CN116155690A - 告警根因溯源方法、装置,及电子设备 - Google Patents

告警根因溯源方法、装置,及电子设备 Download PDF

Info

Publication number
CN116155690A
CN116155690A CN202211727643.7A CN202211727643A CN116155690A CN 116155690 A CN116155690 A CN 116155690A CN 202211727643 A CN202211727643 A CN 202211727643A CN 116155690 A CN116155690 A CN 116155690A
Authority
CN
China
Prior art keywords
resource
alarm
information
target monitoring
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211727643.7A
Other languages
English (en)
Inventor
黄继华
廖韦玮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202211727643.7A priority Critical patent/CN116155690A/zh
Publication of CN116155690A publication Critical patent/CN116155690A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/065Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种告警根因溯源方法及装置,属于通信技术领域。所述方法包括:根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识;响应于目标监测资源发生告警,根据告警根源定位标识获取资源信息的实时运行数据;根据告警根源定位标识,获取目标监测资源的网络拓扑三元组;将实时运行数据和网络拓扑三元组,补充记录到告警根源定位标识中;根据补充记录后得到的告警根源定位标识,进行告警根因溯源。本方法通过根据网络层、资源层和应用层的数据生成告警根源定位标识,使得机房运维场景下运维人员可以通过告警根源定位标识快速地了解告警从资源层到网络层再到应用层的信息。

Description

告警根因溯源方法、装置,及电子设备
技术领域
本申请涉及通信技术领域,特别是涉及告警根因溯源方法、装置,及电子设备及计算机可读存储介质。
背景技术
随着数字化发展的逐渐深入,通信或网络运营商的在运设备逐渐增加,设备维护需求逐渐增大,即便运维已经在从手工运维向工具运维和平台运维发展,但仍然没有实现智能运维。当告警发生时,快速定位告警原因排除故障,是网络稳定运行的重要保障。告警根因分析结果有利于维护人员提升系统运维效率。然而,现有技术中,机房运维场景下告警根因分析数据不能使运维人员快速地了解告警从资源层到网络层再到应用层的问题。
发明内容
本申请实施例提供一种告警根因溯源方法、装置,及电子设备,用于解决机房运维场景下告警根因分析数据不能使运维人员快速地了解告警从资源层到网络层再到应用层的问题。
第一方面,本申请实施例公开了一种告警根因溯源方法,所述方法包括:
根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识;
响应于所述目标监测资源发生告警,根据所述告警根源定位标识获取所述资源信息的实时运行数据;
根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组;
将所述实时运行数据和所述网络拓扑三元组,补充记录到所述告警根源定位标识中;
根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源。
可选的,所述根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识,包括:
通过预设互补关系库,获取所述目标监测资源的资源层、网络层、应用层的资源信息;
根据所述目标监测资源的IP地址、所述预设互补关系库的信息和获取的所述资源信息,按照预设格式生成告警根源定位标识。
可选的,所述资源信息包括:IP资源信息、网络逻辑拓扑信息、历史告警关联资源信息、应用层资源信息和工单关联资源信息,所述通过预设互补关系库,获取所述目标监测资源的资源层、网络层、应用层的资源信息,包括以下一种或多种方法:
以所述目标监测资源的IP地址作为查询条件,查询IP资源数据库,获取所述目标监测资源的资源层的IP资源信息;
以所述目标监测资源的IP地址作为查询条件,查询网络逻辑拓扑数据库,获取所述目标监测资源的网络层的网络逻辑拓扑信息;
以所述目标监测资源的IP地址作为查询条件,查询工单数据库,获取所述目标监测资源的网络层的工单关联资源信息;
以所述目标监测资源的IP地址作为查询条件,查询历史告警数据库,获取所述目标监测资源的网络层的历史告警关联资源信息;
以所述目标监测资源的IP地址作为查询条件,查询应用层资源数据库,获取所述目标监测资源的应用层的应用层资源信息。
可选的,所述根据所述目标监测资源的IP地址、所述预设互补关系库的信息和获取的所述资源信息,按照预设格式生成告警根源定位标识,包括:
以第一间隔符间隔不同所述预设互补关系库对应的信息,以第二间隔符间隔从同一所述预设互补关系库中获取的所述资源信息,生成包括所述目标监测资源的IP地址、所述预设互补关系库的信息和/或所述资源信息的告警根源定位标识。
可选的,所述根据所述告警根源定位标识获取所述资源信息的实时运行数据,包括:
根据所述第一间隔符对所述告警根源定位标识进行切割,得到每个所述预设互补关系库对应的切割信息;
根据所述第二间隔符对每个所述预设互补关系库对应的所述切割信息进行切割,得到所述预设互补关系库对应的所述资源信息;
采集所述资源信息对应网络设备的实时运行数据。
可选的,所述根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组,包括:
根据所述告警根源定位标识中记录的资源信息,获取所述目标监测资源的第一拓扑信息集合;
根据所述目标监测资源的日志数据和所述网络逻辑拓扑信息,获取所述目标监测资源的第二拓扑信息集合;
根据所述第一拓扑信息集合和所述第二拓扑信息集合,获取所述目标监测资源的网络拓扑三元组。
可选的,所述根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源,包括:
根据所述告警根源定位标识中的三元组获取以IP地址关联的主机信息集合,并根据所述主机信息集合中的主机资产进行告警根因溯源;和/或,
展示所述告警根源定位标识。
第二方面,本申请实施例公开了一种告警根因溯源装置,所述装置包括:
告警根源定位标识生成模块,用于根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识;
关联资源实时运行数据获取模块,用于响应于所述目标监测资源发生告警,根据所述告警根源定位标识获取所述资源信息的实时运行数据;
网络拓扑三元组获取模块,用于根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组;
告警根源定位标识更新模块,用于将所述实时运行数据和所述网络拓扑三元组,补充记录到所述告警根源定位标识中;
告警根因溯源模块,用于根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源。
可选的,所述告警根源定位标识生成模块,进一步用于:
通过预设互补关系库,获取所述目标监测资源的资源层、网络层、应用层的资源信息;
根据所述目标监测资源的IP地址、所述预设互补关系库的信息和获取的所述资源信息,按照预设格式生成告警根源定位标识。
可选的,所述资源信息包括:IP资源信息、网络逻辑拓扑信息、历史告警关联资源信息、应用层资源信息和工单关联资源信息,所述通过预设互补关系库,获取所述目标监测资源的资源层、网络层、应用层的资源信息,包括以下一种或多种方法:
以所述目标监测资源的IP地址作为查询条件,查询IP资源数据库,获取所述目标监测资源的资源层的IP资源信息;
以所述目标监测资源的IP地址作为查询条件,查询网络逻辑拓扑数据库,获取所述目标监测资源的网络层的网络逻辑拓扑信息;
以所述目标监测资源的IP地址作为查询条件,查询工单数据库,获取所述目标监测资源的网络层的工单关联资源信息;
以所述目标监测资源的IP地址作为查询条件,查询历史告警数据库,获取所述目标监测资源的网络层的历史告警关联资源信息;
以所述目标监测资源的IP地址作为查询条件,查询应用层资源数据库,获取所述目标监测资源的应用层的应用层资源信息。
可选的,所述根据所述目标监测资源的IP地址、所述预设互补关系库的信息和获取的所述资源信息,按照预设格式生成告警根源定位标识,包括:
以第一间隔符间隔不同所述预设互补关系库对应的信息,以第二间隔符间隔从同一所述预设互补关系库中获取的所述资源信息,生成包括所述目标监测资源的IP地址、所述预设互补关系库的信息和/或所述资源信息的告警根源定位标识。
可选的,所述关联资源实时运行数据获取模块,进一步用于:
根据所述第一间隔符对所述告警根源定位标识进行切割,得到每个所述预设互补关系库对应的切割信息;
根据所述第二间隔符对每个所述预设互补关系库对应的所述切割信息进行切割,得到所述预设互补关系库对应的所述资源信息;
采集所述资源信息对应网络设备的实时运行数据。
可选的,所述网络拓扑三元组获取模块,进一步用于:
根据所述告警根源定位标识中记录的资源信息,获取所述目标监测资源的第一拓扑信息集合;
根据所述目标监测资源的日志数据和所述网络逻辑拓扑信息,获取所述目标监测资源的第二拓扑信息集合;
根据所述第一拓扑信息集合和所述第二拓扑信息集合,获取所述目标监测资源的网络拓扑三元组。
可选的,所述告警根因溯源模块,进一步用于:
根据所述告警根源定位标识中的三元组获取以IP地址关联的主机信息集合,并根据所述主机信息集合中的主机资产进行告警根因溯源;和/或,
展示所述告警根源定位标识。
第三方面,本申请实施例还公开了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本申请实施例所述的告警根因溯源方法。
第四方面,本申请实施例公开了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时本申请实施例公开的告警根因溯源方法的步骤。
本申请实施例公开的告警根因溯源方法,通过根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识;响应于所述目标监测资源发生告警,根据所述告警根源定位标识获取所述资源信息的实时运行数据;根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组;将所述实时运行数据和所述网络拓扑三元组,补充记录到所述告警根源定位标识中;根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源,由于告警根源定位标识根据网络层、资源层和应用层的数据生成,使得机房运维场景下运维人员可以通过告警根源定位标识快速地了解告警从资源层到网络层再到应用层的信息。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1是本申请实施例公开的告警根因溯源方法的流程图;
图2是本申请实施例中告警根源定位标识生成方法流程图;
图3是本申请实施例公开的告警根因溯源装置结构示意图;
图4示意性地示出了用于执行根据本申请的方法的电子设备的框图;以及
图5示意性地示出了用于保持或者携带实现根据本申请的方法的程序代码的存储单元。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示,本申请实施例公开的一种告警根因溯源方法,包括:步骤110至步骤150。
步骤110,根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识。
本申请的实施例中,所述目标监测资源为被告警系统监测的网络资源,例如可以为:服务器、路由器、交换机等网络设备。
所述告警根源定位标识可以为文本串、字符串、文本序列等形式。
所述目标监测资源的资源信息可以包括:历史数据和实时运行数据。本申请的一些实施例中,所述资源信息包括但不限于以下一种或多种:主机IP地址、IP资源信息、网络逻辑拓扑信息、历史告警关联资源信息、应用层资源信息和工单关联资源信息。
所述关联资源信息覆盖运维数据、配置数据、工作状态数据、目标监测资源的设备信息、网络逻辑拓扑信息。
本申请的一些实施例中,所述主机IP地址可以通过告警监测系统获取,所述IP资源信息、网络逻辑拓扑信息、历史告警关联资源信息、应用层资源信息和工单关联资源信息作为主机IP地址的关联信息,可以通过预设互补关系库获取。在获取到上述信息之后,按照预设规则,将上述信息记录在告警根源定位标识中。
本申请的一些实施例中,如图2所示,所述根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识,包括:子步骤1101和子步骤1102。
子步骤1101,通过预设互补关系库,获取所述目标监测资源的资源层、网络层、应用层的资源信息。
本申请的一些实施例中,所述预设互补关系库包括但不限于以下一种或多种数据库:IP资源数据库、网络逻辑拓扑数据库、历史告警数据库、应用层资源数据库、工单数据库。所述预设互补关系库覆盖资源层、网络层和应用层,通过查询不同的预设互补关系库,可以获取到网络结构中不同层的资源信息。
本申请的一些实施例中,所述通过预设互补关系库,获取所述目标监测资源的资源层、网络层、应用层的资源信息,包括以下一种或多种方法,以所述目标监测资源的IP地址作为查询条件,查询IP资源数据库,获取所述目标监测资源的资源层的IP资源信息;以所述目标监测资源的IP地址作为查询条件,查询网络逻辑拓扑数据库,获取所述目标监测资源的网络层的网络逻辑拓扑信息;以所述目标监测资源的IP地址作为查询条件,查询工单数据库,获取所述目标监测资源的网络层的工单关联资源信息;以所述目标监测资源的IP地址作为查询条件,查询历史告警数据库,获取所述目标监测资源的网络层的历史告警关联资源信息;以所述目标监测资源的IP地址作为查询条件,查询应用层资源数据库,获取所述目标监测资源的应用层的应用层资源信息。
下面,分别介绍上述资源信息的获取方法。
可选的,所述IP资源数据库用于以目标监测资源的IP条件查询IP资源信息。例如,以目标监测资源的IP地址为查询条件,查询所述IP资源数据库,获取该目标监测资源关联的IP资源信息。可选的,所述IP资源信息包括但不限于以下一种或多种信息:目标监测资源所在机柜坐标信息(如空间坐标)、设备类型、机柜所在U位置、设备SN序列号。进一步的,如果根据目标监测资源的IP条件在IP资源数据库中获取到上述资源信息,则将获取到的IP资源信息记录在告警根源定位标识中IP资源信息相应位置处;如果根据目标监测资源的IP条件在IP资源数据库中未获取到上述资源信息,则在告警根源定位标识中IP资源信息相应位置处记录0。
可选的,所述网络逻辑拓扑数据库用于以目标监测资源的IP条件查询网络逻辑拓扑信息。例如,以目标监测资源的IP地址为查询条件,查询所述网络逻辑拓扑数据库,获取该目标监测资源(如网络设备)的网络逻辑拓扑信息。可选的,所述网络逻辑拓扑信息包括但不限于以下一种或多种信息:端到端物理接口名称、IP地址。进一步的,如果根据目标监测资源的IP条件在网络逻辑拓扑数据库中获取到上述网络逻辑拓扑信息,则将获取到的网络逻辑拓扑信息记录在告警根源定位标识中网络逻辑拓扑信息相应位置处;如果根据目标监测资源的IP条件在网络逻辑拓扑数据库中未获取到上述网络逻辑拓扑信息,则在告警根源定位标识中网络逻辑拓扑信息相应位置处记录0。这样,完成网络结构中的一部分网络层资源定位。
所述历史告警数据库用于以目标监测资源的IP条件查询历史告警记录。例如,以目标监测资源的IP地址为查询条件,查询所述历史告警数据库,获取该目标监测资源(如网络设备)的历史告警记录。之后,按照告警严重程度,将告警内容描述中关联物理设备出现频率最高的前三个对端物理设备的IP地址作为该目标监测资源的历史告警关联资源信息。并将得到的历史告警关联资源信息记录在告警根源定位标识中历史告警关联资源信息对应的位置处。如果没有查询到目标监测资源相关的历史告警记录,则在告警根源定位标识中历史告警关联资源信息对应的位置处记录0。历史告警关联资源信息可以作为网络结构中的一部分网络层资源。
所述应用层资源数据库用于以目标监测资源的IP条件查询应用层资源。例如,以目标监测资源的IP地址为查询条件,查询所述应用层资源数据库,获取该目标监测资源(如网络设备)的应用层资源。可选的,所述应用层资源包括但不限于:应用软件名称、应用IP地址。并将得到的应用层资源记录在告警根源定位标识中应用层资源信息对应的位置处。如果没有查询到目标监测资源相关的应用层资源,则在告警根源定位标识中应用层资源信息对应的位置处记录0。这样,完成应用层资源定位。
所述工单数据库用于以目标监测资源的IP条件查询工单数据库。例如,以目标监测资源的IP地址为查询条件,查询所述工单数据库,获取该目标监测资源(如网络设备)关联的工单。进一步根据查询到的工单,获取该目标监测资源曾经进行过的机房网络割接、设备迁移的行为下,目标监测资源的IP地址是否有变更。并对工单完成时间排序,将最后一次工单完成的对端物理设备名称、设备IP作为工单关联资源信息。并将得到的工单关联资源信息记录在告警根源定位标识中工单关联资源信息对应的位置处。如果没有查询到目标监测资源关联的工单,或者,目标监测资源的IP地址未发生变更,则在告警根源定位标识中工单关联资源信息对应的位置处记录0。工单关联资源信息可以作为网络结构中的一部分网络层资源。
子步骤1102,根据所述目标监测资源的IP地址、所述预设互补关系库的信息和获取的所述资源信息,按照预设格式生成告警根源定位标识。
在具体实施过程中,通过获取上述关联数据,并对所述关联数据进行抽象,得到资源信息,之后,按照预设规则生成告警根源定位标识。
本申请的一些实施例中,所述根据所述目标监测资源的IP地址、所述预设互补关系库的信息和获取的所述资源信息,按照预设格式生成告警根源定位标识,包括:以第一间隔符间隔不同所述预设互补关系库对应的信息,以第二间隔符间隔从同一所述预设互补关系库中获取的所述资源信息,生成包括所述目标监测资源的IP地址、所述预设互补关系库的信息和/或所述资源信息的告警根源定位标识。
可选的,所述告警根源定位标识可以包括:IP地址、IP资源信息、历史告警关联资源信息、工单关联资源信息、主机部署应用信息名、以及预设互补关系库等资源信息。不同的所述预设互补关系库可以通过第一间隔符间隔,同一预设互补关系库中的资源信息通过第二间隔符间隔。
以第一间隔符为“#”,第二间隔符为“@”为例,本申请的一些实施例中,所述告警根源定位标识可以表示为:“目标监测资源IP地址###IP资源数据库机柜坐标X、Y、Z@设备类型@设备sn序列号###网络逻辑拓扑数据库端到端物理接口名称@目标监测资源本端IP@对端IP###历史告警数据库对端物理设备IP1@对端物理设备IP2@对端物理设备IP3###应用层资源数据库应用软件名称@应用IP地址###工单数据库对端物理设备名称@设备IP地址”。
通过上述告警根源定位标识的生成过程可以得出,告警根源定位标识携带了目标监测资源(如交换机、服务器等监测资源)关联的网络层、应用层、资源层的资源信息。
本申请的一些实施例中,可以采用上述方法针对告警监测系统中监测的每个资源(如前述目标监测资源)生成一个告警根源定位标识。
本申请的一些实施例中,可以将生成的告警根源定位标识,预置到监测配置库作为可视化场景调用底层数据。
至此,完成目标监测资源关联的网络层、应用层、资源层的根因关系数据采集。为下一步可视化告警根源定位做好了数据准备。
步骤120,响应于所述目标监测资源发生告警,根据所述告警根源定位标识获取所述资源信息的实时运行数据。
本申请的一些实施例中,在将告警根源定位标识预置到监测配置库的同时,还可以将告警根源定位标识放入Web端缓存数据库,作为场景数据预先加载。Web端缓存数据库在每次启动时,通过监测配置库获取告警根源定位标识,并缓存在Web端缓存数据库本地。
Web端缓存用于临时存储(缓存)Web文档(如HTML页面和图像),以减少服务器延迟的一种信息技术。本申请的一些实施例中,通过将告警根源定位标识放入Web端缓存数据库中,在告警发生时,可以从Web端缓存数据库获取告警根源定位标识,而不需要去请求服务器,可以极大地减少对服务器的访问从而提高页面加载速度,缩短页面加载时间,同时减轻服务器压力、减少数据传输占用的网络带宽和流量。
本申请的一些实施例中,在获取到告警根源定位标识之后,通过对告警根源定位标识进行解析,获取告警根源定位标识中记录的互补关系库信息,以及所述互补关系库对应的资源信息。
本申请的一些实施例中,所述根据所述告警根源定位标识获取所述资源信息的实时运行数据,包括:根据所述第一间隔符对所述告警根源定位标识进行切割,得到每个所述预设互补关系库对应的切割信息;根据所述第二间隔符对每个所述预设互补关系库对应的所述切割信息进行切割,得到所述预设互补关系库对应的所述资源信息;采集所述资源信息对应网络设备的实时运行数据。
考虑到告警发生到展示的间隔时间,尤其以秒级监控为例:为了防止网络抖动等误报情况造成可视化展示的不必要性,本申请的一些实施例中,首先根据第一间隔符对告警根源定位标识进行切割,获取所述告警根源定位标识中记录的与所述目标监测资源关联的互补关系库对应的资源信息。之后,在通过相应互补关系库查询相应资源信息的实时运行数据,获取相应资源信息的告警信息。
具体举例而言,通过’#’符号第一次切割告警根源定位标识,获取每个互补关系库对应的切割信息,近一步的,通过’@’符号第二次切割每个互补关系库对应的切割信息。
本申请的一些实施例中,在进行告警根源定位标识解析时,如果某个互补关系库中没有对应的资源信息,即相应资源信息的位置记录的符号为“0”,则忽略对该互补关系库的查询。
本申请的一些实施例中,所述资源信息中包括:资源标识符,例如,网络设备的IP地址、端口、名称等。得到相应互补关系库对应的资源信息中的资源标识符之后,以每种资源信息中资源标识符作为查询条件,查询对应的互补关系库,获得查询结果。
本申请的一些实施例中,所述资源信息可以通过资源标识符表示,所述资源标识符包括:网络设备的IP地址和/或物理端口,所述采集所述资源信息对应网络设备的实时运行数据,包括:根据网络设备的IP地址和/或物理端口,采用TR069协议采集所述网络设备的实时运行数据。
例如,获取到的互补关系库的查询结果中包括相应资源标识符之后,进一步通过TR069协议采集获取到的资源标识符对应的网络设备的实时运行数据,并将采集到的网络设备的实时运行数据记录到告警根源定位标识中。可选的,采集的网络设备的实时运行数据包括但不限于以下一种或多种数据:网络设备的CPU使用状态、内存使用状态、磁盘使用状态、进程运行状态等监测信息。所述实时运行数据用于对网络设备健康度进行评测。
在采集到资源标识符对应的网络设备的实时运行数据之后,将采集到的实时运行数据记录在告警根源定位标识中相应资源标识符匹配的位置处。
下面结合告警根源定位标识的一个例子,说明告警根源定位标识的分析和更新方案。
假设告警根源定位标识包括如下内容:“目标监测资源IP地址###IP资源数据库机柜坐标X、Y、Z@设备类型@设备sn序列号###网络逻辑拓扑数据库端到端物理接口名称@目标监测资源本端IP@对端IP###历史告警数据库对端物理设备IP1@对端物理设备IP2@对端物理设备IP3###应用层资源数据库应用软件名称@应用IP地址###工单数据库0”,对告警根源定位标识进行第一次切割之后,得到如下切割信息:“IP资源数据库机柜坐标X、Y、Z@设备类型@设备sn序列号”、“网络逻辑拓扑数据库端到端物理接口名称@目标监测资源本端IP@对端IP”、“历史告警数据库对端物理设备IP1@对端物理设备IP2@对端物理设备IP3”、“应用层资源数据库应用软件名称@应用IP地址”、“工单数据库0”。
接下来,对每个切割信息,进一步根据第二间隔符@进行切割,得到每个预设互补关系库对应的资源信息。以对切割信息“网络逻辑拓扑数据库端到端物理接口名称@目标监测资源本端IP@对端IP”进行第二次切割为例,将得到网络逻辑拓扑数据库对应的目标监测资源本端IP和对端IP两个资源信息。
对每个预设互补关系库对应的切割信息分别执行二次切割,可以得到网络层、应用层和资源层与目标监测资源关联的各资源信息的资源标识符。可选的,所述资源标识符包括但不限于以下一种或多种:IP地址、端口号、设备名称。
TR069协议中,网管服务器被称为ACS(Auto Configuration Server自动配置服务器)有专门的IP地址和URL;被管理设备通过DHCP服务器获取ACS的URL,被管理设备获得网管IP后,就开始根据ACS的URL建立HTTP会话。建立会话后需要进行初始化,其目的是进行身份验证,ACS要确保被管理设备的合法性。初始化完成后,网管服务器就可以向CPE获取各种监控信息。TR069协议采用HTTP协议采集信息,且可以传递结构化的数据信息,因此,可以一次采集所有所需信息,并全部返回采集结果,可以提升资源标识符对应的网络设备的实时运行数据采集速度。
步骤130,根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组。
如前文所述,告警根源定位标识中记录了网络逻辑拓扑信息,接下来,根据所述网络逻辑拓扑信息,进一步获取目标监测资源的网络拓扑三元组。
本申请的一些实施例中,所述根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组,包括:根据所述告警根源定位标识中记录的资源信息,获取所述目标监测资源的第一拓扑信息集合;根据所述目标监测资源的日志数据和所述网络逻辑拓扑信息,获取所述目标监测资源的第二拓扑信息集合;根据所述第一拓扑信息集合和所述第二拓扑信息集合,获取所述目标监测资源的网络拓扑三元组。
可选的,所述第一拓扑信息集合包括:目标监测资源关联的目标资源(如网络设备、应用等)的网络连接关系。其中,目标监测资源关联的目标资源包括但不限于以下一种或多种:网络逻辑拓扑信息指示的网络设备、历史告警关联资源信息指示的网络设备、工单关联资源信息指示的网络设备、应用层资源信息指示的应用IP地址。
可选的,网络逻辑拓扑信息用于描述网络设备的网络连接逻辑,可以通过网络设备的IP地址的组合表达。例如,本申请的一些实施例中,网络逻辑拓扑信息包括:目标监测资源本端IP地址和对端IP地址。
可选的,所述第二拓扑信息集合中包括:所述目标监测资源关联的数据库、中间件、服务器,以及,所述目标监测资源与所述数据库、所述中间件、所述服务器之间的服务关系。所述根据所述第一拓扑信息集合和所述第二拓扑信息集合,获取所述目标监测资源的网络拓扑三元组,包括:根据第一拓扑信息集合和第二拓扑信息集合,挖掘以所述目标监测资源作为起始节点或目的节点的三元组。
本申请的一些实施例中,可以采用现有技术中的数据挖掘方法,对所述第一拓扑信息和所述第二拓扑信息进行数据挖掘,得到与所述目标监测资源存在网络连接或数据交互的关联资源,以及所述关联资源和所述目标监测资源之间的关系,并以挖掘到的关联资源、关系和所述目标监测资源,生成若干三元组。
本申请的一些实施例中,所述根据所述目标监测资源的日志数据和所述网络逻辑拓扑信息,获取所述目标监测资源的第二拓扑信息集合,包括:获取所述目标监测资源关联的日志数据;根据所述网络逻辑拓扑信息,挖掘所述日志数据中所述目标监测资源与数据库、中间件、服务器之间的应用服务拓扑关系集合;根据所述应用服务拓扑关系集合,从所述日志数据中挖掘所述应用服务拓扑关系集合对应的数据集合,所述数据集合用户描述不同时间维度所述目标监测资源与数据库、中间件、服务器的实时运行数据之间的关系。
例如,首先,通过日志服务应用数据库获取包括目标监测资源的IP地址的日志数据,之后,将日志数据分为二层分析。第一层,利用日志服务应用数据库中(数据库、中间件、服务器基础监控指标)的关联关系,来挖掘应用服务拓扑,作为网络逻辑拓扑信息的补充。应用服务拓扑记录了不同的服务器之间,(数据库、中间件、服务器CPU、内存、磁盘、进程)三类指标之间的关系。
第二层,从每个应用服务的日志中挖掘一个基于第一层应用服务拓扑关系的数据集合,称为拓扑数据集合。拓扑数据集合中的数据记录了不同时间维度,服务器与数据库、中间件、服务器CPU、内存、磁盘、进程之间的监测数据及运行健康状况。
本申请的一些实施例中,还可以采用其他数据挖掘方法,挖掘第二拓扑信息,本申请实施例中不再一一例举。
之后,将告警根源定位标识中网络逻辑拓扑信息中的第一拓扑信息,以及,从日志数据中挖掘的第二拓扑信息进行聚合,得到拓扑信息集合。然后,采用三元组信息挖掘方法,挖掘拓扑信息集合中的以目标监测资源作为起始节点或者目的节点的三元组。
以三元组表示为(h,r,t)为例,三元组的生成方法如下:
尾实体链接预测:给定关系r和头实体h预测可能的尾实体t是什么,即在给定h和r的情况下,预测哪个三元组(h,r,t)成立的可能性比较大。
头实体链接预测:给定r,t的情况下,预测可能的头实体h是什么。
其中,h表示起始节点,例如可以为业务发起点,t表示目的节点,r表示h和t关系。通过对前述步骤获取的第一拓扑信息和所述第二拓扑信息进行以目标监测资源作为实体的实体和关系挖掘,可以得到多个三元组。
三元组的挖掘方法参见现有技术,本申请实施例中不再赘述。
本申请的实施例中,通过在日志系统中进行两层数据分析,挖掘拓扑信息,可以扩展以目标监测资源作为实体的三元组,从而扩大硬件和应用软件的溯源范围。
步骤140,将所述实时运行数据和所述网络拓扑三元组,补充记录到所述告警根源定位标识中。
在挖掘到网络拓扑三元组之后,将所述网络拓扑三元组记录在告警根源定位标识的结尾,对告警根源定位标识记录的数据进行补充。
另一方面,将采集到的与目标监测资源关联的其他资源的实时运行数据补充记录到告警根源定位标识,使告警根源定位标识携带更多用于故障溯源的信息。
步骤150,根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源。
本申请的一些实施例中,根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源,包括:根据所述告警根源定位标识中的三元组获取以IP地址关联的主机信息集合,并根据所述主机信息集合中的主机资产进行告警根因溯源;和/或,展示所述告警根源定位标识。
例如,可以将告警根源定位标识进行可视化处理,并展示给运维人员,便于运维人员了解目标监测资源从资源层、到网络层到应用层的相关资源,从而用于故障分析。
又例如,对于三元组中头实体(h)和尾实体(t)获取对应的网络设备IP地址,得到多个以IP地址关联的主机信息组成主机信息集合。溯源人员可以根据主机信息集合中某个疑似被攻击的主机资产,查询该主机资产具有的漏洞,通过漏洞寻找与该漏洞相关联的攻击威胁获取有关攻击的溯源策略。溯源人员执行溯源策略,就可以溯源到攻击源。
再例如,溯源人员也可以以某种攻击威胁为基础,根据三元组中的实体IP地址和告警根源定位标识中记录的ID地址对应的端口信息,生成五元组,之后,通过五元组(源地址、目的地址、源端口、目的端口、协议),来确定某种攻击威胁后,通过查询网络安全知识库,执行与该攻击威胁相对应的溯源策略,找出攻击所留下的痕迹和位置,最后定位到被攻击的主机资产。
首先,以五元组(源地址、目的地址、源端口、目的端口、协议),为查询条件获取主机资产为基础,首先查询MDATA网络安全知识库,获得与该主机资产对应的策略集合S-{S1,S2,…,Si}(i≥1),然后遍历该集合。若某个策略S{i}的类型为工具溯源类型,则首先查询与该溯源策略关联的依赖信息D={D1,D2,…,Dj}(j≥1),即与该溯源策略关联的痕迹和位置,然后把得到的痕迹和位置信息分别保存到e和d变量中,根据溯源策略Si的process属性和e、d,执行攻击溯源策略,最终将获得的溯源结果Ri放入溯源结果集R={R1,R2,…,Ri}(i≥1)。若某个策略的类型为关联溯源策略,则首先通过查询网络安全知识库,获取该策略的子策略集合
Figure BDA0004021090040000171
然后以/>
Figure BDA0004021090040000172
作为参数,递归执行该溯源算法,将获得的结果/>
Figure BDA0004021090040000173
根据该策略Si的关联规则进行逻辑运算,获得溯源结果Ri,将其放入溯源结果集R中,最后返回溯源结果集合R。
由前述三元组的生成方法可知,三元组中记录的头实体、尾实体的关系,反映了与目标监测资源和与目标监测资源关联的其他资源(如网络设备、应用程序)的关系,根据三元组反映的关联关系,可以对目标监测资源的故障进行逐一排查,实现故障溯源。
本申请实施例中还公开的告警根因溯源方法,通过根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识;响应于所述目标监测资源发生告警,根据所述告警根源定位标识获取所述资源信息的实时运行数据;根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组;将所述实时运行数据和所述网络拓扑三元组,补充记录到所述告警根源定位标识中;根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源,由于告警根源定位标识根据网络层、资源层和应用层的数据生成,使得机房运维场景下运维人员可以通过告警根源定位标识快速地了解告警从资源层到网络层再到应用层的信息。
另一方面,通过首先生成告警根源定位标识,对目标监测资源的可能告警根因进行分析,在发生告警后,进一步基于可能的告警根因(如告警根源定位标识中记录的资源)进行查询和数据采集,避免了频繁查询数据库,可以更加高效、快速地定位告警根因。
进一步的,通过结合日志数据进行拓扑信息挖掘,生成三元组,可以根基监测资源的运行数据扩展网络拓扑信息,有效扩展告警根因的定位范围,提高告警根因溯源的成功率。
相应的,本申请实施例还公开了一种告警根因溯源装置,如图3所示,所述装置包括:
告警根源定位标识生成模块310,用于根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识;
关联资源实时运行数据获取模块320,用于响应于所述目标监测资源发生告警,根据所述告警根源定位标识获取所述资源信息的实时运行数据;
网络拓扑三元组获取模块330,用于根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组;
告警根源定位标识更新模块340,用于将所述实时运行数据和所述网络拓扑三元组,补充记录到所述告警根源定位标识中;
告警根因溯源模块350,用于根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源。
可选的,所述告警根源定位标识生成模块310,进一步用于:
通过预设互补关系库,获取所述目标监测资源的资源层、网络层、应用层的资源信息;
根据所述目标监测资源的IP地址、所述预设互补关系库的信息和获取的所述资源信息,按照预设格式生成告警根源定位标识。
可选的,所述资源信息包括:IP资源信息、网络逻辑拓扑信息、历史告警关联资源信息、应用层资源信息和工单关联资源信息,所述通过预设互补关系库,获取所述目标监测资源的资源层、网络层、应用层的资源信息,包括以下一种或多种方法:
以所述目标监测资源的IP地址作为查询条件,查询IP资源数据库,获取所述目标监测资源的资源层的IP资源信息;
以所述目标监测资源的IP地址作为查询条件,查询网络逻辑拓扑数据库,获取所述目标监测资源的网络层的网络逻辑拓扑信息;
以所述目标监测资源的IP地址作为查询条件,查询工单数据库,获取所述目标监测资源的网络层的工单关联资源信息;
以所述目标监测资源的IP地址作为查询条件,查询历史告警数据库,获取所述目标监测资源的网络层的历史告警关联资源信息;
以所述目标监测资源的IP地址作为查询条件,查询应用层资源数据库,获取所述目标监测资源的应用层的应用层资源信息。
可选的,所述根据所述目标监测资源的IP地址、所述预设互补关系库的信息和获取的所述资源信息,按照预设格式生成告警根源定位标识,包括:
以第一间隔符间隔不同所述预设互补关系库对应的信息,以第二间隔符间隔从同一所述预设互补关系库中获取的所述资源信息,生成包括所述目标监测资源的IP地址、所述预设互补关系库的信息和/或所述资源信息的告警根源定位标识。
可选的,所述关联资源实时运行数据获取模块320,进一步用于:
根据所述第一间隔符对所述告警根源定位标识进行切割,得到每个所述预设互补关系库对应的切割信息;
根据所述第二间隔符对每个所述预设互补关系库对应的所述切割信息进行切割,得到所述预设互补关系库对应的所述资源信息;
采集所述资源信息对应网络设备的实时运行数据。
可选的,所述网络拓扑三元组获取模块330,进一步用于:
根据所述告警根源定位标识中记录的资源信息,获取所述目标监测资源的第一拓扑信息集合;
根据所述目标监测资源的日志数据和所述网络逻辑拓扑信息,获取所述目标监测资源的第二拓扑信息集合;
根据所述第一拓扑信息集合和所述第二拓扑信息集合,获取所述目标监测资源的网络拓扑三元组。
可选的,所述告警根因溯源模块350,进一步用于:
根据所述告警根源定位标识中的三元组获取以IP地址关联的主机信息集合,并根据所述主机信息集合中的主机资产进行告警根因溯源;和/或,
展示所述告警根源定位标识。
本申请实施例公开的告警根因溯源装置,用于实现本申请实施例中所述的告警根因溯源方法,装置的各模块的具体实施方式不再赘述,可参见方法实施例相应步骤的具体实施方式。
本申请实施例公开的一种告警根因溯源装置,通过根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识;响应于所述目标监测资源发生告警,根据所述告警根源定位标识获取所述资源信息的实时运行数据;根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组;将所述实时运行数据和所述网络拓扑三元组,补充记录到所述告警根源定位标识中;根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源,由于告警根源定位标识根据网络层、资源层和应用层的数据生成,使得机房运维场景下运维人员可以通过告警根源定位标识快速地了解告警从资源层到网络层再到应用层的信息。
另一方面,通过首先生成告警根源定位标识,对目标监测资源的可能告警根因进行分析,在发生告警后,进一步基于可能的告警根因(如告警根源定位标识中记录的资源)进行查询和数据采集,避免了频繁查询数据库,可以更加高效、快速地定位告警根因。
进一步的,通过结合日志数据进行拓扑信息挖掘,生成三元组,可以根基监测资源的运行数据扩展网络拓扑信息,有效扩展告警根因的定位范围,提高告警根因溯源的成功率。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上对本申请提供的一种告警根因溯源方法及装置进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其一种核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
本申请的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本申请实施例的电子设备中的一些或者全部部件的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本申请的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
例如,图4示出了可以实现根据本申请的方法的电子设备。所述电子设备可以为PC机、移动终端、个人数字助理、平板电脑等。该电子设备传统上包括处理器410和存储器420及存储在所述存储器420上并可在处理器410上运行的程序代码430,所述处理器410执行所述程序代码430时实现上述实施例中所述的方法。所述存储器420可以为计算机程序产品或者计算机可读介质。存储器420可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器420具有用于执行上述方法中的任何方法步骤的计算机程序的程序代码430的存储空间4201。例如,用于程序代码430的存储空间4201可以包括分别用于实现上面的方法中的各种步骤的各个计算机程序。所述程序代码430为计算机可读代码。这些计算机程序可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘,紧致盘(CD)、存储卡或者软盘之类的程序代码载体。所述计算机程序包括计算机可读代码,当所述计算机可读代码在电子设备上运行时,导致所述电子设备执行根据上述实施例的方法。
本申请实施例还公开了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请实施例所述的告警根因溯源方法的步骤。
这样的计算机程序产品可以为计算机可读存储介质,该计算机可读存储介质可以具有与图4所示的电子设备中的存储器420类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩存储在所述计算机可读存储介质中。所述计算机可读存储介质通常为如参考图5所述的便携式或者固定存储单元。通常,存储单元包括计算机可读代码430’,所述计算机可读代码430’为由处理器读取的代码,这些代码被处理器执行时,实现上面所描述的方法中的各个步骤。
本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着,结合实施例描述的特定特征、结构或者特性包括在本申请的至少一个实施例中。此外,请注意,这里“在一个实施例中”的词语例子不一定全指同一个实施例。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本申请的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种告警根因溯源方法,其特征在于,所述方法包括:
根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识;
响应于所述目标监测资源发生告警,根据所述告警根源定位标识获取所述资源信息的实时运行数据;
根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组;
将所述实时运行数据和所述网络拓扑三元组,补充记录到所述告警根源定位标识中;
根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源。
2.根据权利要求1所述的方法,其特征在于,所述根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识,包括:
通过预设互补关系库,获取所述目标监测资源的资源层、网络层、应用层的资源信息;
根据所述目标监测资源的IP地址、所述预设互补关系库的信息和获取的所述资源信息,按照预设格式生成告警根源定位标识。
3.根据权利要求2所述的方法,其特征在于,所述资源信息包括:IP资源信息、网络逻辑拓扑信息、历史告警关联资源信息、应用层资源信息和工单关联资源信息,所述通过预设互补关系库,获取所述目标监测资源的资源层、网络层、应用层的资源信息,包括以下一种或多种方法:
以所述目标监测资源的IP地址作为查询条件,查询IP资源数据库,获取所述目标监测资源的资源层的IP资源信息;
以所述目标监测资源的IP地址作为查询条件,查询网络逻辑拓扑数据库,获取所述目标监测资源的网络层的网络逻辑拓扑信息;
以所述目标监测资源的IP地址作为查询条件,查询工单数据库,获取所述目标监测资源的网络层的工单关联资源信息;
以所述目标监测资源的IP地址作为查询条件,查询历史告警数据库,获取所述目标监测资源的网络层的历史告警关联资源信息;
以所述目标监测资源的IP地址作为查询条件,查询应用层资源数据库,获取所述目标监测资源的应用层的应用层资源信息。
4.根据权利要求2所述的方法,其特征在于,所述根据所述目标监测资源的IP地址、所述预设互补关系库的信息和获取的所述资源信息,按照预设格式生成告警根源定位标识,包括:
以第一间隔符间隔不同所述预设互补关系库对应的信息,以第二间隔符间隔从同一所述预设互补关系库中获取的所述资源信息,生成包括所述目标监测资源的IP地址、所述预设互补关系库的信息和/或所述资源信息的告警根源定位标识。
5.根据权利要求4所述的方法,其特征在于,所述根据所述告警根源定位标识获取所述资源信息的实时运行数据,包括:
根据所述第一间隔符对所述告警根源定位标识进行切割,得到每个所述预设互补关系库对应的切割信息;
根据所述第二间隔符对每个所述预设互补关系库对应的所述切割信息进行切割,得到所述预设互补关系库对应的所述资源信息;
采集所述资源信息对应网络设备的实时运行数据。
6.根据权利要求1所述的方法,其特征在于,所述根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组,包括:
根据所述告警根源定位标识中记录的资源信息,获取所述目标监测资源的第一拓扑信息集合;
根据所述目标监测资源的日志数据和所述网络逻辑拓扑信息,获取所述目标监测资源的第二拓扑信息集合;
根据所述第一拓扑信息集合和所述第二拓扑信息集合,获取所述目标监测资源的网络拓扑三元组。
7.根据权利要求1所述的方法,其特征在于,所述根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源,包括:
根据所述告警根源定位标识中的三元组获取以IP地址关联的主机信息集合,并根据所述主机信息集合中的主机资产进行告警根因溯源;和/或,
展示所述告警根源定位标识。
8.一种告警根因溯源装置,其特征在于,所述装置包括:
告警根源定位标识生成模块,用于根据目标监测资源的资源层、网络层、应用层的资源信息,生成告警根源定位标识;
关联资源实时运行数据获取模块,用于响应于所述目标监测资源发生告警,根据所述告警根源定位标识获取所述资源信息的实时运行数据;
网络拓扑三元组获取模块,用于根据所述告警根源定位标识,获取所述目标监测资源的网络拓扑三元组;
告警根源定位标识更新模块,用于将所述实时运行数据和所述网络拓扑三元组,补充记录到所述告警根源定位标识中;
告警根因溯源模块,用于根据补充记录后得到的所述告警根源定位标识,进行告警根因溯源。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在处理器上运行的程序代码,其特征在于,所述处理器执行所述程序代码时实现权利要求1至7任意一项所述的告警根因溯源方法。
10.一种计算机可读存储介质,其上存储有程序代码,其特征在于,该程序代码被处理器执行时实现权利要求1至7任意一项所述的告警根因溯源方法的步骤。
CN202211727643.7A 2022-12-27 2022-12-27 告警根因溯源方法、装置,及电子设备 Pending CN116155690A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211727643.7A CN116155690A (zh) 2022-12-27 2022-12-27 告警根因溯源方法、装置,及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211727643.7A CN116155690A (zh) 2022-12-27 2022-12-27 告警根因溯源方法、装置,及电子设备

Publications (1)

Publication Number Publication Date
CN116155690A true CN116155690A (zh) 2023-05-23

Family

ID=86361238

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211727643.7A Pending CN116155690A (zh) 2022-12-27 2022-12-27 告警根因溯源方法、装置,及电子设备

Country Status (1)

Country Link
CN (1) CN116155690A (zh)

Similar Documents

Publication Publication Date Title
CN111522922B (zh) 日志信息查询方法、装置、存储介质及计算机设备
US11606379B1 (en) Identifying threat indicators by processing multiple anomalies
CN111935082B (zh) 一种网络威胁信息关联分析系统及方法
CN101981546B (zh) 以不取得事件信息的it装置为对象的根本原因分析方法、装置及程序
CN112491602B (zh) 行为数据的监控方法、装置、计算机设备及介质
CN108197200A (zh) 日志追踪方法、装置、计算机设备和存储介质
CN110766329B (zh) 一种信息资产的风险分析方法、装置、设备及介质
CN112685270B (zh) 一种系统监控日志的采集方法、装置、电子设备及介质
CN111818073B (zh) 一种失陷主机检测方法、装置、设备及介质
CN112688806A (zh) 一种网络资产呈现的方法及系统
CN115296888A (zh) 数据雷达监测系统
CN113507461B (zh) 基于大数据的网络监控系统及网络监控方法
CN117389830A (zh) 集群日志采集方法、装置、计算机设备及存储介质
CN114584486A (zh) 一种基于分布式的网络资产扫描探测平台及扫描探测方法
CN110362993A (zh) 恶意进程识别方法、终端、服务器、系统及存储介质
CN112003884B (zh) 一种网络资产的采集和自然语言检索方法
CN116155690A (zh) 告警根因溯源方法、装置,及电子设备
Kobayashi et al. amulog: A general log analysis framework for comparison and combination of diverse template generation methods
CN114610689B (zh) 一种分布式环境中请求日志的记录和分析方法
CN114793204A (zh) 一种网络资产探测方法
CN114143178A (zh) 结合tr069协议的告警根源定位可视化方法及装置
Lou et al. Cut-and-pick transactions for proxy log mining
JP2002328893A (ja) ネットワークセキュリティに関する被害評価システムおよびその方法
CN116827900B (zh) 一种基于Python实现内网终端溯源的方法及系统
CN110708208B (zh) 监控数据的采集方法及装置、存储介质、终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination