CN114297037A - 一种告警聚类方法及装置 - Google Patents
一种告警聚类方法及装置 Download PDFInfo
- Publication number
- CN114297037A CN114297037A CN202111612243.7A CN202111612243A CN114297037A CN 114297037 A CN114297037 A CN 114297037A CN 202111612243 A CN202111612243 A CN 202111612243A CN 114297037 A CN114297037 A CN 114297037A
- Authority
- CN
- China
- Prior art keywords
- alarm
- group
- groups
- information
- dividing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000012545 processing Methods 0.000 claims description 31
- 238000000638 solvent extraction Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 abstract description 13
- 230000006870 function Effects 0.000 description 24
- 239000013598 vector Substances 0.000 description 20
- 238000007726 management method Methods 0.000 description 12
- 238000004422 calculation algorithm Methods 0.000 description 11
- 238000005192 partition Methods 0.000 description 11
- 238000012423 maintenance Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 9
- 230000003287 optical effect Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 238000003064 k means clustering Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Abstract
本申请提供了一种告警聚类方法及装置,涉及通信技术领域,可用于提升告警聚类的准确性。该方法包括:获取M个告警信息,M为大于1的整数;将M个告警信息划分为N个第三告警组,第三告警组包括一个或多个相邻的告警信息,N为大于1的整数;确定各个第三告警组的特征信息,第三告警组的特征信息包括日期标签,日期标签用于反映第三告警组中的告警信息的产生日期;根据N个第三告警组的特征信息,对N个第三告警组进行聚类,得到多个聚类集合,聚类集合包括具有相同日期标签的一个或多个第三告警组。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种告警聚类方法及装置。
背景技术
随着通信技术的日益成熟,网络规模逐渐扩大、网络架构日益复杂,网络在运行时每天都可能会产生海量的告警,且不同原因产生的告警交织在一起,影响维护人员进行网络故障诊断与故障定位。因此,需要综合分析这些告警,以便更加准确地确定网络故障。
目前在进行告警分析时,可以采用k均值聚类算法(k-means clusteringalgorithm)算法对告警信息进行聚类处理,得到多个聚类结果,以便根据告警的聚类结果来进一步分析告警原因,告警的聚类结果是后续挖掘告警根源做告警定位的基础。
但是,现有的基于K-means算法的告警聚类方法,是通过加权、离群点删除、计算密度等方式来获取初始聚类中心,会存在将告警时间间隔较大的告警信息聚类到同一个聚类集合的情况,其聚类结果不够准确。
发明内容
本申请提供一种告警聚类方法及装置,可用于提升告警聚类的准确性。
第一方面,本申请提供一种告警聚类方法,该方法包括:获取M个告警信息,M为大于1的整数;将M个告警信息划分为N个第三告警组,第三告警组包括一个或多个相邻的告警信息,N为大于1的整数;确定各个第三告警组的特征信息,第三告警组的特征信息包括日期标签,日期标签用于反映第三告警组中的告警信息的产生日期;根据N个第三告警组的特征信息,对N个第三告警组进行聚类,得到多个聚类集合,聚类集合包括具有相同日期标签的一个或多个第三告警组。
本申请提供的技术方案至少带来以下有益效果:一方面,由于第三告警组包括一个或多个相邻的告警信息,并且第三告警组的特征信息包括日期标签,因此基于该方法得到的各个聚类集合中的告警信息在告时间维度上的关联度较高。另一方面,本申请中得到的聚类集合包括具有相同日期标签的一个或多个第三告警组,也即本申请中不会将产生日期不同的告警信息聚类在一起。因此,本申请实施例可以提升告警聚类结果的准确性,以便于运维人员根据聚类结果,更加准确地查找各个聚类集合中的告警信息与告警根因之间的关联规律,并为之后的告警根因定位查找提供辅助,提高运维效率。
可选的,将M个告警信息划分为N个第三告警组,包括:根据M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组;其中,第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数;基于相似度划分规则,将K个第一告警组划分为P个第二告警组,第二告警组包括一个或多个第一告警组;相似度划分规则包括:根据相邻的两个第一告警组之间的相似度,将相似度大于或等于阈值的相邻的两个第一告警组划分入同一个第二告警组,将相似度小于阈值的相邻的两个第一告警组划分入不同的第二告警组;基于关联性划分规则,将P个第二告警组划分为N个第三告警组;关联性划分规则包括:将具有关联性的相邻的两个第二告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第二告警组划分入不同的第三告警组;其中,具有关联性的相邻的两个第二告警组中至少一个第二告警组仅包含一个告警信息。
可选的,在基于关联性划分规则,将P个第二告警组划分为N个第三告警组之前,该方法还包括:若第i个第二告警组仅包含一个告警信息,则判断第i个第二告警组中的告警信息的告警源与第i-1个第二告警组中告警时间最晚的告警信息的告警源是否相同,i为小于或等于P的正整数;若相同,则确定第i个第二告警组与第i-1个第二告警组之间具有关联性;若不相同,则判断第i个第二告警组中的告警信息的告警源与第i+1个第二告警组中告警时间最早的告警信息的告警源是否相同;若相同,则确定第i个第二告警组与第i+1个第二告警组之间具有关联性。
可选的,将M个告警信息划分为N个第三告警组,包括:根据M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组;其中,第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数;基于关联性划分规则,将K个第一告警组划分为N个第三告警组;关联性划分规则包括:将具有关联性的相邻的两个第一告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第一告警组划分入不同的第三告警组;其中,具有关联性的相邻的两个第一告警组中至少一个第一告警组仅包含一个告警信息。
可选的,第三告警组的特征信息还包括L个告警源中各个告警源的告警次数或者告警次数占比,告警源的告警次数等于第三告警组中所包含的由告警源发出的告警信息的个数,告警源的告警次数占比等于第三告警组中所包含的由告警源发出的告警信息的个数与第三告警组包含的告警信息的总个数之间的比值,L为正整数。
第二方面,本申请提供一种告警聚类装置,该装置包括:获取单元,用于获取M个告警信息,M为大于1的整数;处理单元,用于将M个告警信息划分为N个第三告警组,第三告警组包括一个或多个相邻的告警信息,N为大于1的整数;处理单元,还用于确定各个第三告警组的特征信息,第三告警组的特征信息包括日期标签,日期标签用于反映第三告警组中的告警信息的产生日期;并根据N个第三告警组的特征信息,对N个第三告警组进行聚类,得到多个聚类集合,聚类集合包括具有相同日期标签的一个或多个第三告警组。
可选的,处理单元,具体用于:根据M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组;其中,第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数;基于相似度划分规则,将K个第一告警组划分为P个第二告警组,第二告警组包括一个或多个第一告警组;相似度划分规则包括:根据相邻的两个第一告警组之间的相似度,将相似度大于或等于阈值的相邻的两个第一告警组划分入同一个第二告警组,将相似度小于阈值的相邻的两个第一告警组划分入不同的第二告警组;基于关联性划分规则,将P个第二告警组划分为N个第三告警组;关联性划分规则包括:将具有关联性的相邻的两个第二告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第二告警组划分入不同的第三告警组;其中,具有关联性的相邻的两个第二告警组中至少一个第二告警组仅包含一个告警信息。
可选的,处理单元,还用于:若第i个第二告警组仅包含一个告警信息,则判断第i个第二告警组中的告警信息的告警源与第i-1个第二告警组中告警时间最晚的告警信息的告警源是否相同,i为小于或等于P的正整数;若相同,则确定第i个第二告警组与第i-1个第二告警组之间具有关联性;若不相同,则判断第i个第二告警组中的告警信息的告警源与第i+1个第二告警组中告警时间最早的告警信息的告警源是否相同;若相同,则确定第i个第二告警组与第i+1个第二告警组之间具有关联性。
可选的,处理单元,具体用于:根据M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组;其中,第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数;基于关联性划分规则,将K个第一告警组划分为N个第三告警组;关联性划分规则包括:将具有关联性的相邻的两个第一告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第一告警组划分入不同的第三告警组;其中,具有关联性的相邻的两个第一告警组中至少一个第一告警组仅包含一个告警信息。
可选的,第三告警组的特征信息还包括L个告警源中各个告警源的告警次数或者告警次数占比,告警源的告警次数等于第三告警组中所包含的由告警源发出的告警信息的个数,告警源的告警次数占比等于第三告警组中所包含的由告警源发出的告警信息的个数与第三告警组包含的告警信息的总个数之间的比值,L为正整数。
第三方面,提供一种告警聚类装置,该装置包括一个或多个处理器与存储器;其中,该存储器中存储有一个或多个计算机程序,所述一个或多个计算机程序包括指令,当该指令被告警聚类装置执行时,使得告警聚类装置执行上述第一方面中所提供的任意一种方法。
第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,当该计算机指令在计算机上运行时,使得计算机执行上述第一方面中所提供的任意一种方法。
上述第二方面至第四方面中任一种可能的方案所带来的技术效果可参加第一方面中对应的有益效果分析,在此不再赘述。
附图说明
图1为本申请实施例提供的一种告警管理系统的示意图;
图2为本申请实施例提供的一种告警聚类方法的流程图;
图3为本申请实施例提供的另一种告警聚类方法的流程图;
图4为本申请实施例提供的另一种告警聚类方法的流程图;
图5为本申请实施例提供的一种告警聚类装置的组成示意图;
图6为本申请实施例提供的一种告警聚类装置的硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。另外,在对管线进行描述时,本申请中所用“相连”、“连接”则具有进行导通的意义。具体意义需结合上下文进行理解。
在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
如背景技术所述,在通信网络运维场景中,及时查找根因,快速修复,是非常重要的,而对告警信息的聚类是故障快速定位的关键步骤之一。现有的基于K-means算法的告警聚类方法,是通过加权、离群点删除、计算密度等方式来获取初始聚类中心,会存在将告警时间间隔极大、告警类型差异极大的告警信息聚类到同一个聚类集合的情况,这样会导致聚类结果不够准确。
有鉴于此,本申请实施例提供一种告警聚类方法,该方法包括:获取M个告警信息,M为大于1的整数;将M个告警信息划分为N个第三告警组,第三告警组包括一个或多个相邻的告警信息,N为大于1的整数;确定各个第三告警组的特征信息,第三告警组的特征信息包括日期标签,日期标签用于反映第三告警组中的告警信息的产生日期;根据N个第三告警组的特征信息,对N个第三告警组进行聚类,得到多个聚类集合,聚类集合包括具有相同日期标签的一个或多个第三告警组。
在本申请实施例中,第三告警组包括一个或多个相邻的告警信息,并且第三告警组的特征信息包括日期标签,因此基于该方法得到的各个聚类集合中的告警信息在告时间维度上的关联度较高。此外,本申请中得到的聚类集合包括具有相同日期标签的一个或多个第三告警组,也即本申请中不会将产生日期不同的告警信息聚类在一起。因此,本申请实施例可以提升告警聚类结果的准确性,以便于运维人员根据聚类结果,更加准确地查找各个聚类集合中的告警信息与告警根因之间的关联规律,并为之后的告警根因定位查找提供辅助,提高运维效率。
示例性的,图1为告警管理系统的示意图。如图1所示,该告警管理系统中包括通信网络和告警管理设备。
示例性的,该通信网络包括至少一个网元,每个网元在运行中可以产生告警信息。其中,网元可以为通信网络中需要管理的任一对象。一种示例中,网元可以软件实现,例如虚拟机、容器、应用、服务、微服务、模块、子模块、类或函数等,网元可以为一个设备中运行的软件,也可以为多个设备中运行的软件的集合。另一种示例中,网元也可以采用硬件实现,其可以为服务器、基站、交换机、路由器、中继、网桥、防火墙、移动终端、个人电脑、笔记本电脑、磁盘、固态硬盘(Solid State Drives,SSD)、磁盘阵列(Redundant Arrays ofIndependent Disks,RAID)、存储区域网络(Storage Area Network,SAN)、网络互连协议(Internet Protocol,IP)SAN、光纤通道(Fiber Channel,FC)SAN、网络附属存储(NetworkAttached Storage,NAS)、负载均衡器、移动性管理实体(mobility management entity,MME)、归属签约用户服务器(home subscriber server,HSS)、服务网关(serving-gateway,SGW)、分组数据网网关(packet data network gateway,PGW)、策略和计费规则功能(policy and charging rules function,PCRF)网元、光网络终端(Optical networkterminal,ONT)、光网络单元(Optical Network Unit,ONU)、分光器、物联网终端、传感器等;网元可以采用一个独立的硬件实现,也可以采用多个通过有线或无线网络连接的硬件实现。本实施例对网元的具体形态不做限定。
示例性的,告警管理设备可以是具有数据处理能力的电子设备,例如计算设备或计算设备集群。其可以用于接收通信系统中各个网元上报的告警信息,并对接收到的告警信息进行管理。具体的,告警管理设备可以与通信系统连接,当通信系统中的任意一个网元生成告警信息之后,网元可以将告警信息发送至告警管理设备,告警管理设备可以接收网元发送的告警信息,以便对告警信息进行处理。其中,告警管理设备可以通过自身或者外部的存储介质,来存储大量的告警信息。
需要说明的是,本申请实施例提供的告警聚类方法的执行主体为告警聚类装置,该告警聚类装置可以为上述告警管理设备,或者可以为上述告警管理设备的中央处理器(Central Processing Unit,CPU)。
应理解,图1仅是示例性的系统架构,仅为便于理解而示例,不应对本申请所适用的范围构成限定。
下面结合说明书附图,对本申请提供的实施例进行具体介绍。
如图2所示,本申请实施例提供一种告警聚类方法,该方法包括以下步骤:
S101、告警聚类装置获取M个告警信息。
其中,告警信息可以视为网元对检测到的异常事件而生成的响应,网络系统中的网元在检测到异常事件时会生成通知信息,该通知信息即为本申请实施例中的告警信息。
可选的,一个告警信息可以包括该告警信息的告警源和告警时间。
其中,一个告警信息的告警源即为生成该告警信息的网元。此外,告警时间为告警信息的发生时刻,也即该告警信息对应的告警源发生异常事件的时刻。
应理解,一条告警信息也可以包括除告警源和告警时间以外的其他信息,例如告警类型、告警名称、定位信息和拓扑信息等告警特征中的一项或多项,本申请实施例对此不作限制。
其中,M为大于1的整数。
需要说明的是,告警聚类装置可以获取一段时间内的所有历史告警信息来进行告警聚类,以便于运维人员根据聚类结果来查找各个聚类集合中的告警信息与故障根因之间的关联规律。示例性的,告警聚类装置获取的5天、1周、1月或其他合理的时长内的所有告警信息,则上述M即为这5天、1周、1月或其他合理的时长内的告警信息的个数。
在一些实施例中,告警聚类装置可以获取到一段时间内的原始告警数据,并从原始告警数据中提取多个告警信息。
可选的,若上述原始告警数据为包括多个表页(sheet)对象且多表头形式的电子表格文件(如Excel工作簿),则告警聚类装置可以将多个sheet对象多表头形式的电子表格文件转化为包括单个sheet对象单表头的形式的电子表格文件。
可选的,告警聚类装置可以将多个sheet对象的原始告警数据拼接为同一个sheet对象,使得原始告警数据可以被储存为包括单个sheet对象的电子表格文件。
示例性的,若原始告警数据包括sheet1(如表1所示)和sheet2(如表2所示),则告警聚类装置可以确定原始告警数据为多个sheet对象的电子表格文件。
从而,告警聚类装置可以将原始告警数据转为表3所示的告警数据。
表1
Route-name | 1xxx-2xxx | ||
Port-id | Error-type | Handle-time | Port-level |
1111-1-11 | R_LOS | 2019/09/11 8:55:51 | 5.5 |
表2
Route-name | 3xxx-4xxx | ||
Port-id | Error-type | Handle-time | Port-level |
2222-2-22 | REM_SF | 2019/09/11 8:56:51 | 6.5 |
表3
Route-name | 1xxx-2xxx | ||
Port-id | Error-type | Handle-time | Port-level |
1111-1-11 | R_LOS | 2019/09/11 8:55:51 | 5.5 |
Route-name | 3xxx-4xxx | ||
Port-id | Error-type | Handle-time | Port-level |
2222-2-22 | REM_SF | 2019/09/11 8:56:51 | 6.5 |
进一步地,在将多个sheet对象的原始告警数据拼接为包括单个sheet对象的电子表格文件之后,告警聚类装置可以将原始告警数据转化为单表头数据。
示例性的,表1和表2所示的原始告警数据也为上述多表头数据。如表1所示,其第一行第一列中的“Route-name”为第一行数据的表头,可将此类一行数据的表头称为第一类表头。并且,第二行第一列的“Port-id”为第一列中的数据“1111-1-11”的表头,第二行第二列的“Error-type”为第二列中的数据“R_LOS”的表头,第二行第三列的“Handle-time”为第三列中的数据“2019/09/11 8:55:51”的表头,第二行第四列的“Port-level”为第一列中的数据“5.5”的表头。除第一行数据外,“Port-id”、“Error-type”、“Handle-time”以及“Port-level”分别为第一列数据的表头、第二列数据的表头、第三列数据的表头,以及第四列数据的表头,可将此类一列数据的表头称为第二类表头。
其中,如表1和表2所示的同时具有第一类表头以及第二类表头的数据即为多表头数据。此外,仅具有第一类表头或者仅具有第二类表头的数据即为单表头数据。由于告警聚类装置无法直接识别表1和表2所示的多表头数据,则告警聚类装置需要将多表头数据转化为单表头数据。
示例性的,在告警聚类装置将如表1和表2所示的原始告警数据转化为如表2所示的包括单个sheet对象的电子表格文件之后,告警聚类装置可以执行下述步骤S1-S5,将表3所示告警数据(包括单个sheet对象、多表头的形式的告警数据)进一步转化为表4所示的单表头数据。
S1、将表3中的数据转化为列表(list)形式。
示例性的,上述表3中的数据转为list形式可以为:
“Route-name,1XXX-2XXX,\n,Port-id,Error-type,Handle-time,
Port-level,\n,1111-1-11,R_LOS,2019/09/11 8:55:51,5.5,\n,
Route-name,3XXX-4XXX,\n,Port-id,Error-type,Handle-time,Port-level,\n,2222-2-22,REM_SF,2019/09/11 8:56:51,6.5,\n”
S2、将表3中的表头为“Route-name”转化为key-value的形式。
其中,key-value是一种以键值对形式存在的数据形式,每个键都会对应一个唯一的值。
示例性的,上述key值可以为表3中的第一行数据的表头“Route-name”,上述value值可以为表3中的第一行数据中的“1xxx-2xxx”。并且,上述key值还可以为表3中的第四行数据的表头“Route-name”,上述value值可以为表3中的第一行数据中的“1xxx-2xxx”
S3、读取key值所在行的下一行数据(也即表3的第二类表头),将key值插入该行数据的最后一个字符串之后。
示例性的,表4中的第二行数据为“Port-id,Error-type,Handle-time,Port-level,\n”,将key值插入该行数据的最后一个字符串之后,则为“Port-id,Error-type,Handle-time,Port-level,Route-name,\n”。
S4、读入读取key值所在行与下一个key值所在行之间的数据(也即表3中的第三行数据),将value值插入每一行数据的最后一个字符串之后。
示例性的,表3中的第三行数据为“1111-1-11,R_LOS,2019/09/118:55:51,5.5,\n”,将value值插入该行数据的最后一个字符串之后,则为“1111-1-11,R_LOS,2019/09/118:55:51,5.5,1xxx-2xxx,\n”。
S5、重复执行上述步骤S1-S4,直至完成表3中的最后一行数据的转化。并将更改后的list数据以写入一个新的电子表格中,如表4所示。
表4
Port-id | Error-type | Handle-time | Port-level | Route-name |
1111-1-11 | R_LOS | 2019/09/11 8:55:51 | 5.5 | 1xxx-2xxx |
2222-2-22 | REM_SF | 2019/09/11 8:56:51 | 6.5 | 3xxx-4xxx |
可选的,告警聚类装置还可以去除获取到的原始告警数据中的大量噪声信号,获取多个告警信息。
具体的,上述大量噪声信号可以包括原始告警数据中的重复告警信息、频发告警信息,或者依据告警信息的告警时间、告警源、告警名称、定位信息或拓扑信息等告警特征可以筛掉的其他无用告警信息。
应理解,告警聚类装置对原始告警数据进行过滤,去除原始告警数据中的大量噪声信号,可以将无效数据剔除,降低运算复杂度,进而使得告警聚类结果更加准确。
S102、告警聚类装置将M个告警信息划分为N个第三告警组。
其中,上述第三告警组包括一个或多个相邻的告警信息,N为大于1的整数。
在一些实施例中,告警聚类装置可以根据M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组。
其中,第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数。
上述预设时间间隔可以为2分钟、3分钟、5分钟或其他合理的时长。示例性的,在预设时间间隔可以为2分钟的情况下,若告警信息1的告警时间为2021-11-01 00:00:20,告警信息2的告警时间为2021-11-01 00:00:45,告警信息3的告警时间为2021-11-01 00:01:20,告警信息4的告警时间为2021-11-01 00:05:10。由于告警信息1告警信息2以及告警信息3之间任意两条告警信息的时间间隔均小于2分钟,则告警聚类装置可以确定告警信息1、告警信息2以及告警信息3划分属于一个第一告警组,而告警信息4则不属于该第一告警组。
进一步地,告警聚类装置可以采用预设的划分规则,将对于K个第一告警组划分为N个第三告警组。
可选的,上述预设的划分规则包括相似度划分规则和关联性划分规则。
S103、告警聚类装置确定各个第三告警组的特征信息。
其中,第三告警组的特征信息包括日期标签,日期标签用于反映第三告警组中的告警信息的产生日期。
示例性的,若第三告警组包括告警信息1、告警信息2以及告警信息3,告警信息1的告警时间为2021-11-01 00:00:20,告警信息2的告警时间为2021-11-01 00:00:45,告警信息3的告警时间为2021-11-01 00:01:20。从而,告警聚类装置可以确定该第三告警组的日期标签为2021-11-01。
可选的,第三告警组的特征信息还包括L个告警源中各个告警源的告警次数或者告警次数占比。
其中,告警源的告警次数等于第三告警组中所包含的由告警源发出的告警信息的个数,告警源的告警次数占比等于第三告警组中所包含的由告警源发出的告警信息的个数与第三告警组包含的告警信息的总个数之间的比值。此外,L为正整数,且L为告警聚类装置获取到的M个告警信息中的告警源警的个数。
示例性的,在告警聚类装置获取到的M个告警信息中的告警源具有网元1、网元2、网元3、网元4以及网元5共5种的情况下,若一个第三告警组共具有8个告警信息,其中3个告警信息的告警源为网元1,4个告警信息的告警源为网元3,1个告警信息的告警源为网元4,则该第三告警组的各个告警源的告警次数可以表示为(3,0,4,1,0),或者各个告警源的告警次数占比可以表示为(0.375,0,0.5,0.125,0)。
可选的,第三告警组的特征信息还包括时间标签。
其中,第三告警组对应的时间标签与第三告警组所包括的告警时间相关。
示例性的,告警聚类装置可以将第三告警组中的告警信息按照时间先后顺序排列,第三告警组对应的时间标签根据第三告警组中第一个告警信息的告警时间来确定。
示例性的,若一个第一告警组中的告警信息包括告警信息1、告警信息2和告警信息3,告警信息1的告警时间为2021-11-01 00:01:20,告警信息2的告警时间为2021-11-0100:00:20,告警信息3的告警时间为2021-11-01 00:00:45,将该第一告警组中的告警信息按照时间先后顺序排列依次为告警信息2、告警信息3和告警信息1,则该第一告警对应的时间标组可以为告警信息2的告警时间2021-11-01 00:00:20。
S104、告警聚类装置根据N个第三告警组的特征信息,对N个第三告警组进行聚类,得到多个聚类集合。
其中,一个聚类集合包括具有相同日期标签的一个或多个第三告警组。
在一些实施例中,告警聚类装置可以根据N个第三告警组的特征信息,采用改进的k均值聚类算法(k-means clustering algorithm)对N个第三告警组进行聚类处理,得到多个聚类集合。
其中,k均值聚类算法是一种迭代求解的聚类分析算法,由于简洁和效率使得他成为所有聚类算法中最广泛使用的算法。
在一些实施例中,告警聚类装置可以采用以下步骤a至步骤f对N个第三告警组进行聚类处理,得到多个聚类集合:
步骤a、告警聚类装置根据N个第三告警组的特征信息,生成各个第三告警组的第一特征向量。
在一些实施例中,上述第一特征向量可以包括多个维度。其中,第一特征向量的中各个维度的取值可以根据各个第三告警组的特征信息确定。
示例性的,若一个第三告警组的时间标签为2021-11-01 00:00:20,则告警聚类装置可以确定该第一告警组在其第一特征向量的第一维度的取值为20211101000020。
进一步地,在告警聚类装置获取到的M个告警信息中的告警源具有网元1、网元2、网元3、网元4以及网元5共5种的情况下,该第三告警组的第一特征向量的第二维度、第三维度、第四维度、第五维度以及第六维度的取值分别为该第三告警组中告警源为网元1、网元2、网元3、网元4以及网元5的告警信息为个数或占比。若该第三告警组共具有8个告警信息,其中3个告警信息的告警源为网元1,4个告警信息的告警源为网元3,1个告警信息的告警源为网元4,则告警聚类装置可以确定该第三告警组对应的时间向量为(20211101000020,3,0,4,1,0)或者(20211101000020,0.375,0,0.5,0.125,0)。
应理解,上述第三告警组对应的第一特征向量的确定方式仅为一种示例,该第一特征向量还可以以其他方法生成,本申请对此不作任何限制。
步骤b、告警聚类装置确定各个日期标签下的初始聚类中心,并确定初始聚类中心的第一特征向量。
示例性的,告警聚类装置可以获取所有的日期标签,确定日期标签相同的所有第三告警组。告警聚类装置可以在日期标签相同的所有第三告警组中选取一个或多个第三告警组作为初始聚类中心。从而,一个日期标签可以对应一个或多个初始聚类中心。
其中,一个日期标签对应的初始聚类中心的个数可以为人为设定的。例如,对于日期标签为20211101的所有第三告警组,若该日期标签对应的2021年11月01日的告警故障处理次数为K次,告警聚类装置可以在日期标签为20211101的所有第三告警组中随机选取K个有第三告警组作为初始聚类中心。
应理解,每个日期标签对应的初始聚类中心的个数可以相同也可以不同。
需要说明的是,对于同一故障,网元产生可以多个告警信息,这些告警信息的告警时间之间的时间间隔不会太大,并且通常情况下,同一故障根因引起的多个告警信息的产生日期相同的。因此告警聚类装置分别获取同一天(也即相同日期标签)内的一个或多个初始聚类中心,并且进一步进行聚类操作,得到的聚类集合才会包括具有相同日期标签的一个或多个第三告警组,使得聚类结果更加准确。
步骤c、对于N个第三告警组中的各个第三告警组,在确定多个初始聚类中心之后,告警聚类装置可以先确定与第三告警组具有相同日期标签的初始聚类中心;之后,告警聚类装置可以确定第三告警组与同一日期标签下的各个初始聚类中心之间的距离,并将第三告警组划分至最小距离对应的初始聚类中心所在的聚类集合中。
从而,告警聚类装置可以得到多个初始聚类集合。
第三告警组与初始聚类中心之间的距离可以根据第三告警组的第一特征向量与初始聚类中心的第一特征向量来计算。第三告警组与初始聚类中心之间的距离可以采用欧式距离、切比雪夫距离、切比雪夫距离等,本实施例对此不做限定。
步骤d、对于多个初始聚类集合的各个初始聚类集合而言,告警聚类装置可以根据初始聚类集合中的各个第三告警组的第一特征向量,重新确定初始聚类集合中的新的聚类中心。
示例性的,告警聚类装置可以计算一个初始聚类集合中各个第一特征向量的均值作为该初始聚类集合的新的聚类中心。
步骤e、告警聚类装置在确定各个初始聚类集合中的新的聚类中心之后,可以再次以最小距离将各个第三告警组划分至最小距离对应的新的聚类中心所在的聚类集合。从而,告警聚类装置可以得到多个新的聚类集合。
步骤f、告警聚类装置可以不断重复迭代获取新的聚类中心以及新的聚类集合,直到满足预设终止条件。
其中,上述预设终止条件可以为没有第三告警组被重新分配给不同的聚类集合、聚类中心不再发生变化以及误差平方和局部最小等。
可选的,在告警聚类装置得到多个聚类集合之后,可以根据各个聚类集合中的第三告警组,确定各个聚类集合中的告警信息。
其中,对于每一个聚类集合来说,一个聚类集合包括一个或多个第三告警组,一个第三告警组包括一个或多个告警信息,则一个聚类集合包括一个或多个告警信息。告警聚类装置可以在一个聚类集合中的各个告警信息添加聚类标签,以表示该告警信息所属的聚类集合。
示例性的,告警聚类装置在确定多个聚类集合中的各个告警信息之后,可以对各个告警信息添加其所属的聚类集合的聚类标识。例如,聚类标识可以为聚类集合1、聚类集合2、……,用于区分各个不同的聚类集合中的告警信息。
进一步地,告警聚类装置可以依据各个告警信息的聚类标识,将聚类标识相同的告警信息储存在一起,例如将聚类标识相同的告警信息储存至电子表格文件的同一个sheet对象中,可以直观展现各个聚类结果,便于运维人员查看与分析。
本申请提供的技术方案至少带来以下有益效果:一方面,由于第三告警组包括一个或多个相邻的告警信息,并且第三告警组的特征信息包括日期标签,因此基于该方法得到的各个聚类集合中的告警信息在告时间维度上的关联度较高。另一方面,本申请中得到的聚类集合包括具有相同日期标签的一个或多个第三告警组,也即本申请中不会将产生日期不同的告警信息聚类在一起。因此,本申请实施例可以提升告警聚类结果的准确性,以便于运维人员根据聚类结果,更加准确地查找各个聚类集合中的告警信息与告警根因之间的关联规律,并为之后的告警根因定位查找提供辅助,提高运维效率。
在一些实施例中,根据图2所示的实施例,若预设的划分规则包括相似度划分规则和关联性划分规则,则如图3所示,上述步骤S102可以具体实现为:
S1021、告警聚类装置根据M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组。
可选的,告警聚类装置在将M个告警信息划分为K个第一告警组之后,可以对每一个告警信息添加其所属的第一告警组对应的组别标识。
示例性的,第一告警组的组别标识可以为1、2、3等数字标识,或者a、b、c等字母标识,或者第一组、第二组、第三组等文字标识,本申请对此不作限定。
S1022、告警聚类装置基于相似度划分规则,将K个第一告警组划分为P个第二告警组。
其中,第二告警组包括一个或多个第一告警组,上述相似度划分规则包括:根据相邻的两个第一告警组之间的相似度,将相似度大于或等于阈值的相邻的两个第一告警组划分入同一个第二告警组,将相似度小于阈值的相邻的两个第一告警组划分入不同的第二告警组。
在一些实施例中,告警聚类装置可以确定各个第一告警组的第二特征信息,基于各个第一告警组的第二特征信息,确定每相邻的两个第一告警组之间的相似度。
可选的,第一告警组的第二特征信息可以根据该告警中各个告警信息的告警源确定。
实例性的,第一告警组的第二特征信息可以包括多个维度。其中,第二特征向量的第一维度的取值可以根据各个第一告警组的组别标识确定,第二特征向量的其他维度的取值可以根据该第一告警组中各个告警信息的告警源而确定。
示例性的,告警聚类装置可以为组别标识预设对应的数值,例如组别标识1、a或者第一组可以对应数值1,组别标识2、b或者第二组可以对应数值2等。对于任意一个第一告警组,告警聚类装置可以根据其组别标识,查找该组别标识预设对应的数值,并以此作为该第二告警组的特征向量的第一维度的取值。
此外,在告警聚类装置获取到的M个告警信息的告警源具有网元1、网元2、网元3、网元4以及网元5共5种的情况下,此时,各个第一告警组的第二特征向量的第二维度、第三维度、第四维度、第五维度以及第六维度的取值分别为各个第一告警组中的告警信息对应的告警源为网元1、网元2、网元3、网元4以及网元5的个数。
若一个第一告警组共具有5个告警信息,其中3个告警信息的告警源为网元1,1个告警信息的告警源为网元2,1个告警信息的告警源为网元4。且该第一告警组的组别标签为2,则告警聚类装置可以确定该第一告警组的特征向量为(2,3,1,0,1,0)。
进一步地,告警聚类装置在确定各个第一告警组的特征向量之后,可以根据所有的第一告警组按照其包括的告警信息的告警时间按照时间先后进行排序,并进一步对每相邻的两个第一告警组的第二特征向量进行相似度计算,确定每相邻的两个第一告警组之间的相似度。
可选的,上述特征向量之间的相似度的获取方式包括而不限于余弦相似度、欧式距离、切比雪夫距离、切比雪夫距离等,本实施例对此不做限定。
进一步地,告警聚类装置将相似度大于或等于阈值的相邻的两个第一告警组划分入同一个第二告警组,将相似度小于阈值的相邻的两个第一告警组划分入不同的第二告警组。
其中,上述预设阈值可以根据历史告警数据预设。
可选的,告警聚类装置将相似度大于预设阈值的两个第二告警组归入一个第三告警组之后,可以将这两个第二告警组中的每一个告警信息的组别标识更改为同一个组别标识。
S1023、告警聚类装置基于关联性划分规则,将P个第二告警组划分为N个第三告警组。
其中,关联性划分规则包括:将具有关联性的相邻的两个第二告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第二告警组划分入不同的第三告警组;并且,具有关联性的相邻的两个第二告警组中至少一个第二告警组仅包含一个告警信息。
在一些实施例中,告警聚类装置可以通过执行以下步骤一至步骤四,判断相邻的两个第二告警组之间是否具有关联性:
步骤一、若第i个第二告警组仅包含一个告警信息,则告警聚类装置判断第i个第二告警组中的告警信息的告警源与第i-1个第二告警组中告警时间最晚的告警信息的告警源是否相同,i为小于或等于P的正整数。
步骤二、若相同,则告警聚类装置确定第i个第二告警组与第i-1个第二告警组之间具有关联性。
步骤三、若不相同,则告警聚类装置判断第i个第二告警组中的告警信息的告警源与第i+1个第二告警组中告警时间最早的告警信息的告警源是否相同。
步骤四、若相同,则确定第i个第二告警组与第i+1个第二告警组之间具有关联性。
需要说明的是,若第二告警组中只包括一个告警信息,由于告警信息较少,则对该第二告警组的时间向量进行聚类,其聚类结果的随机性很高,很难控制,误差可能较大。因此,告警聚类装置基于关联性划分规则,将P个第二告警组划分为N个第三告警组,可以进一步提升告警聚类的准确性。
实例性的,对于每一个第二告警组,告警聚类装置可以以key:value形式表示该第二告警组中的各个告警信息。其中,上述key值可以为该告警信息对应的组别标识,上述value值可以为该告警信息的告警源。例如告警信息1可以表示为1(key):网元1(value)。
可选的,告警聚类装置可以识别每一个告警信息的key值,若在所有的告警信息中,若一个key值只出现一次,则告警聚类装置可以确定该key值对应的告警信息所属的第二告警组中仅包括一个告警信息。
进一步地,对于每一个仅包括一个告警信息的第二告警组,告警聚类装置可以识别该第二告警组相邻的第二告警组中的各个告警信息的value值,若相邻的第二告警组中具有与若该第二告警组中的一个告警信息相同的value值,则告警聚类装置可以将该第二告警组与其相邻的第二告警组归入一个第一告警组。
此外,对于每一个仅包括一个告警信息的第二告警组,若其相邻的第二告警组中不具有与若该第二告警组中的一个告警信息相同的value值,则告警聚类装置可以将该第二告警组归入一个独立的第三告警组。
基于图3所示的实施例,告警聚类装置可以将M个告警信息依据告警时间划分为K个第一告警组。并进一步依据相似度划分规则和关联性划分规则对第一告警组进行合并处理,可以进一步提升告警聚类的准确性。
在一些实施例中,根据图2所示的实施例,若预设的划分规则包括关联性划分规则,则如图4所示,上述步骤S102可以具体实现为:
S1024、告警聚类装置根据M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组。
其中,第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数。
S1025、告警聚类装置基于关联性划分规则,将K个第一告警组划分为N个第三告警组。
其中,关联性划分规则包括:将具有关联性的相邻的两个第一告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第一告警组划分入不同的第三告警组;其中,具有关联性的相邻的两个第一告警组中至少一个第一告警组仅包含一个告警信息。
可选的,告警聚类装置可以通过各个第一告警组中的告警信息的告警源来确定相邻的两个第一告警组之间的关联性。
在一种实现方式中,告警聚类装置可以执行下述步骤1至步骤4,来判断相邻的两个第一告警组之间是否具有关联性:
步骤1、若第x个第一告警组仅包含一个告警信息,则告警聚类装置判断第x个第一告警组中的告警信息的告警源与第x-1个第一告警组中告警时间最晚的告警信息的告警源是否相同,x为小于或等于K的正整数。
步骤2、若相同,则告警聚类装置确定第x个第一告警组与第x-1个第一告警组之间具有关联性。
步骤3、若不相同,则告警聚类装置判断第x个第一告警组中的告警信息的告警源与第x+1个第一告警组中告警时间最早的告警信息的告警源是否相同。
步骤4、若相同,则确定第x个第一告警组与第x+1个第一告警组之间具有关联性。
可选的,告警聚类装置可以识别K个第一告警组所有的仅包含一个告警信息第一告警组。对于每一个仅包含一个告警信息第一告警组,高警局类装置可以进一步执行上述步骤1至步骤4,确定该第一告警组与其相邻的第一告警组之间是否具有关联性。并将具有关联性的相邻的两个第一告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第一告警组划分入不同的第三告警组。
基于图4所示的实施例,告警聚类装置可以将M个告警信息依据告警时间划分为K个第一告警组。并进一步依据关联性划分规则对第一告警组进行合并处理,可以降低告警聚类的复杂性。
上述主要从方法的角度对本申请提供的方案进行了介绍。可以理解的是,告警聚类装置为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本申请可以根据上述方法示例对告警聚类装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
图5示出本申请实施例提供的一种告警聚类装置的组成示意图。如图5所示,该告警聚类装置1000包括获取单元1001和处理单元1002。
获取单元1001,用于获取M个告警信息,M为大于1的整数.
处理单元1002,用于将M个告警信息划分为N个第三告警组,第三告警组包括一个或多个相邻的告警信息,N为大于1的整数.
处理单元1002,还用于确定各个第三告警组的特征信息,第三告警组的特征信息包括日期标签,日期标签用于反映第三告警组中的告警信息的产生日期;并根据N个第三告警组的特征信息,对N个第三告警组进行聚类,得到多个聚类集合,聚类集合包括具有相同日期标签的一个或多个第三告警组。
可选的,处理单元1002,具体用于:根据M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组;其中,第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数;基于相似度划分规则,将K个第一告警组划分为P个第二告警组,第二告警组包括一个或多个第一告警组;相似度划分规则包括:根据相邻的两个第一告警组之间的相似度,将相似度大于或等于阈值的相邻的两个第一告警组划分入同一个第二告警组,将相似度小于阈值的相邻的两个第一告警组划分入不同的第二告警组;基于关联性划分规则,将P个第二告警组划分为N个第三告警组;关联性划分规则包括:将具有关联性的相邻的两个第二告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第二告警组划分入不同的第三告警组;其中,具有关联性的相邻的两个第二告警组中至少一个第二告警组仅包含一个告警信息。
可选的,处理单元1002,还用于:若第i个第二告警组仅包含一个告警信息,则判断第i个第二告警组中的告警信息的告警源与第i-1个第二告警组中告警时间最晚的告警信息的告警源是否相同,i为小于或等于P的正整数;若相同,则确定第i个第二告警组与第i-1个第二告警组之间具有关联性;若不相同,则判断第i个第二告警组中的告警信息的告警源与第i+1个第二告警组中告警时间最早的告警信息的告警源是否相同;若相同,则确定第i个第二告警组与第i+1个第二告警组之间具有关联性。
可选的,处理单元1002,具体用于:根据M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组;其中,第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数;基于关联性划分规则,将K个第一告警组划分为N个第三告警组;关联性划分规则包括:将具有关联性的相邻的两个第一告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第一告警组划分入不同的第三告警组;其中,具有关联性的相邻的两个第一告警组中至少一个第一告警组仅包含一个告警信息。
可选的,第三告警组的特征信息还包括L个告警源中各个告警源的告警次数或者告警次数占比,告警源的告警次数等于第三告警组中所包含的由告警源发出的告警信息的个数,告警源的告警次数占比等于第三告警组中所包含的由告警源发出的告警信息的个数与第三告警组包含的告警信息的总个数之间的比值,L为正整数。
图5中的单元也可以称为模块,例如,处理单元可以称为处理模块。另外,在图5所示的实施例中,各个单元的名称也可以不是图中所示的名称,例如,获取单元也可以称为通信单元。
图5中的各个单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。存储计算机软件产品的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例还提供一种告警聚类装置的硬件结构示意图,如图6所示,该一种告警聚类装置2000包括处理器2001,可选的,还包括与处理器2001连接的存储器2002和收发器2003。处理器2001、存储器2002和收发器2003通过总线2004连接。
处理器2001可以是中央处理器(central processing unit,CPU),通用处理器网络处理器(network processor,NP)、数字信号处理器(digital signal processing,DSP)、微处理器、微控制器、可编程逻辑器件(programmable logic device,PLD)或它们的任意组合。处理器2001还可以是其它任意具有处理功能的装置,例如电路、器件或软件模块。处理器2001也可以包括多个CPU,并且处理器2001可以是一个单核(single-CPU)处理器,也可以是多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路或用于处理数据(例如计算机程序指令)的处理核。
存储器2002可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备、随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,本申请实施例对此不作任何限制。存储器2002可以是独立存在,也可以和处理器2001集成在一起。其中,存储器2002中可以包含计算机程序代码。处理器2001用于执行存储器2002中存储的计算机程序代码,从而实现本申请实施例提供的方法。
收发器2003可以用于与其他设备或通信网络通信(如以太网,无线接入网(radioaccess network,RAN),无线局域网(wireless local area networks,WLAN)等)。收发器2003可以是模块、电路、收发器或者任何能够实现通信的装置。
总线2004可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线2004可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本申请实施例还提供了一种计算机可读存储介质,包括计算机执行指令,当其在计算机上运行时,使得计算机执行上述实施例提供的任意一种方法。
本申请实施例还提供了一种包含计算机执行指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例提供的任意一种方法。
本申请实施例还提供了一种芯片,包括:处理器和接口,处理器通过接口与存储器耦合,当处理器执行存储器中的计算机程序或计算机执行指令时,使得上述实施例提供的任意一种方法被执行。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机执行指令。在计算机上加载和执行计算机执行指令时,全部或部分地产生按照本申请实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机执行指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机执行指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看附图、公开内容、以及所附权利要求书,可理解并实现公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种告警聚类方法,其特征在于,所述方法包括:
获取M个告警信息,M为大于1的整数;
将所述M个告警信息划分为N个第三告警组,所述第三告警组包括一个或多个相邻的告警信息,N为大于1的整数;
确定各个第三告警组的特征信息,所述第三告警组的特征信息包括日期标签,所述日期标签用于反映所述第三告警组中的告警信息的产生日期;
根据所述N个第三告警组的特征信息,对所述N个第三告警组进行聚类,得到多个聚类集合,所述聚类集合包括具有相同日期标签的一个或多个第三告警组。
2.根据权利要求1所述的告警聚类方法,其特征在于,所述将所述M个告警信息划分为N个第三告警组,包括:
根据所述M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组;其中,所述第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,所述第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数;
基于相似度划分规则,将所述K个第一告警组划分为P个第二告警组,所述第二告警组包括一个或多个第一告警组;所述相似度划分规则包括:根据相邻的两个第一告警组之间的相似度,将相似度大于或等于阈值的相邻的两个第一告警组划分入同一个第二告警组,将相似度小于阈值的相邻的两个第一告警组划分入不同的第二告警组;
基于关联性划分规则,将所述P个第二告警组划分为N个第三告警组;所述关联性划分规则包括:将具有关联性的相邻的两个第二告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第二告警组划分入不同的第三告警组;其中,具有关联性的相邻的两个第二告警组中至少一个第二告警组仅包含一个告警信息。
3.根据权利要求2所述的方法,其特征在于,在所述基于关联性划分规则,将所述P个第二告警组划分为N个第三告警组之前,所述方法还包括:
若第i个第二告警组仅包含一个告警信息,则判断第i个第二告警组中的告警信息的告警源与第i-1个第二告警组中告警时间最晚的告警信息的告警源是否相同,i为小于或等于P的正整数;
若相同,则确定第i个第二告警组与第i-1个第二告警组之间具有关联性;
若不相同,则判断第i个第二告警组中的告警信息的告警源与第i+1个第二告警组中告警时间最早的告警信息的告警源是否相同;
若相同,则确定第i个第二告警组与第i+1个第二告警组之间具有关联性。
4.根据权利要求1所述的方法,其特征在于,所述将所述M个告警信息划分为N个第三告警组,包括:
根据所述M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组;其中,所述第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,所述第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数;
基于关联性划分规则,将所述K个第一告警组划分为N个第三告警组;所述关联性划分规则包括:将具有关联性的相邻的两个第一告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第一告警组划分入不同的第三告警组;其中,具有关联性的相邻的两个第一告警组中至少一个第一告警组仅包含一个告警信息。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述第三告警组的特征信息还包括L个告警源中各个告警源的告警次数或者告警次数占比,所述告警源的告警次数等于所述第三告警组中所包含的由所述告警源发出的告警信息的个数,所述告警源的告警次数占比等于所述第三告警组中所包含的由所述告警源发出的告警信息的个数与所述第三告警组包含的告警信息的总个数之间的比值,L为正整数。
6.一种告警聚类装置,其特征在于,所述装置包括:
获取单元,用于获取M个告警信息,M为大于1的整数;
处理单元,用于将所述M个告警信息划分为N个第三告警组,所述第三告警组包括一个或多个相邻的告警信息,N为大于1的整数;
处理单元,还用于确定各个第三告警组的特征信息,所述第三告警组的特征信息包括日期标签,所述日期标签用于反映所述第三告警组中的告警信息的产生日期;并根据所述N个第三告警组的特征信息,对所述N个第三告警组进行聚类,得到多个聚类集合,所述聚类集合包括具有相同日期标签的一个或多个第三告警组。
7.根据权利要求6所述的装置,其特征在于,所述处理单元,具体用于:
根据所述M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组;其中,所述第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,所述第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数;
基于相似度划分规则,将所述K个第一告警组划分为P个第二告警组,所述第二告警组包括一个或多个第一告警组;所述相似度划分规则包括:根据相邻的两个第一告警组之间的相似度,将相似度大于或等于阈值的相邻的两个第一告警组划分入同一个第二告警组,将相似度小于阈值的相邻的两个第一告警组划分入不同的第二告警组;
基于关联性划分规则,将所述P个第二告警组划分为N个第三告警组;所述关联性划分规则包括:将具有关联性的相邻的两个第二告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第二告警组划分入不同的第三告警组;其中,具有关联性的相邻的两个第二告警组中至少一个第二告警组仅包含一个告警信息。
8.根据权利要求7所述的装置,其特征在于,所述处理单元,还用于:
若第i个第二告警组仅包含一个告警信息,则判断第i个第二告警组中的告警信息的告警源与第i-1个第二告警组中告警时间最晚的告警信息的告警源是否相同,i为小于或等于P的正整数;
若相同,则确定第i个第二告警组与第i-1个第二告警组之间具有关联性;
若不相同,则判断第i个第二告警组中的告警信息的告警源与第i+1个第二告警组中告警时间最早的告警信息的告警源是否相同;
若相同,则确定第i个第二告警组与第i+1个第二告警组之间具有关联性。
9.根据权利要求6所述的装置,其特征在于,所述处理单元,具体用于:
根据所述M个告警信息中各个告警信息的告警时间,将M个告警信息划分为K个第一告警组;其中,所述第一告警组包括一个或多个相邻的告警信息;并且,对于包含至少两条告警信息的第一告警组来说,所述第一告警组中任意两条告警信息的告警时间之间的时间间隔小于预设时间间隔;K为大于1的整数;
基于关联性划分规则,将所述K个第一告警组划分为N个第三告警组;所述关联性划分规则包括:将具有关联性的相邻的两个第一告警组划分入同一个第三告警组,将不具有关联性的相邻的两个第一告警组划分入不同的第三告警组;其中,具有关联性的相邻的两个第一告警组中至少一个第一告警组仅包含一个告警信息。
10.根据权利要求6至9任一项所述的装置,其特征在于,所述第三告警组的特征信息还包括L个告警源中各个告警源的告警次数或者告警次数占比,所述告警源的告警次数等于所述第三告警组中所包含的由所述告警源发出的告警信息的个数,所述告警源的告警次数占比等于所述第三告警组中所包含的由所述告警源发出的告警信息的个数与所述第三告警组包含的告警信息的总个数之间的比值,L为正整数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111612243.7A CN114297037A (zh) | 2021-12-27 | 2021-12-27 | 一种告警聚类方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111612243.7A CN114297037A (zh) | 2021-12-27 | 2021-12-27 | 一种告警聚类方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114297037A true CN114297037A (zh) | 2022-04-08 |
Family
ID=80968879
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111612243.7A Pending CN114297037A (zh) | 2021-12-27 | 2021-12-27 | 一种告警聚类方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114297037A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116991684A (zh) * | 2023-08-03 | 2023-11-03 | 北京优特捷信息技术有限公司 | 一种告警信息处理方法、装置、设备及介质 |
-
2021
- 2021-12-27 CN CN202111612243.7A patent/CN114297037A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116991684A (zh) * | 2023-08-03 | 2023-11-03 | 北京优特捷信息技术有限公司 | 一种告警信息处理方法、装置、设备及介质 |
CN116991684B (zh) * | 2023-08-03 | 2024-01-30 | 北京优特捷信息技术有限公司 | 一种告警信息处理方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109684181B (zh) | 告警根因分析方法、装置、设备及存储介质 | |
US10649838B2 (en) | Automatic correlation of dynamic system events within computing devices | |
WO2021068547A1 (zh) | 日志模板提取方法及装置 | |
US20160055044A1 (en) | Fault analysis method, fault analysis system, and storage medium | |
CN110083475B (zh) | 一种异常数据的检测方法及装置 | |
CN113254255B (zh) | 一种云平台日志的分析方法、系统、设备及介质 | |
CN110932901B (zh) | 一种告警等级调整方法及系统 | |
WO2018125628A1 (en) | A network monitor and method for event based prediction of radio network outages and their root cause | |
CN111078513A (zh) | 日志处理方法、装置、设备、存储介质及日志告警系统 | |
CN112968805B (zh) | 一种告警日志处理方法及装置 | |
CN113472555B (zh) | 故障检测方法、系统、装置、服务器及存储介质 | |
CN111338888B (zh) | 一种数据统计方法、装置、电子设备及存储介质 | |
CN114297037A (zh) | 一种告警聚类方法及装置 | |
CN114625554A (zh) | 故障修复方法、装置、电子设备及存储介质 | |
CN112882956A (zh) | 一种通过数据组合计算自动生成全场景自动化测试案例的方法、装置、存储介质及电子设备 | |
CN113162801B (zh) | 一种告警分析方法、装置及存储介质 | |
CN110955587A (zh) | 一种待更换设备确定方法及装置 | |
CN113656652A (zh) | 医保违规行为的检测方法、装置、设备及存储介质 | |
CN113128213A (zh) | 日志模板提取方法及装置 | |
CN111884932A (zh) | 一种链路确定方法、装置、设备和计算机可读存储介质 | |
CN110765127B (zh) | 事实数据的评分方法、装置、设备及存储介质 | |
CN116980468B (zh) | 工控环境下资产的发现和管理方法、装置、设备及介质 | |
CN108932305A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
CN114422324B (zh) | 一种告警信息的处理方法、装置、电子设备及存储介质 | |
CN117150233B (zh) | 一种电网异常数据治理方法、系统、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |