CN114090393B - 一种告警级别的确定方法、装置及设备 - Google Patents

一种告警级别的确定方法、装置及设备 Download PDF

Info

Publication number
CN114090393B
CN114090393B CN202210039676.6A CN202210039676A CN114090393B CN 114090393 B CN114090393 B CN 114090393B CN 202210039676 A CN202210039676 A CN 202210039676A CN 114090393 B CN114090393 B CN 114090393B
Authority
CN
China
Prior art keywords
alarm
classified
alarms
determining
correlation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210039676.6A
Other languages
English (en)
Other versions
CN114090393A (zh
Inventor
卢鑫源
郑铁樵
张博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cloudwise Beijing Technology Co Ltd
Original Assignee
Cloudwise Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cloudwise Beijing Technology Co Ltd filed Critical Cloudwise Beijing Technology Co Ltd
Priority to CN202210039676.6A priority Critical patent/CN114090393B/zh
Publication of CN114090393A publication Critical patent/CN114090393A/zh
Application granted granted Critical
Publication of CN114090393B publication Critical patent/CN114090393B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)

Abstract

本发明的实施例提供一种告警级别的确定方法、装置及设备,告警级别的确定方法包括:获得待定级告警;根据历史告警库,获得与所述待定级告警属于同一故障的同故障告警;根据所述同故障告警,确定同问题告警;获取所述待定级告警所属的第一警报与所述同问题告警所属的第二警报之间的拓扑距离;根据所述拓扑距离,计算影响范围量化指数;根据待定级告警的关联指标和所述同故障告警,计算严重程度量化指数;根据所述影响范围量化指数和所述严重程度量化指数,确定所述待定级告警的级别。本发明的实施例实现了告警级别的动态判定,解决了大批量告警的处理优先级难以确定的问题。

Description

一种告警级别的确定方法、装置及设备
技术领域
本发明涉及运维技术领域,特别是指一种告警级别的确定方法、装置及设备。
背景技术
告警是运维领域一种常见的信息来源,当系统中出现故障时,监控中心会发出描述该故障的告警,告警中包含故障的发生时间,故障的主机,故障现象的描述,故障级别,检查项等故障相关信息。这些告警是运维人员了解系统健康状况的信息载体,通过阅读告警,运维人员能够确定故障排查的基本方向,从而快速修复故障,保证系统正常运转。
然而随着公司业务的不断发展,大型的业务系统往往需要上千台设备进行支撑,这些设备之间存在调用关系,即某一台设备的正常运行需要该设备调用的其他设备也能够正常运行,因此当其中任意一台设备发生故障时,这种故障会沿着设备之间的调用关系不断传播,从而产生大量的故障及告警。如何确定这些告警的处理优先级便成为了一个亟待解决的问题。
发明内容
本发明提供了一种告警级别的确定方法、装置及设备。解决了大批量告警的处理优先级难以确定的问题。
为解决上述技术问题,本发明的实施例提供以下方案:
一种告警级别的确定方法,包括:
获得待定级告警;
根据历史告警库中,获得与所述待定级告警属于同一故障的同故障告警;
根据所述同故障告警,确定同问题告警;
获取所述待定级告警所属的第一警报与所述同问题告警所属的第二警报之间的拓扑距离;
根据所述拓扑距离和第一警报与第二警报之间的相关度,计算影响范围量化指数;
根据待定级告警的关联指标和所述同故障告警,计算严重程度量化指数;
根据所述影响范围量化指数和所述严重程度量化指数,确定所述待定级告警的级别。
可选的,根据历史告警库中,获得与所述待定级告警属于同一故障的同故障告警,包括:
将待定级告警输入训练好的决策树进行处理,确定待定级告警所属的第一警报;
将待定级告警的描述与同样属于决策树的叶子节点的目标历史告警的描述,输入长短记忆网络模型LSTM中进行处理,若待定级告警与目标历史告警属于同一警报,则将该目标历史告警所属的警报的警报编码作为待定级告警的第一警报的警报编码,否则,根据该待定级告警生成一个新的第一警报;
将属于所述第一警报的目标历史告警确定为与所述待定级告警的同故障告警。
可选的,根据所述同故障告警,确定同问题告警,包括:
将第一警报中的所有告警按照发生时间进行聚合,得到按时间长度聚合的第一警报;
将其它历史警报内的告警进行文本属性向量化处理,得到历史警报的文本属性向量;
计算第一警报与所述历史警报的相关度;
若所述相关度大于预设的相关度阈值,确定该历史警报与第一警报描述相同问题,将该历史警报中的告警确定为与待定级告警描述相同问题的同问题告警。
可选的,获取所述待定级告警所属的第一警报与所述同问题告警所属的第二警报之间的拓扑距离,包括:
根据待定级告警所属的第一警报在拓扑图中对应的第一节点与所述同问题告警所属的第二警报在所述拓扑图中对应的第二节点之间的调用关系,获得所述拓扑距离。
可选的,根据所述拓扑距离和第一警报与第二警报之间的相关度,计算影响范围量化指数,包括:
根据公式:
Figure 887875DEST_PATH_IMAGE001
计算影响范围量化指数;
其中,
Figure 883644DEST_PATH_IMAGE002
表示待定级告警所属的第一警报与第i个所述同问题告警所属的第二警报之间的相关度,
Figure 820638DEST_PATH_IMAGE003
表示待定级告警第一警报与第i个所述同问题告警所属的第二警报之间的拓扑距离。
可选的,根据待定级告警的关联指标和所述同故障告警,计算严重程度量化指数,包括:
基于预设时间滑动窗口对所述待定级告警关联的指标数据进行切分;
将待定级告警所属的第一警报中的所有告警按告警时间映射到所述指标数据中;
统计各预设时间滑动窗口内警报内告警的频次信息以及各预设时间滑动窗口内指示数据的平均值及方差;
根据告警频次阈值对各预设时间滑动窗口内警报内告警的频次信息进行筛选,得到各预设时间滑动窗口的告警个数;
计算各预设时间滑动窗口中告警的异常程度;
根据待定级告警的告警时间前第i个窗口的窗口内异常程度以及待定级告警的告警时间前第i个窗口的窗口内的告警个数,计算严重程度量化指数。
可选的,根据所述影响范围量化指数和所述严重程度量化指数,确定所述待定级告警的级别,包括:
根据所述影响范围量化指数、影响范围权重、所述严重程度量化指数以及严重等级权重,计算告警优先级评分;
根据所述告警优先级评分以及对应的评分范围,确定所述待定级告警的级别。
本发明的实施例还提供一种告警级别的确定装置,所述装置包括:
获取模块,用于获得待定级告警;
处理模块,用于从历史告警库中,获得与所述待定级告警属于同一故障的同故障告警;根据所述同故障告警,确定同问题告警;获取所述待定级告警所属的第一警报与所述同问题告警所属的第二警报之间的拓扑距离;根据所述拓扑距离,计算影响范围量化指数;根据待定级告警的关联指标和所述同故障告警,计算严重程度量化指数;根据所述影响范围量化指数和所述严重程度量化指数,确定所述待定级告警的级别。
本发明的实施例还提供一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如上所述的方法对应的操作。
本发明的实施例还提供一种计算机可读存储介质,存储有指令,所述指令在计算机上运行时,使得计算机执行如上所述的方法。
本发明的上述方案至少包括以下有益效果:
本发明的上述方案,通过获得待定级告警;从历史告警库中,获得与所述待定级告警属于同一故障的同故障告警;根据所述同故障告警,确定同问题告警;获取所述待定级告警所属的第一警报与所述同问题告警所属的第二警报之间的拓扑距离;根据所述拓扑距离,计算影响范围量化指数;根据待定级告警的关联指标和所述同故障告警,计算严重程度量化指数;根据所述影响范围量化指数和所述严重程度量化指数,确定所述待定级告警的级别。从而实现了对告警影响范围的挖掘与量化,解决了大批量告警的处理优先级难以确定的问题。
附图说明
图1为本发明实施例的告警级别的确定方法的流程示意图;
图2为本发明实施例的基于长短期记忆神经网络(LSTM)的改进决策树模型的示意图;
图3为本发明实施例的确定同问题告警的示意图;
图4为本发明实施例的拓扑图节点之间的距离示意图;
图5为本发明实施例的严重程度量化指数的计算流程示意图;
图6为本发明实施例的优先级程度判定流程示意图;
图7为本发明实施例的同故障告警的模型训练阶段的具体实施例示意图;
图8为本发明实施例的同故障告警的模型推断阶段的具体实施例示意图;
图9为本发明实施例的告警级别的确定方法装置的模块示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明的以下实施例中,故障是系统不能执行某要求功能的一种特征状态。
告警是在特定故障发生时,被管对象发出的通报构成的一种事件报告。
警报是描述同一故障的告警组成的集合。每个警报对应系统中一个特定的故障,所有描述该故障的告警都被包含在这一警报中。
事件是包含某一故障对应的警报和该故障在系统中引发的其他故障对应的警报。
拓扑图节点是运维系统中实现单一功能的实体模块或抽象模块,比如微服务,中间件等。
本发明的以下实施例中所需要的数据来源包括运维领域的三种常见数据源,即告警数据,指标数据和拓扑关系数据;
其中,告警数据是系统中特定故障发生时,监控系统为描述该故障的相关信息所发出的一种记录消息,他包含有故障发生的时间,主机,故障现象,故障等级等信息。
指标数据包含系统中某个特定观测量在不同时间点时的数值,比如CPU利用率是一种常见的指标数据,在不同的时间,CPU利用率根据系统的运行状况呈现不同的数值,这些时间点与对应数值组合而成的时间序列数据即是指标数据。
拓扑图记录了系统中不同设备之间的调用关系,这种关系数据由基本的节点和边组成,其中的节点为系统中的实现单一功能的实体模块或抽象模块,例如微服务、服务器、中间件、业务应用、业务模块等。其中的边为系统中两个节点之间的调用关系,是一种有向边。因此,拓扑图通常以有向无环图的形式呈现。
如图1所示,本发明提供一种告警级别的确定方法,包括:
步骤11,获得待定级告警;这里的待定级告警是指需要确定处理优先级的告警;
步骤12,根据历史告警库中,获得与所述待定级告警属于同一故障的同故障告警;
步骤13,根据所述同故障告警,确定同问题告警;
步骤14,获取所述待定级告警所属的第一警报与所述同问题告警所属的第二警报之间的拓扑距离;
步骤15,根据所述拓扑距离和第一警报与第二警报之间的相关度,计算影响范围量化指数;
步骤16,根据待定级告警的关联指标和所述同故障告警,计算严重程度量化指数;
步骤17,根据所述影响范围量化指数和所述严重程度量化指数,确定所述待定级告警的级别。
该实施例中,通过对待定级告警进行处理,确定影响范围量化指数和严重程度量化指数,根据影响范围量化指数和严重程度量化指数确定所述待定级告警的级别,实现了对告警影响范围的挖掘与量化,解决了大批量告警的处理优先级难以确定的问题。
本发明的一可选的实施例中,步骤12可以包括:
步骤121,将待定级告警输入训练好的决策树进行处理,确定待定级告警所属的第一警报;
步骤122,将待定级告警的描述与同样属于决策树的叶子节点的目标历史告警的描述,输入长短记忆网络模型LSTM中进行处理,若待定级告警与目标历史告警属于同一警报,则将该目标历史告警所属的警报的警报编码作为待定级告警的第一警报的警报编码,否则,根据该待定级告警生成一个新的第一警报;
步骤123,将属于所述第一警报的目标历史告警确定为与所述待定级告警的同故障告警。
该实施例中,具体实现时,如图2所示,为挖掘同一故障的告警,基于长短期记忆神经网络(LSTM)的改进决策树模型,实现待定级告警与故障映射关系的自动划分。
在模型的训练阶段,首先标注出历史告警中描述同一故障的告警,并标记出告警属于哪个警报,并给出警报编码,如果不存在警报编码,则随机生成一个编码,不同警报编码不同。
接着采用传统决策树模型根据告警属性对告警进行划分,使每个最底层的叶子节点内的告警都对应一个故障,决策树中分支节点的计算方法为信息增益法,决策树分支节点上的属性为告警本身带有的属性,比如告警所属部门,告警所属主机等。
为了实现每个子节点只包含同一警报内的告警,在最底层的叶子节点中加入了LSTM提取告警描述中的文本信息,并通过文本预处理,分词,词向量编码的方式将告警描述转化为词向量信息,然后将两条历史告警的词向量信息输入到神经网络中,并给出两条历史告警是否属于同一故障,以实现对神经网络的训练。
在推断阶段,首先需要输入待定级的告警,并采用预先训练好的决策树根据待定级告警的告警属性实现告警到警报的自动划分,划分到特定的叶子节点后,将待定级告警的描述与同样属于该叶子节点的历史告警的描述输入到LSTM中,如果与任一历史告警的计算结果显示他们属于同一警报,则返回将这一历史告警的警报编码作为待定级告警的警报编码,如果都不满足,则将当前告警生成一个新的警报,同时触发基于长短期记忆神经网络(LSTM)的改进决策树模型的重新训练,由此即可找出与待定级告警描述同一故障的告警。
这里,决策树是一种树形结构模型,该树由根节点、内部节点、叶子节点和有向边构成,使用决策树决策的过程即从根节点开始,选择一个特征作为当前节点的分裂标准,自上而下的生成子节点,直到到达叶子节点得出分类决策的结果。
上述决策树中分支节点的计算方法,即信息增益法是根据信息熵进行的,熵的计算公式如下:
Figure 825634DEST_PATH_IMAGE004
其中,假设数据源有所有可能发生的情况,有n种取值:
Figure 594001DEST_PATH_IMAGE005
,则
Figure 432775DEST_PATH_IMAGE006
代表n个状态中的第i个状态,P(
Figure 44016DEST_PATH_IMAGE006
)代表出现第i个状态的概率,H(D)代表用于消除系统不确定性所需的信息量。
决策点的选取方法,实际应用中,决策点的选取可以通过计算信息增益实现,公式如下:
Figure 462491DEST_PATH_IMAGE007
其中,Gain(D,A)代表原始数据在某个属性中是否为A作为分类标准的信息增益,H(D)代表原始数据的熵值,而H(D|A)则为采用了该划分标准后数据集D的熵值,这一差值即为信息增益,通过该方法能够判断一个新的数据是否属于某一类别。
长短期记忆人工神经网络LSTM是一种特殊的时间循环神经网络,向量将按照出现的时间先后顺序输入到神经网络中,将词编码后的向量按照词在句子中出现的先后顺序输入其中,可以学习到语句所包含的语义信息。
词向量编码是一种将词以向量的形式表示的方法,常用的词向量训练方法有CBOW和skip-gram两种,其中CBOW是通过一句话中某个词的上下文通过神经网络实现对该词的预测,并在经过训练后,将神经网络的权重组合为向量代表该词。
本发明的一可选的实施例中,步骤13可以包括:
步骤131,将第一警报中的所有告警按照发生时间进行聚合,得到按时间长度聚合的第一警报;
步骤132,将其它历史警报内的告警进行文本属性向量化处理,得到历史警报的文本属性向量;
步骤133,计算第一警报与所述历史警报的相关度;
步骤134,若所述相关度大于预设的相关度阈值,确定该历史警报与第一警报描述相同问题,将该历史警报中的告警确定为与待定级告警描述相同问题的同问题告警。
该实施例中,具体实现时,如图3所示,该过程的输入主要分两部分,第一部分为待定级告警及其同警报告警,第二部分为其他历史警报及其所含告警;
第一个部分为按时间进行抽象:即将同警报内的告警按照发生时间进行聚合,比如以5分钟为聚合时间,统计从第一个告警发出时间开始到该时间点延后5分钟的这段时间范围内属于该警报的告警个数,接着,移动至下一个5分钟,继续统计时间段内属于该警报的告警个数,最终给出警报在不同时间段内出现的频次信息,并以向量的形式表示,比如[10,20,30]表示从警报内第一个告警发出开始,第一个五分钟内属于该警报内的告警有10个,第5-10分钟有20个,第10-15分钟有30个。
第二部分为文本属性向量化编码,将告警的文本类属性以向量化的形式表示,这一过程也可通过分词+词向量编码的形式实现,获得文本中词语的词向量信息后,采用加权平均的方式将多个词的词向量做加和,并除以文本中词个数,以生成句向量,最终的句向量即是文本属性向量。
向量化时间属性及其他告警文本属性后,将计算不同告警对应属性的相关度,相关度计算主要通过关联系数实现,具体公式如下:
Figure 311515DEST_PATH_IMAGE008
其中,
Figure 524452DEST_PATH_IMAGE009
表示向量X和Y的关联系数,Cov(X,Y)为X,Y的协方差,D(X),D(Y)分别为X,Y的方差。
计算完各个属性独立的关联系数后,采用如下公式计算两警报之间的综合相关程度,即两警报描述同一问题的可能性:
Figure 622989DEST_PATH_IMAGE010
(N表示告警的个数)
其中,
Figure 251679DEST_PATH_IMAGE011
表示警报A与警报B之间的关联系数,用于量化不同警报描述同一问题的可能性,
Figure 384851DEST_PATH_IMAGE002
表示两个警报第i个属性的相关系数,
Figure 362166DEST_PATH_IMAGE012
表示第i个属性的相关权重,|表示并列关系,即对关联系数的计算方法有以上三种,三种之间采用一种即可,max()表示取所有属性关联系数的最大值,min()表示取所有属性关联系数的最小值。
基于这些信息,量化的评价警报之间的关联程度,此时,用户需要给定一个相关度阈值,相关系数低于此阈值的警报被认为与待定级告警所属警报描述不同问题。
筛选完成后,将输出待定级告警所属警报与其他警报的关联系数,并记录关联系数对应的警报编号,由此即可找出与待定级告警描述同一运维问题的告警。
本发明的一可选的实施例中,步骤14可以包括:
步骤141,根据待定级告警所属的第一警报在拓扑图中对应的第一节点与所述同问题告警所属的第二警报在所述拓扑图中对应的第二节点之间的调用关系,获得所述拓扑距离。
该实施例中,具体实现时,如图4所示,记录以上信息后,通过告警的主机属性,能够找出告警与拓扑图节点的对应关系,显然由于警报是描述同一个故障的,因此警报内所有的告警主机应当是完全一致的,即警报只能对应拓扑图中的一个节点。明确了警报与拓扑图节点的对应关系后,可以计算警报之间的拓扑距离,即对应拓扑节点之间为直接调用关系,间接调用关系还是无调用关系,如果存在调用关系,则从拓扑节点A到拓扑节点B一共经过了多少节点,如图4所示,调用关系为A->C->B,拓扑节点A和拓扑节点B之间的调用关系经过了拓扑节点C后到达B,则拓扑距离为2。如果调用关系为A->B, 则拓扑距离为1,如果都在一个拓扑节点上,则拓扑距离为0。这种调用关系不区分方向,即拓扑距离始终为正整数。
本发明的一可选的实施例中,步骤15可以包括:
根据公式:
Figure 823365DEST_PATH_IMAGE001
计算影响范围量化指数;
其中,
Figure 708276DEST_PATH_IMAGE002
表示待定级告警所属的第一警报与第i个所述同问题告警所属的第二警报之间的相关度,
Figure 571321DEST_PATH_IMAGE003
表示待定级告警第一警报与第i个所述同问题告警所属的第二警报之间的拓扑距离。
该实施例中,具体实现时,可以通过以下公式量化故障影响范围,Affect=A(
Figure 453957DEST_PATH_IMAGE002
,
Figure 527087DEST_PATH_IMAGE003
);其中,Affect表示影响范围量化指数,A表示计算影响范围量化指数的函数,
Figure 825475DEST_PATH_IMAGE002
表示待定级告警对应的警报与第i个描述同一问题的警报之间的相关程度,
Figure 136502DEST_PATH_IMAGE003
表示待定级告警对应的警报与第i个描述同一问题的警报之间的拓扑距离;一个简单示例为:
Figure 252356DEST_PATH_IMAGE001
其中,
Figure 688148DEST_PATH_IMAGE013
用于防止拓扑距离为0导致计算出现问题,分析公式易得,最终影响范围量化指数越大即可说明当前告警的影响范围越大,N表示警报的个数。
本发明的一可选的实施例中,步骤16可以包括:
步骤161,基于预设时间滑动窗口对所述待定级告警关联的指标数据进行切分;
步骤162,将待定级告警所属的第一警报中的所有告警按告警时间映射到所述指标数据中;
步骤163,统计各预设时间滑动窗口内警报内告警的频次信息以及各预设时间滑动窗口内指示数据的平均值及方差;
步骤164,根据告警频次阈值对各预设时间滑动窗口内警报内告警的频次信息进行筛选,得到各预设时间滑动窗口的告警个数;
步骤165,计算各预设时间滑动窗口中告警的异常程度;
步骤166,根据待定级告警的告警时间前第i个窗口的窗口内异常程度以及待定级告警的告警时间前第i个窗口的窗口内的告警个数,计算严重程度量化指数。
该实施例中,具体实现时,如图5所示,严重程度量化指数计算中,将根据告警关联指标的数值及特定时间范围内的告警个数计算严重程度量化指数,具体说明如下:
当系统中部分指标出现异常值时,便会触发告警,比如CPU利用率,磁盘容量等指标,因此,部分告警存在对应的关联指标,这种关联关系通常被作为告警的一个属性记录在告警中。
该子阶段的输入数据为待定级告警,与待定级告警属于同一警报的其他告警,待定级告警的关联指标数据。
输入参数为时间窗口的大小,以及告警的频次阈值。
首先,将基于时间窗口对指标数据进行切分,假设时间窗口为5分钟,则从待定级告警的告警时间开始,向前0-5分钟为第一个时间窗口,向前5-10分钟为第二个时间窗口,以此类推。
实现数据切分后,可以将所有输入数据中的告警根据告警时间映射到指标数据中,获取这些告警对应的指标数值以及采样时间。
并统计在各时间窗口的时间段内的告警个数并记录,同时根据参数告警的频次阈值对告警个数进行筛选,如果时间窗口内的告警个数低于此阈值,则认为该时间窗口内告警个数为0,这主要是防止少量的正常值被错误的判断为异常值并发出告警。
统计各时间窗口内的告警个数的同时,需要计算时间窗口内的指标数据的平均值及方差,并计算每个时间窗口内多个产生告警的异常点的平均值,最终通过如下公式计算单个窗口内的异常程度
Figure 118124DEST_PATH_IMAGE014
Figure 283657DEST_PATH_IMAGE015
其中,
Figure 570413DEST_PATH_IMAGE016
代表发出告警的异常点的平均值,
Figure 493501DEST_PATH_IMAGE017
代表时间窗口内所有指标数据的平均值,s代表时间窗口内所有指标数据的方差。
得到以上信息后,将通过公式,
Figure 234888DEST_PATH_IMAGE018
计算待定级告警严重程度的量化指数Critial;
其中,C表示严重程度量化指数的计算方法,
Figure 927031DEST_PATH_IMAGE019
表示据待定级告警的告警时间前第i个窗口的窗口内异常程度,
Figure 119110DEST_PATH_IMAGE020
表示待定级告警的告警时间前第i个窗口的窗口内的告警个数;
一个简单示例,
Figure 263914DEST_PATH_IMAGE021
,这里,M表示窗口的个数;
即第i个时间窗口内的异常程度将于该时间窗口内的告警个数相乘,所有时间窗口内的异常程度进行加和后,除以参与计算的告警总个数,最终结果即是严重程度量化指数。
本发明的一可选的实施例中,步骤16可以包括:
步骤161,根据所述影响范围量化指数、影响范围权重、所述严重程度量化指数以及严重等级权重,计算告警优先级评分;
步骤162,根据所述告警优先级评分以及对应的评分范围,确定所述待定级告警的级别。
该实施例中,具体实现时,如图6所示,在优先级判定部分,用户可以为影响范围指数和严重程度指数分别赋予一个权重,比如0.5和0.5,两个指数将分别与权重相乘后进行加和,所得结果为优先级评分,即
Figure 98009DEST_PATH_IMAGE022
,其中
Figure 379080DEST_PATH_IMAGE023
表示严重等级权重,
Figure 7639DEST_PATH_IMAGE024
表示影响范围权重,接着将计算系统中现有的所有告警的优先级评分的平均值
Figure 967635DEST_PATH_IMAGE017
和方差s,并设立如下的映射规则:
Figure 480788DEST_PATH_IMAGE025
根据映射规则,将告警的优先级评分映射为对应的告警处理优先级。
进一步地,用户在使用过程中,可对效果进行反馈,如果觉得效果不佳,可从影响范围和严重程度两个角度进行评价,比如用户认为当前告警的处理优先级过高,实际的影响范围并没有达到心中预期,可评价影响范围指数过高,则将提高影响范围量化计算中的警报关联度阈值,同理可对严重程度量化指数计算中的告警频次阈值进行调控,已实现对告警处理优先级的调整。
下面结合具体实施例说明上述方法的实现过程:
如图7所示,挖掘与待定级告警同一故障的其他告警训练阶段:
假设存在多条历史告警,分别属于不同的警报,其中告警a属于警报A,告警z属于警报Z,均具备运维部门,host,告警描述,告警等级属性,其中运维部门和host完全一致,则训练决策树模型后,可得决策树,二者属于同一叶子节点,但属于不同警报,因此,需要采用长短期记忆神经网络进行进一步划分,首先对告警a与告警z的描述进行预处理,预处理过程可以采用正则表达式的方式完成,比如通过正则表达式“
Figure 6578DEST_PATH_IMAGE027
”可以识别告警信息“2020-10-10 10:10:20 CPU占用率94%”中的“2020-10-10 10:10:20”,并将其用<time>表示,并去除如“%”的符号,接着将分词后的词语向量化,向量化的过程采用预先训练好的开源词向量,不在词典中的词应去除,词向量化结果传入神经网络中,最终的softmax层目标为2分类,即输出是否为同一故障告警。
如图8所示,挖掘与待定级告警同一故障的其它告警推断阶段:
将待定级告警将被输入到决策树中,并被划分到特定的叶子节点中,然后,待定级告警的描述将与其他同属于该节点的告警的描述分别送至神经网络中,如果输出结果中存在属于同一故障这一结果,则将该告警归入这一故障对应的警报中。如果输出结果均为不是同一故障,则新创建一个警报,并将告警归入到新创建的警报中,同时重新训练基于长短期记忆神经网络的改进决策树模型。
警报关联系数计算:将被分为警报时间向量化,警报文本向量化和关联系数计算三部分分别讲解,示例如下,假设只有三条告警,6号告警为待定级告警,第1-5号告警为历史告警,以告警中的告警时间,所属警报和告警部门三个属性为例,其余文本属性的处理方法与告警部门属性的处理方法相同。
Figure 743721DEST_PATH_IMAGE028
由于3,4,5号告警属于警报F,因此不参与警报Z的属性向量化过程。警报Z的属性向量化过程如下:
首先演示时间向量化的方法,假设时间窗口为5min(用户输入的参数),由于待定级告警的告警时间为2020-10-10 10:18:00,则2020-10-10 10:13:00-2020-10-10 10:18:00为第一个时间窗口,2020-10-10 10:08:00-2020-10-10 10:13:00为第二个时间窗口,在第一个时间窗口内,警报Z共有一条告警,即5号告警,在第二个时间窗口内,警报Z共有两条告警,即1,2号告警,由于不存在其他告警因此警报Z的时间向量化结果为[1,2]。警报F的时间向量化过程与警报Z相同,时间窗口的划分与待定级告警所属警报的时间窗口划分方法一致,且时间窗口的开始及结束时间完全相同。由此可知警报F的时间向量化结果为[1,2]。
计算两警报之间的关联系数,计算方法如下:
Figure 128697DEST_PATH_IMAGE029
则两个警报时间属性的相关系数为1,接着查看文本属性,比如示例中的告警部门即是一种典型的文本属性,向量化方法以基础业务为例,分词结果为基础/业务,“/”代表分割符,从网络中获取已经训练好的词向量;
查询词向量字典中基础和业务对应的词向量,假设“基础”对应的词向量结果为[1,2,3,3],“业务”对应的为[3,2,1,3],则“基础业务”的向量化结果为
Figure 242278DEST_PATH_IMAGE030
,即[2,2,2,3],除以2的原因为基础业务由“基础”和“业务”两个词组成。假设“网络应用”的向量化结果为[0,1,1,1],则相关系数计算结果为0.333,计算方法与上文时间属性相关系数计算方法相同。假设两警报之间的关联系数取最小的属性关联系数,则最终两个警报之间的关联系数计算结果为0.333,方程如下:
Figure 560258DEST_PATH_IMAGE032
拓扑距离计算:假设存在三个告警,其分别属于警报A,B,C,其告警内的节点属性的值分别为“拓扑节点A”,“拓扑节点B”,“拓扑节点C”(实际过程中,可能为ip信息,或主机名称等信息),三个告警对应的拓扑图如图4,则A->A的拓扑距离为0,A->C的拓扑距离为1,A->B的拓扑距离为2,在本发明中对拓扑距离的计算忽略了拓扑图的方向性,即B->A和A->B的拓扑距离均为2,因此可知警报A与警报B的拓扑距离为2,警报A与警报C的拓扑距离为1。
影响范围量化指数计算:假设待定级告警所属警报的编号为Z,采用上文的警报关联系数计算警报Z与其他历史告警中的警报之间的相关系数与拓扑距离结果如下表:
Figure 265040DEST_PATH_IMAGE033
假设警报关联系数阈值被设定为0.3,则警报C不被认为是警报Z的关联警报,不参与影响范围量化指数的计算过程,因此,影响范围量化指数的计算过程如下,分别将相关系数和拓扑距离带入到方程中,结果为0.58,则警报Z的影响范围量化指数为0.58:
Figure 199629DEST_PATH_IMAGE034
告警频次筛选:将包含告警频次筛选的具体方法,其中告警频次筛选的前置步骤统计时间窗口内的警报的告警频次信息的具体方法在上文中警报的时间向量化中已经作出了演示,假设结果与上文一致,即待定级告警所属警报告警频次信息统计后的结果为[1,2],加入告警频次阈值为2,由于第一个时间窗口中只出现了1次告警,小于频次阈值,所以将1修改为0,最终频次信息结果修正为[0,2]。
窗口异常程度指数计算:将包含窗口异常程度指数的计算方法窗口异常程度指数的计算方法如下,假设对于如下的指标数据,他们属于同一个时间窗口范围内,且时间窗口内只有以下三个采样点:
Figure 789004DEST_PATH_IMAGE035
由表可知,其中只有一个采样时间产生了告警,因此故障指标平均值为
Figure 289387DEST_PATH_IMAGE036
=70,全部指标平均值为
Figure 571595DEST_PATH_IMAGE037
,全部指标的方差为
Figure 423442DEST_PATH_IMAGE038
,因此窗口异常程度指数的计算方程为
Figure 206721DEST_PATH_IMAGE039
严重程度量化指数的计算方法:假设待定级告警所属警报的时间窗口编号,时间窗口内的告警频次及窗口异常程度指数如下表所示:
Figure 764873DEST_PATH_IMAGE040
则待定级告警的严重程度量化指数的计算方程如下,带入时间窗口对应的告警频次和异常程度指数,则待定级告警的异常程度量化指数为6:
Figure 952403DEST_PATH_IMAGE041
告警优先级判定及反馈:假设存在一条待定级告警及2条历史告警,它们的影响范围量化指数和异常程度量化指数如下表所示:
Figure 64846DEST_PATH_IMAGE042
为了判定当前待定级告警的处理优先级,需要先计算三条告警的综合优先级评分,假设影响范围量化指数和异常程度量化指数的权重均为0.5,则三条告警的综合优先级评分分别为:
1号待定级告警:
Figure 589500DEST_PATH_IMAGE043
2号历史告警:
Figure 2158DEST_PATH_IMAGE044
3号历史告警:
Figure 485223DEST_PATH_IMAGE045
由以上优先级评分可求得告警优先级评分均值
Figure 553804DEST_PATH_IMAGE046
=7.25和方差s=10.06,则根据如下标准,由于
Figure 147727DEST_PATH_IMAGE046
-s=-2.81,可知待定级告警的处理优先级为中,假设实际使用中发现该警报影响范围较大,处理优先级过低,则可以评价影响范围量化效果不佳,此时会提高影响范围量化指数计算中的关联度阈值,比如假设原本的关联度阈值为0.5,则调整为0.6,以优化效果。
Figure 680471DEST_PATH_IMAGE047
本发明的上述实施例实现了对告警影响范围和严重程度的量化计算,解决了无法量化故障影响范围及严重程度的问题,并进一步解决了大批量告警的处理优先级难以确定的问题将运维经验融入到对告警的优先级判定中,从而提高运维系统告警处理效率。
如图9所示,本发明的实施例还提供一种告警级别的确定装置90,所述装置包括:
获取模块91,用于获得待定级告警;
处理模块92,用于根据历史告警库中,获得与所述待定级告警属于同一故障的同故障告警;根据所述同故障告警,确定同问题告警;获取所述待定级告警所属的第一警报与所述同问题告警所属的第二警报之间的拓扑距离;根据所述拓扑距离和第一警报与第二警报之间的相关度,计算影响范围量化指数;根据待定级告警的关联指标和所述同故障告警,计算严重程度量化指数;根据所述影响范围量化指数和所述严重程度量化指数,确定所述待定级告警的级别。
可选的,根据历史告警库中,获得与所述待定级告警属于同一故障的同故障告警,包括:
将待定级告警输入训练好的决策树进行处理,确定待定级告警所属的第一警报;
将待定级告警的描述与同样属于决策树的叶子节点的目标历史告警的描述,输入长短记忆网络模型LSTM中进行处理,若待定级告警与目标历史告警属于同一警报,则将该目标历史告警所属的警报的警报编码作为待定级告警的第一警报的警报编码,否则,根据该待定级告警生成一个新的第一警报;
将属于所述第一警报的目标历史告警确定为与所述待定级告警的同故障告警。
可选的,根据所述同故障告警,确定同问题告警,包括:
将第一警报中的所有告警按照发生时间进行聚合,得到按时间长度聚合的第一警报;
将其它历史警报内的告警进行文本属性向量化处理,得到历史警报的文本属性向量;
计算第一警报与所述历史警报的相关度;
若所述相关度大于预设的相关度阈值,确定该历史警报与第一警报描述相同问题,将该历史警报中的告警确定为与待定级告警描述相同问题的同问题告警。
可选的,获取所述待定级告警所属的第一警报与所述同问题告警所属的第二警报之间的拓扑距离,包括:
根据待定级告警所属的第一警报在拓扑图中对应的第一节点与所述同问题告警所属的第二警报在所述拓扑图中对应的第二节点之间的调用关系,获得所述拓扑距离。
可选的,根据所述拓扑距离和第一警报与第二警报之间的相关度,计算影响范围量化指数,包括:
根据公式:
Figure 6541DEST_PATH_IMAGE001
计算影响范围量化指数;
其中,
Figure 31260DEST_PATH_IMAGE002
表示待定级告警所属的第一警报与第i个所述同问题告警所属的第二警报之间的相关度,
Figure 428875DEST_PATH_IMAGE003
表示待定级告警第一警报与第i个所述同问题告警所属的第二警报之间的拓扑距离。
可选的,根据待定级告警的关联指标和所述同故障告警,计算严重程度量化指数,包括:
基于预设时间滑动窗口对所述待定级告警关联的指标数据进行切分;
将待定级告警所属的第一警报中的所有告警按告警时间映射到所述指标数据中;
统计各预设时间滑动窗口内警报内告警的频次信息以及各预设时间滑动窗口内指示数据的平均值及方差;
根据告警频次阈值对各预设时间滑动窗口内警报内告警的频次信息进行筛选,得到各预设时间滑动窗口的告警个数;
计算各预设时间滑动窗口中告警的异常程度;
根据待定级告警的告警时间前第i个窗口的窗口内异常程度以及待定级告警的告警时间前第i个窗口的窗口内的告警个数,计算严重程度量化指数。
可选的,根据所述影响范围量化指数和所述严重程度量化指数,确定所述待定级告警的级别,包括:
根据所述影响范围量化指数、影响范围权重、所述严重程度量化指数以及严重等级权重,计算告警优先级评分;
根据所述告警优先级评分以及对应的评分范围,确定所述待定级告警的级别。
需要说明的是,该装置是与上述方法对应的装置,上述方法实施例中的所有实现方式均适用于该装置的实施例中,也能达到相同的技术效果。
本发明的实施例还提供一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如上所述的方法对应的操作。
本发明的实施例还提供一种计算机可读存储介质,存储有指令,所述指令在计算机上运行时,使得计算机执行如上所述的方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
此外,需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行,某些步骤可以并行或彼此独立地执行。对本领域的普通技术人员而言,能够理解本发明的方法和装置的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本发明的说明的情况下运用他们的基本编程技能就能实现的。
因此,本发明的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本发明的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本发明,并且存储有这样的程序产品的存储介质也构成本发明。显然,所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。还需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (18)

1.一种告警级别的确定方法,其特征在于,包括:
获得待定级告警;
根据历史告警库中,获得与所述待定级告警属于同一故障的同故障告警;
根据所述同故障告警,确定同问题告警;
获取所述待定级告警所属的第一警报与所述同问题告警所属的第二警报之间的拓扑距离;获取第一警报与第二警报之间的相关度;
根据所述拓扑距离和所述相关度,计算影响范围量化指数;
根据待定级告警的关联指标和所述同故障告警,计算严重程度量化指数;
根据所述影响范围量化指数和所述严重程度量化指数,确定所述待定级告警的级别;
其中,根据所述同故障告警,确定同问题告警,包括:
将第一警报中的所有告警按照发生时间进行聚合,得到按时间长度聚合的第一警报,包括以向量形式表示的警报在不同时间段内出现的频次信息;
将其它历史警报内的告警进行文本属性向量化处理,得到历史警报的文本属性向量;
计算第一警报与所述历史警报的相关度;
若所述相关度大于预设的相关度阈值,确定该历史警报与第一警报描述相同问题,将该历史警报中的告警确定为与待定级告警描述相同问题的同问题告警。
2.根据权利要求1所述的告警级别的确定方法,其特征在于,根据历史告警库中,获得与所述待定级告警属于同一故障的同故障告警,包括:
将待定级告警输入训练好的决策树进行处理,确定待定级告警所属的第一警报;
将待定级告警的描述与同样属于决策树的叶子节点的目标历史告警的描述,输入长短记忆网络模型LSTM中进行处理,若待定级告警与目标历史告警属于同一警报,则将该目标历史告警所属的警报的警报编码作为待定级告警的第一警报的警报编码,否则,根据该待定级告警生成一个新的第一警报;
将属于所述第一警报的目标历史告警确定为与所述待定级告警的同故障告警。
3.根据权利要求2所述的告警级别的确定方法,其特征在于,所述决策树中分支节点的计算方法,即信息增益法是根据信息熵进行的,熵的计算公式如下:
Figure 165657DEST_PATH_IMAGE001
其中,假设数据源有所有可能发生的情况,有n种取值:
Figure 476552DEST_PATH_IMAGE002
,则
Figure 137341DEST_PATH_IMAGE003
代表n个状态中的第i个状态,
Figure 482871DEST_PATH_IMAGE004
代表出现第i个状态的概率,H(D)代表用于消除系统不确定性所需的信息量。
4.根据权利要求2所述的告警级别的确定方法,其特征在于,决策点的选取通过计算信息增益实现,公式如下:
Figure 102072DEST_PATH_IMAGE005
其中,Gain(D,A)代表原始数据在某个属性中是否为A作为分类标准的信息增益,H(D)代表原始数据的熵值,而H(D|A)则为采用了划分标准后数据集D的熵值,这一差值即为信息增益,通过该方法能够判断一个新的数据是否属于某一类别。
5.根据权利要求1所述的告警级别的确定方法,其特征在于,相关度计算主要通过关联系数实现,具体公式如下:
Figure 900263DEST_PATH_IMAGE006
其中,
Figure 630322DEST_PATH_IMAGE007
表示向量X和Y的关联系数,Cov(X,Y)为X,Y的协方差,D(X),D(Y)分别为X,Y的方差。
6.根据权利要求5所述的告警级别的确定方法,其特征在于,计算完各个属性独立的关联系数后,采用如下公式计算两警报之间的综合相关程度,即两警报描述同一问题的可能性:
Figure DEST_PATH_IMAGE008
其中,N表示告警的个数,
Figure 860053DEST_PATH_IMAGE009
表示警报A与警报B之间的关联系数,用于量化不同警报描述同一问题的可能性,
Figure 384575DEST_PATH_IMAGE010
表示两个警报第i个属性的相关系数,
Figure 670063DEST_PATH_IMAGE011
表示第i个属性的相关权重,|表示并列关系,即对关联系数的计算方法有以上三种,三种之间采用一种即可,max()表示取所有属性关联系数的最大值,min()表示取所有属性关联系数的最小值。
7.根据权利要求1所述的告警级别的确定方法,其特征在于,获取所述待定级告警所属的第一警报与所述同问题告警所属的第二警报之间的拓扑距离,包括:
根据待定级告警所属的第一警报在拓扑图中对应的第一节点与所述同问题告警所属的第二警报在所述拓扑图中对应的第二节点之间的调用关系,获得所述拓扑距离。
8.根据权利要求7所述的告警级别的确定方法,其特征在于,根据所述拓扑距离和所述相关度,计算影响范围量化指数,包括:
根据公式:
Figure 938233DEST_PATH_IMAGE012
计算影响范围量化指数;
其中,
Figure 727198DEST_PATH_IMAGE010
表示待定级告警所属的第一警报与第i个所述同问题告警所属的第二警报之间的相关度,
Figure 688200DEST_PATH_IMAGE013
表示待定级告警第一警报与第i个所述同问题告警所属的第二警报之间的拓扑距离。
9.根据权利要求1所述的告警级别的确定方法,其特征在于,根据待定级告警的关联指标和所述同故障告警,计算严重程度量化指数,包括:
基于预设时间滑动窗口对所述待定级告警关联的指标数据进行切分;
将待定级告警所属的第一警报中的所有告警按告警时间映射到所述指标数据中;
统计各预设时间滑动窗口内警报内告警的频次信息以及各预设时间滑动窗口内指示数据的平均值及方差;
根据告警频次阈值对各预设时间滑动窗口内警报内告警的频次信息进行筛选,得到各预设时间滑动窗口的告警个数;
计算各预设时间滑动窗口中告警的异常程度;
根据待定级告警的告警时间前第i个窗口的窗口内异常程度以及待定级告警的告警时间前第i个窗口的窗口内的告警个数,计算严重程度量化指数。
10.根据权利要求9所述的告警级别的确定方法,其特征在于,通过如下公式计算单个窗口内的异常程度
Figure 460984DEST_PATH_IMAGE014
Figure 267266DEST_PATH_IMAGE015
其中,
Figure 441896DEST_PATH_IMAGE016
代表发出告警的异常点的平均值,
Figure 809685DEST_PATH_IMAGE017
代表时间窗口内所有指标数据的平均值,s代表时间窗口内所有指标数据的方差。
11.根据权利要求10所述的告警级别的确定方法,其特征在于,通过公式,
Figure 69765DEST_PATH_IMAGE018
计算待定级告警严重程度的量化指数Critial;
其中,C表示严重程度量化指数的计算方法,
Figure 679738DEST_PATH_IMAGE019
表示据待定级告警的告警时间前第i个窗口的窗口内异常程度,
Figure 708874DEST_PATH_IMAGE020
表示待定级告警的告警时间前第i个窗口的窗口内的告警个数。
12.根据权利要求11所述的告警级别的确定方法,其特征在于,通过公式,
Figure 11680DEST_PATH_IMAGE021
,计算待定级告警严重程度量化指数Critial;这里,M表示窗口的个数;即第i个时间窗口内的异常程度将于该时间窗口内的告警个数相乘,所有时间窗口内的异常程度进行加和后,除以参与计算的告警总个数,最终结果即是严重程度量化指数。
13.根据权利要求1所述的告警级别的确定方法,其特征在于,根据所述影响范围量化指数和所述严重程度量化指数,确定所述待定级告警的级别,包括:
根据所述影响范围量化指数、影响范围权重、所述严重程度量化指数以及严重等级权重,计算告警优先级评分;
根据所述告警优先级评分以及对应的评分范围,确定所述待定级告警的级别。
14.根据权利要求13所述的告警级别的确定方法,其特征在于,按下式计算告警优先级评分Priority score,
Figure 493476DEST_PATH_IMAGE022
,其中
Figure DEST_PATH_IMAGE023
表示严重等级权重,
Figure 438299DEST_PATH_IMAGE024
表示影响范围权重,Critial表示告警严重程度量化指数,Affect表示影响范围量化指数。
15.根据权利要求13所述的告警级别的确定方法,其特征在于,用户在使用过程中,通过调整告警严重程度量化指数和/或影响范围量化指数,实现对告警处理优先级的调整。
16.一种告警级别的确定装置,其特征在于,所述装置包括:
获取模块,用于获得待定级告警;
处理模块,用于根据历史告警库中,获得与所述待定级告警属于同一故障的同故障告警;根据所述同故障告警,确定同问题告警;获取所述待定级告警所属的第一警报与所述同问题告警所属的第二警报之间的拓扑距离;获取第一警报与第二警报之间的相关度;根据所述拓扑距离和所述相关度,计算影响范围量化指数;根据待定级告警的关联指标和所述同故障告警,计算严重程度量化指数;根据所述影响范围量化指数和所述严重程度量化指数,确定所述待定级告警的级别;其中,根据所述同故障告警,确定同问题告警,包括:将第一警报中的所有告警按照发生时间进行聚合,得到按时间长度聚合的第一警报,包括以向量形式表示的警报在不同时间段内出现的频次信息;将其它历史警报内的告警进行文本属性向量化处理,得到历史警报的文本属性向量;计算第一警报与所述历史警报的相关度;若所述相关度大于预设的相关度阈值,确定该历史警报与第一警报描述相同问题,将该历史警报中的告警确定为与待定级告警描述相同问题的同问题告警。
17.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-15中任一项所述的方法对应的操作。
18.一种计算机可读存储介质,其特征在于,存储有指令,所述指令在计算机上运行时,使得计算机执行如权利要求1至15任一项所述的方法。
CN202210039676.6A 2022-01-14 2022-01-14 一种告警级别的确定方法、装置及设备 Active CN114090393B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210039676.6A CN114090393B (zh) 2022-01-14 2022-01-14 一种告警级别的确定方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210039676.6A CN114090393B (zh) 2022-01-14 2022-01-14 一种告警级别的确定方法、装置及设备

Publications (2)

Publication Number Publication Date
CN114090393A CN114090393A (zh) 2022-02-25
CN114090393B true CN114090393B (zh) 2022-06-03

Family

ID=80308771

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210039676.6A Active CN114090393B (zh) 2022-01-14 2022-01-14 一种告警级别的确定方法、装置及设备

Country Status (1)

Country Link
CN (1) CN114090393B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115129549A (zh) * 2022-06-30 2022-09-30 深圳前海微众银行股份有限公司 告警紧急度的确定方法、装置、设备及存储介质
CN116991683B (zh) * 2023-08-03 2024-01-30 北京优特捷信息技术有限公司 一种告警信息处理方法、装置、设备及介质

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105069115B (zh) * 2015-08-11 2018-09-18 浙江中控技术股份有限公司 一种基于历史报警分布式聚类的报警抑制方法
CN106411617A (zh) * 2016-11-29 2017-02-15 国网山西省电力公司忻州供电公司 电力通信网络故障告警关联处理方法
CN108964960B (zh) * 2017-05-27 2021-10-19 阿里巴巴集团控股有限公司 一种告警事件的处理方法及装置
US11087452B2 (en) * 2018-02-05 2021-08-10 Nec Corporation False alarm reduction system for automatic manufacturing quality control
CN110493065B (zh) * 2019-09-03 2023-04-14 浪潮云信息技术股份公司 一种云中心运维的告警关联度分析方法及系统
CN110943857B (zh) * 2019-11-20 2023-04-11 国网湖北省电力有限公司信息通信公司 基于卷积神经网络的电力通信网故障分析及定位方法
CN111338915B (zh) * 2020-05-15 2020-09-01 北京必示科技有限公司 动态告警定级方法、装置、电子设备以及存储介质
CN112819069B (zh) * 2021-01-29 2024-08-02 中国农业银行股份有限公司 一种事件的定级方法及装置

Also Published As

Publication number Publication date
CN114090393A (zh) 2022-02-25

Similar Documents

Publication Publication Date Title
US20220121994A1 (en) Method and apparatus for implementing model training, and computer storage medium
WO2021052394A1 (zh) 模型训练方法、装置及系统
CN112073208B (zh) 一种告警分析方法、装置、芯片系统、存储介质
CN114090393B (zh) 一种告警级别的确定方法、装置及设备
US9817893B2 (en) Tracking changes in user-generated textual content on social media computing platforms
JP6643211B2 (ja) 異常検知システム及び異常検知方法
US20230385034A1 (en) Automated decision making using staged machine learning
CN111178380B (zh) 数据分类方法、装置及电子设备
CN110162970A (zh) 一种程序处理方法、装置以及相关设备
CN109787846A (zh) 一种5g网络服务质量异常监测和预测方法及系统
EP4020315A1 (en) Method, apparatus and system for determining label
CN111310139B (zh) 行为数据识别方法、装置及存储介质
CN111176953B (zh) 一种异常检测及其模型训练方法、计算机设备和存储介质
CN113935440A (zh) 一种电压互感器误差状态迭代评估方法及系统
Bogojeska et al. Classifying server behavior and predicting impact of modernization actions
US11411835B2 (en) Cognitive model determining alerts generated in a system
CN113515434B (zh) 异常分类方法、装置、异常分类设备及存储介质
CN110083507A (zh) 关键性能指标分类方法及装置
CN114978877A (zh) 一种异常处理方法、装置、电子设备及计算机可读介质
CN112733897B (zh) 确定多维样本数据的异常原因的方法和设备
CN117743933A (zh) 无效告警信息的确定方法、装置、存储介质和电子装置
CN112699048A (zh) 基于人工智能的程序故障处理方法、装置、设备及存储介质
CN116545867A (zh) 一种监控通信网络网元性能指标异常的方法及装置
CN115600818A (zh) 多维评分方法、装置、电子设备和存储介质
CN115185768A (zh) 系统的故障识别方法、系统、电子设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant