CN113434366A - 一种事件处理方法和系统 - Google Patents

Abstract

本申请公开了一种事件处理方法和系统，该方法包括：事件整合平台接收待处理的告警事件，确定告警事件对应的事件处理规则；其中，所述事件处理规则是基于事件选择器和内置函数，并通过页面进行配置的；然后根据事件处理规则所标识的事件处理流程，处理所述告警事件；事件整合平台对事件处理规则处理后的告警事件进行展示并发出通知。上述提供的事件处理方法，基于事件整合平台接收告警事件，支持通过页面配置不同的事件处理规则，无需编写脚本实现事件处理规则，容易编辑修改，简化了事件处理规则的实现方式，方便利用事件处理规则智能处理各类告警事件。

Description

一种事件处理方法和系统

技术领域

本申请涉及信息处理技术领域，尤其涉及一种事件处理方法和系统。

背景技术

信息技术领域取得了巨大发展和突破，在金融领域，随着电子业务的快速发展，生产系统的复杂程度也越来越高，信息技术的发展使企业越来越依赖信息系统的稳定运行。面对日益增加的运维压力，任何业务中断事件造成的损失都令企业难以承受，各IT行业都在寻求通过管理手段和技术手段控制运行风险、加快生产事件的应急响应速度，降低生产事件造成的业务影响，从而提高服务质量，以支撑企业的快速增长。

比如，为了减少业务异常造成的影响，银行业的许多系统都需要监控管理，出现异常告警事件之后，需要及时处理。如果发生的告警事件比较多，会增加运维工作的压力。最近IT服务供应商逐渐将监控工具、自动化工具与流程工具进行整合，形成一整套解决方案向客户提供全方位的监控告警服务，但现有产品的解决方案中，处理各类告警事件的规则需要编写脚本才能实现，操作比较复杂，且不易编辑修改。

发明内容

本申请实施例提供了一种事件处理方法和系统，以便简化事件处理规则的实现方式，容易编辑修改事件处理规则。

第一方面，本申请实施例提供了一种事件处理方法，所述方法包括：

事件整合平台接收待处理的告警事件；

所述事件整合平台确定所述告警事件对应的事件处理规则；所述事件处理规则是基于事件选择器和内置函数，并通过页面进行配置的；

所述事件整合平台根据所述事件处理规则所标识的事件处理流程，处理所述告警事件；

所述事件整合平台对所述事件处理规则处理后的告警事件进行展示并发出通知。

在一些可能的实施方式中，所述事件处理规则包括预处理规则，所述事件整合平台根据所述事件处理规则所标识的事件处理流程，处理所述告警事件包括：

所述事件整合平台根据预处理规则，对所述告警事件的特定参数进行转换或计算，以满足数据格式的要求。

在一些可能的实施方式中，所述事件处理规则包括标准化规则，所述事件整合平台根据所述事件处理规则所标识的事件处理流程，处理所述告警事件包括：

所述事件整合平台根据标准化规则，将所述告警事件的事件标题、事件内容和事件级别中的至少一种进行统一制定，形成标准格式的告警事件。

在一些可能的实施方式中，所述事件处理规则包括压缩规则，所述事件整合平台根据所述事件处理规则所标识的事件处理流程，处理所述告警事件包括：

如果在预设的一段时间内，接收的所述告警事件的数量超过了阈值，则所述事件整合平台将符合所述压缩规则的所述告警事件压缩为一个告警事件；所述压缩规则是根据告警事件级别、事件源和告警指标标识中的至少一种进行配置的。

在一些可能的实施方式中，所述发出通知还包括：

所述事件整合平台向所述告警事件所属领域的用户发送所述告警事件。

第二方面，本申请实施例提供了一种事件处理装置，所述装置包括接收模块、确定模块、处理模块、展示模块以及通知模块，其中：

接收模块，用于：接收待处理的告警事件；

确定模块，用于：确定所述告警事件对应的事件处理规则；所述事件处理规则是基于事件选择器和内置函数，并通过页面进行配置的；

处理模块，用于：根据所述事件处理规则所标识的事件处理流程，处理所述告警事件；

展示模块，用于：对所述事件处理规则处理后的告警事件进行展示；

通知模块，用于：对所述事件处理规则处理后的告警事件发出通知。

第三方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，所述计算机程序用于执行上述第一方面任意一种实施方式所述的事件处理方法。

第四方面，本申请实施例还提供了一种事件处理系统，所述系统包括消息总线、配置管理组件与事件规则引擎，其中：

所述消息总线，用于：接收告警事件以及事件整合平台内部模块之间的消息传输；

所述配置管理组件，用于：存储配置信息，并通过所述消息总线将配置信息传输给所述事件规则引擎；

所述事件规则引擎，用于：基于事件选择器和内置函数，通过页面配置事件处理规则，并基于所述事件处理规则处理所述告警事件。

在一些可能的实施方式中，所述配置管理组件中存储的配置信息包括：

监控对象CI和监控指标KPI；

所述CI包括应用系统、部署单元、物理机、虚拟机或者IP中的至少一种；

所述KPI包括操作系统、数据库或者中间件中的至少一种。

在一些可能的实施方式中，所述配置管理组件还用于：利用Neo4j图数据库存储监控对象CI和监控指标KPI之间的关联关系。

在本申请实施例的上述实现方式中，事件整合平台接收待处理的告警事件之后，确定所述告警事件对应的事件处理规则；其中，所述事件处理规则是基于事件选择器和内置函数，并通过页面进行配置的；然后，事件整合平台根据所述事件处理规则所标识的事件处理流程，处理所述告警事件；事件整合平台对所述事件处理规则处理后的告警事件进行展示并发出通知。本申请提供的事件处理方法，基于事件整合平台处理接收的告警事件，支持通过页面配置不同的事件处理规则，无需编写脚本实现事件处理规则，容易编辑修改，简化了事件处理规则的实现方式。并且编辑修改的事件处理规则可以实时生效，不用重启服务，方便利用事件处理规则智能处理各类告警事件。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见，下面描述中的附图仅仅是本申请中提供的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本申请实施例中一种事件处理方法的流程示意图；

图2为本申请实施例中一种事件处理规则的页面配置示意图；

图3为本申请实施例中另一种事件处理规则的页面配置示意图；

图4为本申请实施例中另一种事件处理规则的页面配置示意图；

图5为本申请实施例中另一种事件处理规则的页面配置示意图；

图6为本申请实施例中另一种事件处理规则的页面配置示意图；

图7为本申请实施例中一种事件处理流程的示意图；

图8为本申请实施例中一种事件处理装置的结构示意图。

具体实施方式

目前某些供应商逐渐将监控工具、自动化工具与流程工具进行整合，形成一整套解决方案向客户提供全方位的监控告警服务，但现有产品的解决方案中，处理各类告警事件的规则需要编写脚本才能实现，操作比较复杂，且不易编辑修改。

基于此，本申请实施例提供了一种事件处理方法，可以简化事件处理规则的实现方式，容易编辑修改。具体实现时，事件整合平台接收待处理的告警事件之后，确定所述告警事件对应的事件处理规则；其中，所述事件处理规则是基于事件选择器和内置函数，并通过页面进行配置的；然后，事件整合平台根据所述事件处理规则所标识的事件处理流程，处理所述告警事件；事件整合平台对所述事件处理规则处理后的告警事件进行展示并发出通知。本申请提供的事件处理方法，基于事件整合平台处理接收的告警事件，支持通过页面配置不同的事件处理规则，无需编写脚本实现事件处理规则，容易编辑修改，简化了事件处理规则的实现方式，方便利用事件处理规则智能处理各类告警事件。

另外，由于事件整合平台可以将事件处理规则策略从数据库读到本地缓存中，有告警事件需要处理时，直接在缓存中匹配事件处理规则，快速高效。当对事件处理规则进行增删改操作时，先在数据库中进行操作，然后系统自动更新本地缓存，使得对事件处理规则的编辑修改可以实时生效，不用重启系统，使运维工作更加高效。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整的描述，所描述的实施例仅为本申请示例性的实施方式，并非全部实现方式。本领域技术人员可以结合本申请的实施例，在不进行创造性劳动的情况下，获得其他的实施例，而这些实施例也在本申请的保护范围之内。

本申请实施例中的事件整合平台以Consolidated Monitor and PerformanceManagement system(简称为CMPM)为例进行说明，但并不仅限于此种形式，其他可以实现同样功能的事件整合平台也在本申请的保护范围之内。事件整合平台CMPM主要包括ActiveMQ、配置管理组件(MMDB)和事件规则引擎(EPServer)。ActiveMQ是一个高性能、能力强的消息总线，CMPM接收外部告警事件和内部模块之间的消息传输，均使用ActiveMQ作为消息总线。配置管理组件MMDB中主要存储了监控对象(CI)和监控指标(KPI)等配置信息，CI主要包括应用系统、物理机、虚拟机、IP、机柜信息、管理员等信息，KPI主要包括操作系统(Linux、AIX、HP-Unix、Windows)、数据库(Oracle、MYSQL)、中间件(Weblogic、Tomcat、tuxedo)等的监控指标。由于监控对象和监控指标数据之间的关系复杂，关联层级比较多，MMDB可以利用Neo4j图数据库存储监控对象和监控指标数据之间的关联关系，可以提高数据的存储性能。EPServer是CMPM的事件规则引擎，包含了处理告警事件的各类事件处理规则，具有轻量级、高可用性、高性能、多线程、可扩展以及易维护等优点。

参见图1，图1展示了一种事件处理方法的流程示意图，以便简化事件处理规则的实现方式，该方法具体包括如下步骤：

S101：事件整合平台接收待处理的告警事件；

在开放系统监控(CMP)、网管监控(NMS)、交易监控(APM)、大机监控(MMMP)等领域虽然有专门的监控解决方案，但是各领域监控的处理逻辑、数据格式等互不相同，不能进行统一管理分析，本申请实施例提供的事件处理方法中，事件整合平台CMPM可以通过统一的rest接口，将不同领域的告警事件接入事件整合平台，包含了告警事件级别、事件详细信息、事件状态、事件源等信息，具体如下表1所示。

表1告警事件内容

事件源可以调用rest接口，将原始的告警事件传入事件整合平台CMPM。当事件状态为OPEN时，表示发生告警事件；事件状态为CLOSE时，表示告警事件已处理。由表1可知，事件源包括开放平台监控、大机监控、设备硬件监控、应用交易监控等。

S102：事件整合平台确定所述告警事件对应的事件处理规则；所述事件处理规则是基于事件选择器和内置函数，并通过页面进行配置的；

在事件整合平台内部，由ActiveMQ作为消息总线进行消息传输，当ActiveMQ组件监听到有告警事件接入事件整合平台之后，将接收的告警事件传输给事件整合平台的事件规则引擎EPServer，进行告警事件的分析处理。告警事件的处理由EPServer中的各类事件处理规则完成，最终形成运维工作人员可视的告警。事件处理规则包括时间窗口、事件选择器、动作表达式函数，时间窗口表示事件处理规则生效的时间段，如果不指定时间窗口表示该事件处理规则永久生效。如图2所示，展示了一种时间窗口的页面配置方法，包含了时间窗口的名称、开始时间、结束时间以及循环周期等。

事件选择器可以从全部告警事件中筛选出满足特定条件的告警事件，筛选条件包括配置管理组件MMDB中的监控对象CI和监控指标KPI，rest接口传入参数的正则匹配(LIKE、＝＝、in、not in等)以及逻辑运算(与、或、非)等。事件选择器之间也可以通过逻辑运算进行组合，形成新的事件选择器。参见图3，展示了一种事件选择器的页面配置方法示意图，主要包括了事件选择器名称、所属事件器组、CI设置、KPI设置以及筛选字段等，筛选字段可以通过正则匹配和逻辑运算进行设置。

动作表达式函数可以控制改变告警事件的状态，EPServer包含的一系列内置函数，可以用于进行逻辑运算、格式转换、文本处理等。例如，$DICT表示从系统的字典表中，查询得到指定类型下指定字典代码的说明信息的表达式函数实现，$SEVC表示将告警级别从级别代码转换为级别名称的函数实现，$DATE表示将日期转换为指定格式的日期函数实现，$CSB表示截取匹配字符之前的字符串函数等。

在本申请实施例中，EPServer支持的事件处理规则包括实时事件处理规则、周期处理规则和自定制开发规则，其中实时事件处理规则包括：预处理规则、标准化规则、过滤屏蔽规则、压缩规则、事件关联规则等；周期处理规则包括：定时清理规则、超时升降级规则、维护期规则等；自定制开发规则包括：事件展示规则、事件处置规则、订阅规则等。

预处理规则指的是在正式处理告警事件之前，利用内置函数，对接收的原始告警事件中的某些特定参数进行转换或简单计算，以满足后续事件处理规则的数据格式。参见图4，展示了通过页面配置预处理规则的方法示意图，包含了事件源、配置项名称、配置项实例、指标名称和规则优先级等，图4以利用$CSB内置函数截取配置项实例进行说明。其中，事件源包括开放平台监控、大机监控、设备硬件监控、应用交易监控等，配置项名称指的是发生告警事件的主体，比如支付管理子系统、社交网络服务等。告警指标涉及运维主体的多个维度，例如，开放监控系统的告警指标涉及CPU、内存、日志、Oracle数据库、中间件等，交易监控的告警指标涉及平均响应时间、交易量、长交易数、交易成功率等。

标准化规则指的是将不同事件源的告警事件级别、告警事件内容等进行统一制定，形成标准格式的告警事件。如图5所示的标准化规则中，可以对告警事件的标题、事件内容、事件级别、发生时间、优先级等内容进行统一制定，形成标准格式。由上述表1的内容可知，告警事件的级别包括清除、不确定、警告、次要、主要、紧急(严重)。

压缩规则指的是在一段预设的时间内，如果接收的告警事件数量超过了阈值，可以按照特定的压缩规则，将符合该规则的告警事件压缩成一条告警事件，以减少告警事件的数量，避免告警风暴发生。当后续告警事件被压缩时，可以对原告警事件的某些字段进行更新，确保最新的信息能在压缩的告警事件中体现。参见图6所示的压缩规则中，利用内置函数${SOURCEID}、${SOURCEALERTKEY}、$NOW()、${SEVERITY}以及${SOURCECINAME}，组合成特定的压缩规则，那么满足该压缩规则的告警事件就会被压缩在一起，成为一条告警事件。对告警事件进行压缩时，可以对事件级别、告警信息、最后发生时间等字段进行更新。

此外，还可以利用过滤屏蔽规则处理告警事件，将事件选择器筛选出的、符合配置的过滤屏蔽规则的某些告警事件屏蔽，不再匹配后续的事件处理规则。

事件关联规则处理的是两个或两个以上有关联关系的告警，告警事件可以通过监控对象CI、监控指标KPI、告警实例等属性，在一段时间内进行关联，可以设置关联告警时间间隔，关联之后可以对告警事件进行升降级、清除、派生新告警等操作。例如，网络端口闪断是事件关联规则的典型应用场景：若端口down告警发出后的90秒内，端口又恢复为up状态，则最开始的端口down告警事件则被过滤，不会被报出。此处就不再详细赘述事件关联规则的页面配置。

S103：事件整合平台根据所述事件处理规则所标识的事件处理流程，处理所述告警事件；

EPServer具有流程编排功能，在利用页面配置事件处理规则之后，根据各种事件处理规则所标识的事件处理流程，处理接收的告警事件，参见图7。EPServer事件规则引擎具有以下特点：

(1)由告警事件发生、直到告警事件关闭的闭环事件处理。

(2)提供可配置的事件实时处理规则引擎。

(3)整合现有事件处理平台的事件处理规则。

S104：事件整合平台对所述事件处理规则处理后的告警事件进行展示并发出通知。

告警事件经过EPServer中的事件处理规则处理后，已经是生产环境中实际报出的告警，事件整合平台可以通过事件控制台模块，以表格的形式实时展示告警事件的信息，以表2为例进行简单说明，表中的每一行即代表了一条告警事件的信息，信息中可以包括配置项名称、配置项实例、告警指标描述、级别、首次发生时间、最后发生时间、事件源标识等多种属性。其中，配置项名称为发生告警的主体，告警指标标识为触发告警的指标，告警指标涉及运维主体的多个维度，例如：开放系统的告警指标涉及CPU、内存、日志、Oracle数据库、中间件等；交易监控的告警指标涉及平均响应时间、交易量、长交易数、交易成功率等。表2中的内容仅为示例性的说明，不对本申请实施例的内容做其他形式上的限定。

在事件控制台中可以按照告警对象、告警实例、应用系统、告警指标、事件源、发生时间等多个维度进行告警事件的查询。另外，双击一条告警事件，可以对这条告警事件的详细内容进行展示，包括告警事件的详细信息、故障现场数据、关联事件、分析建议、告警生命周期等内容，以便运维人员充分掌握告警信息，减少应急时间，提高效率。

表2告警事件展示

发生告警事件之后，需要将告警事件信息通知给相关工作人员，事件整合平台支持自动通知或者手动通知，以短信或者邮件等形式，将告警事件通知给相关工作人员。自动通知可以通过自动通知规则实现，在自动通知规则中可以设置发送方式、告警内容、通知对象等，如果发生了与自动通知规则相匹配的告警事件，事件整合平台就可以通过自动通知规则，将告警事件自动发送给相关工作人员。手动通知是指可以通过双击告警事件，在显示的告警事件的详细信息中，选择“告警通知”，并选择告警事件的信息和接收告警事件的工作人员。

除了可以通知给维修的工作人员，事件整合平台还支持通过用户的角色发送告警通知，即根据告警事件所属的领域确定用户，向用户自动发送对应系统的告警事件。例如，当管理系统发生告警事件时，可以选择按照应用群进行分组，将告警事件自动发送给群组中负责管理系统的全部用户。

在发生告警事件之后，工作人员需要解决发生的告警事件。事件整合平台CMPM支持自动处理和人工处理告警事件。通过自动化规则，可以对告警事件进行自动处理。事件整合平台支持通过puppet调用目标主机上的脚本，自动处理告警事件，例如可以通过传入参数${CIINSTANCE}，调用目标主机上的CheckPort.sh脚本，即可实现自动查看端口状态的操作。告警事件的处理还可以通过人工进行处理，在事件整合平台的事件控制台中，右键单击一条告警事件，可以看到事件定位、确认事件、关闭事件、告警升降级、告警通知、创建工单等选项，可人工选择进行处理。

另外，事件整合平台可以对以往历史告警数据通过各个维度进行统计，以便进行数据分析。目前，事件整合平台支持用户接收短信邮件统计、信息发送记录、聚合统计、压缩告警汇总、丢弃事件、自动处置统计、事件分类统计等多种统计数据。例如，通过信息发送记录统计数据，可以按照信息类型、告警事件序列号、发生时间等条件进行告警事件的查询。

此外，本申请实施例提供了一种事件处理装置，参见图8，图8展示了该装置的结构示意图，该装置800具体包括：

接收模块801，用于：接收待处理的告警事件；

确定模块802，用于：确定所述告警事件对应的事件处理规则；所述事件处理规则是基于事件选择器和内置函数，并通过页面进行配置的；

处理模块803，用于：根据所述事件处理规则所标识的事件处理流程，处理所述告警事件；

展示模块804，用于：对所述事件处理规则处理后的告警事件进行展示；

通知模块805，用于：对所述事件处理规则处理后的告警事件发出通知。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，所述计算机程序用于执行上述方法实施例中所述的事件处理方法。

以上所述仅是本申请示例性的实施例，并非对本申请做任何形式上的限制。对以上实施例所做的等同变化或修改，均属于本申请的保护范围。

Claims (10)

1.一种事件处理方法，其特征在于，所述方法包括：

事件整合平台接收待处理的告警事件；

所述事件整合平台确定所述告警事件对应的事件处理规则；所述事件处理规则是基于事件选择器和内置函数，并通过页面进行配置的；

所述事件整合平台根据所述事件处理规则所标识的事件处理流程，处理所述告警事件；

所述事件整合平台对所述事件处理规则处理后的告警事件进行展示并发出通知。

2.根据权利要求1所述的方法，其特征在于，所述事件处理规则包括预处理规则，所述事件整合平台根据所述事件处理规则所标识的事件处理流程，处理所述告警事件包括：

所述事件整合平台根据预处理规则，对所述告警事件的特定参数进行转换或计算，以满足数据格式的要求。

3.根据权利要求1所述的方法，其特征在于，所述事件处理规则包括标准化规则，所述事件整合平台根据所述事件处理规则所标识的事件处理流程，处理所述告警事件包括：

所述事件整合平台根据标准化规则，将所述告警事件的事件标题、事件内容和事件级别中的至少一种进行统一制定，形成标准格式的告警事件。

4.根据权利要求1所述的方法，其特征在于，所述事件处理规则包括压缩规则，所述事件整合平台根据所述事件处理规则所标识的事件处理流程，处理所述告警事件包括：

如果在预设的一段时间内，接收的所述告警事件的数量超过了阈值，则所述事件整合平台将符合所述压缩规则的所述告警事件压缩为一个告警事件；所述压缩规则是根据告警事件级别、事件源和告警指标标识中的至少一种进行配置的。

5.根据权利要求1所述的方法，其特征在于，所述发出通知还包括：

所述事件整合平台向所述告警事件所属领域的用户发送所述告警事件。

6.一种事件处理装置，其特征在于，所述装置包括接收模块、确定模块、处理模块、展示模块以及通知模块，其中：

接收模块，用于：接收待处理的告警事件；

确定模块，用于：确定所述告警事件对应的事件处理规则；所述事件处理规则是基于事件选择器和内置函数，并通过页面进行配置的；

处理模块，用于：根据所述事件处理规则所标识的事件处理流程，处理所述告警事件；

展示模块，用于：对所述事件处理规则处理后的告警事件进行展示；

通知模块，用于：对所述事件处理规则处理后的告警事件发出通知。

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储计算机程序，所述计算机程序用于执行权利要求1至5任一项所述的方法。

8.一种事件处理系统，其特征在于，所述系统包括消息总线、配置管理组件与事件规则引擎，其中：

所述消息总线，用于：接收告警事件以及事件整合平台内部模块之间的消息传输；

所述配置管理组件，用于：存储配置信息，并通过所述消息总线将配置信息传输给所述事件规则引擎；

所述事件规则引擎，用于：基于事件选择器和内置函数，通过页面配置事件处理规则，并基于所述事件处理规则处理所述告警事件。

9.根据权利要求8所述的系统，其特征在于，所述配置管理组件中存储的配置信息包括：

监控对象CI和监控指标KPI；

所述CI包括应用系统、部署单元、物理机、虚拟机或者IP中的至少一种；

所述KPI包括操作系统、数据库或者中间件中的至少一种。

10.根据权利要求8所述的系统，其特征在于，所述配置管理组件还用于：利用Neo4j图数据库存储监控对象CI和监控指标KPI之间的关联关系。

Images