表示第k_β个时间特征

到第k_β+1个时间特征

之间的时间段；1≤y≤z＜n；

定义F＝{F₁,F₂,...,F_α,...,F_u}为频繁项集合，其中，F_α表示频繁α项集；其特点是，所述关联方法是按如下步骤进行：

步骤1、定义时间起始点为start，定义临时事件集合为temp，初始化i＝2，start＝1，temp＝{e₁}；

步骤2、利用式(1)得到相邻两条日志条目的时间差Δt_i,i-1：

Δt_i,i-1＝t_i-t_i-1 (1)

步骤3、判断Δt_i,i-1≤Δt是否成立，若成立，则直接执行步骤4；否则，将temp赋值给

并令临时事件集合temp为空集，令start＝i-1后执行步骤4；其中，Δt表示所设定的时间差阈值；

步骤4、判断

是否成立，若成立，将第i个事件特征e_i添加到temp后，执行步骤5；否则，直接执行步骤5；

步骤5、将i+1赋值给i后，判断i＞n是否成立，若成立，则执行步骤6；否则，返回步骤2顺序执行，从而获得时间段-事件集合

步骤6、均分所述时间段-事件集合

得到第一时间段-事件集合

和第二时间段-事件集合

其中

步骤7、定义候选α项集为C_α，定义C_α[d]为候选α项集C_α中第d个元素，且

为候选α项集C_α中第d个元素的第α项，初始化α＝1、C_α为空集、F_α为空集；

步骤8、定义变量为j，并初始化j＝1；

步骤9、判断

是否成立，若成立，则将第j个事件特征e_j添加到C_α中，并执行步骤10；否则，直接执行步骤10；

步骤10、将j+1赋值给j后，判断j＞n是否成立，若成立，则执行步骤11；否则，返回步骤9，从而得到候选α项集C_α＝{e₁,e₂,....,e_z}；

步骤11、定义变量为m，并初始化m＝1；

步骤12、对于第m个事件特征e_m，在第一时间段-事件集合

和第二时间段-事件集合

中分别查找第m个事件特征e_m所出现的时间段，记为

和

步骤13、将m+1赋值给m，判断m＞z是否成立，若成立，则执行步骤14；否则，返回步骤12；从而得到事件-时间段集合

步骤14、初始化d＝1；

步骤15、根据式(2)得到候选α项集C_α中第d个元素C_α[d]在第select时间段-事件集合

的支持度

式(2)中，

表示集合

的长度，即集合中时间段的个数；

为候选α项集C_α中第d个元素C_α[d]的第α项在第select时间段-事件集合

中所出现的时间段集合，其中，变量select∈{one,two}；

步骤16、根据(3)得到候选α项集C_α的第d个元素C_α[d]的总支持度sup(C_α[d])：

步骤17、判断α＝1是否成立，若成立，则执行步骤18；否则，执行步骤20；

步骤18、判断sup(C_α[d])≥Min_sup是否成立，若成立，则将C_α[d]加入F_α中，并执行步骤19；否则，直接执行步骤19；其中，Min_sup为所设定的最小支持度阈值；

步骤19、将d+1赋值给d，判断d＞z是否成立，若成立，则执行步骤20；否则，返回步骤18；从而得到频繁α项集F_α；

步骤20、根据式(4)得到第d个元素C_α[d]的缓存值Cache(C_α[d])：

步骤21、根据Apriori算法自连接规则，自连接频繁α项集F_α得到候选α+1项集C_α+1；

步骤22、初始化d＝1，初始化频繁α+1项集F_α+1为空集；定义

为候选α项集C_α中第d个元素C_α[d]除去最后一项

后的元素，即

步骤23、对于

的值进行判断：

若

则执行步骤24；

若

或{1,1}，则执行步骤25；

若

或{2,2}，则执行步骤26；

若

则执行步骤27；

若

则执行步骤28；

若

则执行步骤29；

步骤24、判断sup(C_α+1[d])≥Min_sup是否成立，若成立，则将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤29；

步骤25、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；

步骤26、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；

步骤27、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；

步骤28、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；

步骤29、判断C_α[d]是否是候选α+1项集C_α+1的最后一个元素，若是，则执行步骤30；否则，将d+1赋值给d，返回步骤23；从而得到频繁α+1项集F_α+1；

步骤30、判断频繁α+1项集F_α+1是否为空集，若成立，则执行步骤31；否则，将α+1赋值给α，返回步骤21；从而得到频繁集合F＝{F₁,F₂,...,F_α,...,F_u}；

步骤31、初始化s＝0，d＝1，α＝u；定义常量k₀，并初始化k₀＝1，记F_α[d]为频繁α项集F_α中第d个元素；

步骤32、判断F_α[d]是否是

的子集，若是，则执行步骤36；否则执行步骤33；

步骤33、判断F_α[d]是否是频繁α项集F_α中最后一个元素，若是，则执行步骤34；否则，将d+1赋值给d，返回步骤32；

步骤34、将α-1赋值给α，判断α＝0是否成立，若成立，则将

中全部事件作为结果输出，并执行步骤35；否则，初始化d＝1，返回步骤32；

步骤35、将s+1赋值给s，判断s+1＝n是否成立，若成立，则表示关联方法完成；否则，初始化d＝1，返回步骤32；

步骤36、根据F_α[d]中事件的紧急度特征，输出前top个紧急度特征最高的事件特征；其中，top为设定好的排名值。

与已有技术相比，本发明有益效果体现在：

1、本发明利用告警信息产生的特点，在保证运维人员及时正确发现和处理故障的前提下，通过划分时间段以及设立全局缓存值的技术手段，大幅度减少了计算量，为运维系统的高效运行提供了保证。

2、本发明所提出的方法不仅仅针对特定规模或者特定情境下的告警日志，只要系统日志条目之间存在关联关系，根据彼此之间关联性强弱，改变本文所设定的参数阈值，就可以做到日志条目的优化推送，应用广泛，使用方便。

3、本发明所提出的方法不要获得运维系统的全部信息，企业公司可以根据自身的隐私保护政策，只需提供本发明方法中少量相关特征就可以实现本方法，保护了企业公司的敏感信息，安全性强。

3、本发明所提出的方法不需要在企业系统架构上部署特殊构件，只需要在告警日志推送前对其进行预处理，就可以完成告警日志的关联，并推送给运维人员。减轻了部署成本，降低了应用难度。

具体实施方式

本实施例中，一种告警日志的高效关联方法，告警信息是由n条有时间信息的告警条目组成，记为I＝{I₁,I₂...,I_i,...,I_n}，假设现有国家电网IT基础架构某两天的告警中心产生的告警日志，每条告警条目的形式为：(2018/12/210：21，1.1.1.1检修公司酒泉分部7604，中)，共1816条；其中，I_i表示第i条告警条目，且第i条告警条目由三个特征组成，分别为第i个时间特征t_i，第i个事件特征e_i和第i个紧急度p_i，1≤i≤n；比如上述示例条目的时间特征为(2018/12/210：21)，事件特征为(1.1.1.1检修公司酒泉分部7604)，紧急度为(中)；

定义

为时间段-事件集合，其中，

表示第k₁个时间特征

至第k₂个时间特征

之间，即时间段

中出现的非重复事件集合，记为

e_y表示第y个事件特征，1≤k_h≤n，1≤y＜n；比如

可以表示时间为(2018/12/210：21～2018/12/223：11)中发生的非重复事件(1.1.1.1检修公司酒泉分部7604，…)；

定义

为事件-时间段集合，其中，

表示第z个事件特征e_z所出现的时间段，记为

表示第k_β个时间特征

到第k_β+1个时间特征

之间的时间段；1≤y≤z＜n；比如

可以表示事件(1.1.1.1检修公司酒泉分部7604)所出现的时间段(2018/12/210:21～2018/12/223：11，2018/12/38:31～2018/12/322：22，…)；

定义F＝{F₁,F₂,...,F_α,...,F_u}为频繁集合，其中，F_α表示频繁α项集；比如F₂可以表示{[1.1.1.1检修公司酒泉分部7604,10.1.1.1,康乐县核心交换机A],[20.1.1.1泉州核心交换机B,21.1.1.1泉州核心交换机C],…},F₂中每个元素,都由两个事件组成,意味着这两个事件频繁在一起发生；其特征是，关联方法是按如下步骤进行：

步骤1、定义时间起始点为start，定义临时事件集合为temp，初始化i＝2，start＝1，temp＝{e₁}；

步骤2、利用式(1)得到相邻两条日志条目的时间差Δt_i,i-1：

Δt_i,i-1＝t_i-t_i-1 (1)

步骤3、判断Δt_i,i-1≤Δt是否成立，若成立，则直接执行步骤4；否则，将temp赋值给

并令临时事件集合temp为空集，令start＝i-1后执行步骤4；其中，Δt表示所设定的时间差阈值；即划分整个告警日志为若个时间段,当前后两条告警条目产生时间超过Δt时,则将后条告警条目划分到下一个时间段,在本实施实例中,Δt为1小时；

步骤4、判断

是否成立，若成立，将第i个事件特征e_i添加到temp后，执行步骤5；否则，直接执行步骤5；确保temp集合中保存的事件是无重复的，在同一时间段内发生的事件只记录一次；

步骤5、将i+1赋值给i后，判断i＞n是否成立，若成立，则执行步骤6；否则，返回步骤2顺序执行，从而获得时间段-事件集合

比如此时已将2018/12/2～2018/12/3日的告警日志分成了4个时间段，每个时间段包含其时间段间发生的事件；

步骤6、均分所述时间段-事件集合

得到第一时间段-事件集合

和第二时间段-事件集合

其中

比如在本实施实例中，

包含前两个时间段，

包含后两个时间段；

步骤7、定义候选α项集为C_α，定义C_α[d]为候选α项集C_α中第d个元素，且

为候选α项集C_α中第d个元素的第α项，初始化α＝1、C_α为空集、F_α为空集；

步骤8、定义变量为j，并初始化j＝1；

步骤9、判断

是否成立，若成立，则将第j个事件特征e_j添加到C_α中，并执行步骤10；否则，直接执行步骤10；

步骤10、将j+1赋值给j后，判断j＞n是否成立，若成立，则执行步骤11；否则，返回步骤9，从而得到候选α项集C_α＝{e₁,e₂,....,e_z}；比如C₁在本实施实例中为{1.1.1.1检修公司酒泉分部7604，10.1.1.1,康乐县核心交换机A，…},C₁[1]即为1.1.1.1检修公司酒泉分部7604；

步骤11、定义变量为m，并初始化m＝1；

步骤12、对于第m个事件特征e_m，在第一时间段-事件集合

和第二时间段-事件集合

中分别查找第m个事件特征e_m所出现的时间段，记为

和

比如

表示的是事件(1.1.1.1检修公司酒泉分部7604)出现的时间段{(2018/12/210：21～2018/12/216：41),(2018/12/217：41～2018/12/223：20)}，

为空，因为事件(1.1.1.1检修公司酒泉分部7604)未在

中发生；

步骤13、将m+1赋值给m，判断m＞z是否成立，若成立，则执行步骤14；否则，返回步骤12；从而得到事件-时间段集合

步骤14、初始化d＝1；

步骤15、根据式(2)得到候选α项集C_α中第d个元素C_α[d]在第select时间段-事件集合

的支持度

式(2)中，

表示集合

的长度，即集合中时间段的个数；

为候选α项集C_α中第d个元素C_α[d]的第α项在第select时间段-事件集合

中所出现的时间段集合，其中，变量select∈{one,two}；比如

(1.1.1.1检修公司酒泉分部7604)在

中出现2次，所以支持度为2；

步骤16、根据(3)得到候选α项集C_α的第d个元素C_α[d]的总支持度sup(C_α[d])：

步骤17、判断α＝1是否成立，若成立，则执行步骤18；否则，执行步骤20；

步骤18、判断sup(C_α[d])≥Min_sup是否成立，若成立，则将C_α[d]加入F_α中，并执行步骤19；否则，直接执行步骤19；其中，Min_sup为所设定的最小支持度阈值；即将频繁出现的事件加入频繁α项集中，在本实施实例中Min_sup＝总日志大小*10％＝181；

步骤19、将d+1赋值给d，判断d＞z是否成立，若成立，则执行步骤20；否则，返回步骤18；从而得到频繁α项集F_α；

步骤20、根据式(4)得到第d个元素C_α[d]的缓存值Cache(C_α[d])：

比如对于事件(11.11.11.11内存溢出5604)，它在

支持度为120>181/2，在

中的支持度为15<181/2，所以它的Cache值为1；

步骤21、根据Apriori算法自连接规则，自连接频繁α项集F_α得到候选α+1项集C_α+1；比如对于频繁1项集中元素(11.11.11.11内存溢出5604)和(1.1.1.1内存溢出1302)，连接得到候选2项集的一个元素(11.11.11.11内存溢出5604，1.1.1.1内存溢出1302)；

步骤22、初始化d＝1，初始化频繁α+1项集F_α+1为空集；定义

为候选α项集C_α中第d个元素C_α[d]除去最后一项

后的元素，即

步骤23、对于

的值进行判断：

若

则执行步骤24；

若

或{1,1}，则执行步骤25；

若

或{2,2}，则执行步骤26；

若

则执行步骤27；

若

则执行步骤28；

若

则执行步骤29；

步骤24、判断sup(C_α+1[d])≥Min_sup是否成立，若成立，则将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤29；

步骤25、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；

步骤26、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；

步骤27、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；

步骤28、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；步骤23～28决定了单独事件或组合事件是否是频繁出现的，比如组合事件{(11.11.11.11内存溢出5604,1.1.1.1内存溢出1302)}在上述步骤中保留下来，那么表示它们两是频繁共同出现的；

步骤29、判断C_α[d]是否是候选α+1项集C_α+1的最后一个元素，若是，则执行步骤30；否则，将d+1赋值给d，返回步骤23；从而得到频繁α+1项集F_α+1；

步骤30、判断频繁α+1项集F_α+1是否为空集，若成立，则执行步骤31；否则，将α+1赋值给α，返回步骤21；从而得到频繁集合F＝{F₁,F₂,...,F_α,...,F_u}；从而得到频繁集合F＝{F₁,F₂,...,F_u}；当产生的频繁项集为空集时，那么不在重复执行上述循环；

步骤31、初始化s＝0，d＝1，α＝u；定义常量k₀，并初始化k₀＝1，记F_α[d]为频繁α项集F_α中第d个元素；

步骤32、判断F_α[d]是否是

的子集，若是，则执行步骤36；否则执行步骤33；例如，在本实施实例中，(11.11.11.11内存溢出5604,1.1.1.1内存溢出1302)是时间段(2018/12/210:21～2018/12/223：11)所含事件的子集，那么则执行步骤36；

步骤33、判断F_α[d]是否是频繁α项集F_α中最后一个元素，若是，则执行步骤34；否则，将d+1赋值给d，返回步骤32；即遍历完频繁α项集；

步骤34、将α-1赋值给α，判断α＝0是否成立，若成立，则将

中全部事件作为结果输出，并执行步骤35；否则，初始化d＝1，返回步骤32；即遍历完频繁项集合F；

步骤35、将s+1赋值给s，判断s+1＝n是否成立，若成立，则表示关联方法完成；否则，初始化d＝1，返回步骤32；即处理完所有告警条目；

步骤36、根据F_α[d]中事件的紧急度特征，输出前top个紧急度特征最高的事件特征；其中，top为设定好的排名值。在本实施实例中，事件(11.11.11.11内存溢出5604,1.1.1.1内存溢出1302，1.1.1.1检修公司酒泉分部1604，1.1.1.1主服务器无响应)是2018/12/2日所发生事件的子集，那么根据这四个事件的重要度，那么推送最重要的(1.1.1.1主服务器无响应)，因为它的重要度是(高)，其余三个事件重要度为(中)，这就完成了告警条目的优化，推送了引发海量告警的根本故障。

Claims (1)

1.一种告警日志的高效关联方法，所述告警信息是由n条有时间信息的告警条目组成，记为I＝{I₁,I₂...,I_i,...,I_n}，其中，I_i表示第i条告警条目，且第i条告警条目由三个特征组成，分别为第i个时间特征t_i，第i个事件特征e_i和第i个紧急度p_i，1≤i≤n；

定义

为时间段-事件集合，其中，

表示第k₁个时间特征

至第k₂个时间特征

之间的时间段

中出现的非重复事件集合，且

e_y表示第y个事件特征，1≤k_h≤n,1≤y＜n；

定义

为事件-时间段集合，其中，

表示第z个事件特征e_z所出现的时间段，且

表示第k_β个时间特征

到第k_β+1个时间特征

之间的时间段；1≤y≤z＜n；

定义F＝{F₁,F₂,...,F_α,...,F_u}为频繁项集合，其中，F_α表示频繁α项集；其特征是，所述关联方法是按如下步骤进行：

步骤1、定义时间起始点为start，定义临时事件集合为temp，初始化i＝2，start＝1，temp＝{e₁}；

步骤2、利用式(1)得到相邻两条日志条目的时间差Δt_i,i-1：

Δt_i,i-1＝t_i-t_i-1 (1)

步骤3、判断Δt_i,i-1≤Δt是否成立，若成立，则直接执行步骤4；否则，将temp赋值给

并令临时事件集合temp为空集，令start＝i-1后执行步骤4；其中，Δt表示所设定的时间差阈值；

步骤4、判断

是否成立，若成立，将第i个事件特征e_i添加到temp后，执行步骤5；否则，直接执行步骤5；

步骤5、将i+1赋值给i后，判断i＞n是否成立，若成立，则执行步骤6；否则，返回步骤2顺序执行，从而获得时间段-事件集合

步骤6、均分所述时间段-事件集合

得到第一时间段-事件集合

和第二时间段-事件集合

其中

步骤7、定义候选α项集为C_α，定义C_α[d]为候选α项集C_α中第d个元素，且

为候选α项集C_α中第d个元素的第α项，初始化α＝1、C_α为空集、F_α为空集；

步骤8、定义变量为j，并初始化j＝1；

步骤9、判断

是否成立，若成立，则将第j个事件特征e_j添加到C_α中，并执行步骤10；否则，直接执行步骤10；

步骤10、将j+1赋值给j后，判断j＞n是否成立，若成立，则执行步骤11；否则，返回步骤9，从而得到候选α项集C_α＝{e₁,e₂,....,e_z}；

步骤11、定义变量为m，并初始化m＝1；

步骤12、对于第m个事件特征e_m，在第一时间段-事件集合

和第二时间段-事件集合

中分别查找第m个事件特征e_m所出现的时间段，记为

和

步骤13、将m+1赋值给m，判断m＞z是否成立，若成立，则执行步骤14；否则，返回步骤12；从而得到事件-时间段集合

步骤14、初始化d＝1；

步骤15、根据式(2)得到候选α项集C_α中第d个元素C_α[d]在第select时间段-事件集合

的支持度

式(2)中，

表示集合

的长度，即集合中时间段的个数；

为候选α项集C_α中第d个元素C_α[d]的第α项在第select时间段-事件集合

中所出现的时间段集合，其中，变量select∈{one,two}；

步骤16、根据(3)得到候选α项集C_α的第d个元素C_α[d]的总支持度sup(C_α[d])：

步骤17、判断α＝1是否成立，若成立，则执行步骤18；否则，执行步骤20；

步骤18、判断sup(C_α[d])≥Min_sup是否成立，若成立，则将C_α[d]加入F_α中，并执行步骤19；否则，直接执行步骤19；其中，Min_sup为所设定的最小支持度阈值；

步骤19、将d+1赋值给d，判断d＞z是否成立，若成立，则执行步骤20；否则，返回步骤18；从而得到频繁α项集F_α；

步骤20、根据式(4)得到第d个元素C_α[d]的缓存值Cache(C_α[d])：

步骤21、根据Apriori算法自连接规则，自连接频繁α项集F_α得到候选α+1项集C_α+1；

步骤22、初始化d＝1，初始化频繁α+1项集F_α+1为空集；定义

为候选α项集C_α中第d个元素C_α[d]除去最后一项

后的元素，即

步骤23、对于

的值进行判断：

若

则执行步骤24；

若

或{1,1}，则执行步骤25；

若

或{2,2}，则执行步骤26；

若

则执行步骤27；

若

则执行步骤28；

若

则执行步骤29；

步骤24、判断sup(C_α+1[d])≥Min_sup是否成立，若成立，则将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤29；

步骤25、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；

步骤26、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；

步骤27、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；

步骤28、判断

是否成立，若成立，将C_α+1[d]加入频繁α+1项集F_α+1中，并执行步骤29；否则，执行步骤24；

步骤29、判断C_α[d]是否是候选α+1项集C_α+1的最后一个元素，若是，则执行步骤30；否则，将d+1赋值给d，返回步骤23；从而得到频繁α+1项集F_α+1；

步骤30、判断频繁α+1项集F_α+1是否为空集，若成立，则执行步骤31；否则，将α+1赋值给α，返回步骤21；从而得到频繁集合F＝{F₁,F₂,...,F_α,...,F_u}；

步骤31、初始化s＝0，d＝1，α＝u；定义常量k₀，并初始化k₀＝1，记F_α[d]为频繁α项集F_α中第d个元素；

步骤32、判断F_α[d]是否是

的子集，若是，则执行步骤36；否则执行步骤33；

步骤33、判断F_α[d]是否是频繁α项集F_α中最后一个元素，若是，则执行步骤34；否则，将d+1赋值给d，返回步骤32；

步骤34、将α-1赋值给α，判断α＝0是否成立，若成立，则将

中全部事件作为结果输出，并执行步骤35；否则，初始化d＝1，返回步骤32；

步骤35、将s+1赋值给s，判断s+1＝n是否成立，若成立，则表示关联方法完成；否则，初始化d＝1，返回步骤32；

步骤36、根据F_α[d]中事件的紧急度特征，输出前top个紧急度特征最高的事件特征；其中，top为设定好的排名值。