CN116841846A - 一种实时日志异常检测方法、装置、设备及其存储介质 - Google Patents

一种实时日志异常检测方法、装置、设备及其存储介质 Download PDF

Info

Publication number
CN116841846A
CN116841846A CN202310779198.7A CN202310779198A CN116841846A CN 116841846 A CN116841846 A CN 116841846A CN 202310779198 A CN202310779198 A CN 202310779198A CN 116841846 A CN116841846 A CN 116841846A
Authority
CN
China
Prior art keywords
log
log data
output
detection
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310779198.7A
Other languages
English (en)
Inventor
刘兴廷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Property and Casualty Insurance Company of China Ltd
Original Assignee
Ping An Property and Casualty Insurance Company of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Property and Casualty Insurance Company of China Ltd filed Critical Ping An Property and Casualty Insurance Company of China Ltd
Priority to CN202310779198.7A priority Critical patent/CN116841846A/zh
Publication of CN116841846A publication Critical patent/CN116841846A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3447Performance evaluation by modeling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3452Performance evaluation by statistical analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Biology (AREA)
  • Quality & Reliability (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请实施例属于人工智能及数字医疗技术领域,应用于数字医疗业务系统的执行异常检测过程中,涉及一种实时日志异常检测方法、装置、设备及其存储介质,包括训练异常检测模型;通过训练完成的异常检测模型对实时获取的目标系统的执行日志数据进行异常检测,识别目标系统是否存在执行异常。实现了从单条日志数据的模板匹配性、整体日志数据的输出序列性以及日志数据中的异常关键词三个不同的检测维度,共同对实时日志数据进行异常检测,将所述异常检测模型应用到数字医疗平台的日志异常实时检测中,以保证及时消除隐患和排除故障,采用模型方式,降低人工排查异常的时间消耗,满足数字医疗平台在跨多业务场景下系统日志的异常检测需求。

Description

一种实时日志异常检测方法、装置、设备及其存储介质
技术领域
本申请涉及人工智能及数字医疗技术领域,应用于数字医疗业务系统的执行异常检测过程中,尤其涉及一种实时日志异常检测方法、装置、设备及其存储介质。
背景技术
随着计算机行业的发展,传统的医疗行业也逐步向数字医疗转型,特别是在跨多平台的医疗应用系统,随着接入到医疗机构越多,医疗业务范围和覆盖范围越广泛,使得处理的医疗应用数据越来越繁杂,对于日志的异常检测也是一种挑战。对系统日志进行快速、准确的异常检测、异常定位和异常修复,有助于及时消除隐患和排除故障。但通常这些日志分析动作都依赖于系统管理人员的人工检索、判断,需要花费巨大的时间和人力。
随着人工智能技术的发展,智能检测技术被广泛应用于异常检测领域,如早期的数据挖掘技术、异常数据点聚类等简单的检测模型等。这些方法往往需要庞大的数据量去分析判断,而且异常检测精度较低,无法满足企业复杂业务场景下系统日志的异常检测需求。
发明内容
本申请实施例的目的在于提出一种实时日志异常检测方法、装置、设备及其存储介质,以解决现有技术中进行异常检测时,往往需要庞大的数据量去分析判断,而且异常检测精度较低,无法满足企业复杂业务场景下系统日志的异常检测需求的问题。
为了解决上述技术问题,本申请实施例提供一种实时日志异常检测方法,采用了如下所述的技术方案:
一种实时日志异常检测方法,包括下述步骤:
采集目标系统的原始日志数据,其中,所述原始日志数据为无异常输出的日志数据;
对所述原始日志数据进行预处理,获取第一结构化日志数据;
将所述第一结构化日志数据输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型,其中,所述异常检测模型包括输出模板检测层、上下文关系检测层和关键词分析检测层;
通过接口连接方式,将所述训练完成的异常检测模型接入到所述目标系统,实时获取所述目标系统的执行日志数据;
对实时获取的所述目标系统的执行日志数据进行预处理,获取第二结构化日志数据;
将所述第二结构化数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据所述模型输出结果,识别所述目标系统是否存在执行异常。
进一步的,所述对所述原始日志数据进行预处理,获取第一结构化日志数据的步骤,具体包括:
利用预设的日志解析方法对所述原始日志数据进行解析,其中,所述预设的日志解析方法为spell方法;
通过解析获取每条日志内容中的可变内容和固定内容,其中,所述可变内容包括时间戳、服务IP、正常打印的目标监测数据,所述固定内容包括日志内容中输出的不可变辅助解释字段;
通过所述日志内容中输出的不可变辅助解释字段进行对比,对所述固定内容进行类别划分,获取到固定内容分类集;
通过对所述可变内容进行整理,获取到结构化的监测表征数据,具体地,将每条日志内容中的时间戳、服务I P通过拼接方式整理为KEY值,将每条日志内容中正常打印的目标监测数据作为VALUE值,生成键值对格式数据作为所述监测表征数据;
获取每条日志内容对应的监测表征数据,以及识别每条日志内容所对应的固定内容分类集标识信息,完成对所述原始日志数据的预处理;
将每条日志内容对应的监测表征数据,以及每条日志内容所对应的固定内容分类集标识信息作为所述第一结构化日志数据。
进一步的,在执行所述将所述第一结构化日志数据输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型的步骤之前,所述方法还包括:
根据所述原始日志数据中每条日志内容的时间戳,识别并获取所述原始日志数据中每条日志内容对应的输出时间;
根据所述原始日志数据中每条日志内容对应的输出时间,对所述第一结构化日志数据进行输出排序,将排序结果作为所述第一结构化日志数据的输出顺序;
所述将所述第一结构化日志数据输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型的步骤,具体包括:
根据所述第一结构化日志数据中的固定内容分类集标识信息,对所述输出模板检测层进行训练;
根据所述第一结构化日志数据中的监测表征数据和所述第一结构化日志数据的输出顺序,对所述上下文关系检测层进行训练;
根据预设的异常关键词词典,对所述关键词分析检测层进行训练;
当所述输出模板检测层、所述上下文关系检测层和所述关键词分析检测层都训练完成时,获得训练完成的异常检测模型。
进一步的,所述输出模板检测层由分类树模型构成,所述根据所述第一结构化日志数据中的固定内容分类集标识信息,对所述输出模板检测层进行训练的步骤,具体包括:
基于所述第一结构化日志数据中每条日志内容所对应的固定内容分类集标识信息,确定每条日志内容所对应的固定内容分类集;
识别每个固定内容分类集所对应的不可变辅助解释字段,根据所述不可变辅助解释字段为相同标识信息的日志内容构建日志输出模板;
获取所构建出的所有日志输出模板,将所有日志输出模板作为分类依据一一部署到预设的第一分类树模型的分类节点处;
构建所述第一分类树模型中各个分类节点与相应的固定内容分类集标识信息间的对应关系,完成对所述输出模板检测层的训练。
进一步的,所述上下文关系检测层由长短期记忆网络模型构建而成,所述根据所述第一结构化日志数据中的监测表征数据和所述第一结构化日志数据的输出顺序,对所述上下文关系检测层进行训练的步骤,具体包括:
根据所述第一结构化日志数据的输出顺序,确定所述第一结构化日志数据中所有监测表征数据的输出顺序;
根据所述第一结构化日志数据中所有监测表征数据的输出顺序,解析出KEY值序列和VALUE值序列;
采用滑动窗口采样方式对所述KEY值序列和VALUE值序列进行向量化处理,获得所述KEY值序列和VALUE值序列对应的向量化处理结果;
将所述KEY值序列和VALUE值序列对应的向量化处理结果按照分组依次输出到初始化的长短期记忆网络模型,对所述长短期记忆网络模型进行训练,获得所述原始日志数据的输出上下文关系,完成对所述上下文关系检测层的训练。
进一步的,所述关键词分析检测层由分类树模型构成,所述根据预设的异常关键词词典,对所述关键词分析检测层进行训练的步骤,具体包括:
获取预设的异常关键词词典,其中,所述异常关键词指输出日志中起异常警示作用的代码字段,包括Error和Exception;
将Error、Exception和无异常关键词作为节点类别,分别设置到预设的第二分类树模型的分类节点处,完成对所述关键词分析检测层的训练。
进一步的,所述将所述第二结构化日志数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据所述模型输出结果,识别所述目标系统是否存在执行异常的步骤,具体包括:
将所述第二结构化日志数据传输至所述训练完成的异常检测模型内;
识别出所述第二结构化日志数据中每条日志内容所对应的固定内容分类集标识信息,并根据所述输出模板检测层,识别出每条日志内容所对应的第一分类树模型的分类节点;
若存在至少一条日志内容在所述第一分类树模型中无法识别出对应的分类节点,则初步确定所述目标系统出现执行异常,输出实时获取的所述目标系统的执行日志数据;
若每条日志内容在所述第一分类树模型中都具备相应的分类节点,则根据所述上下文关系检测层,获取所述执行日志数据的输出上下文关系;
比较所述执行日志数据的输出上下文关系是否符合所述原始日志数据的输出上下文关系;
若所述执行日志数据的输出上下文关系不符合所述原始日志数据的输出上下文关系,则初步确定所述目标系统出现执行异常,输出实时获取的所述目标系统的执行日志数据;
若所述执行日志数据的输出上下文关系符合所述原始日志数据的输出上下文关系,则根据所述关键词分析检测层,对所述执行日志数据进行关键词检测,获取关键词检测结果;
若所述关键词检测结果中包含目标关键词,则初步确定所述目标系统出现执行异常,输出实时获取的所述目标系统的执行日志数据,其中,所述目标关键词包括Error或Exception;
若所述关键词检测结果中不包含目标关键词,则所述目标系统未出现执行异常。
为了解决上述技术问题,本申请实施例还提供一种实时日志异常检测装置,采用了如下所述的技术方案:
一种实时日志异常检测装置,包括:
训练数据采集模块,用于采集目标系统的原始日志数据,其中,所述原始日志数据为无异常输出的日志数据;
结构化处理模块,用于对所述原始日志数据进行预处理,获取第一结构化日志数据,还用于对实时获取的所述目标系统的执行日志数据进行预处理,获取第二结构化日志数据;
异常检测模型训练模块,用于将所述第一结构化日志数据输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型,其中,所述异常检测模型包括输出模板检测层、上下文关系检测层和关键词分析检测层;
异常检测模型接入模块,用于通过接口连接方式,将所述训练完成的异常检测模型接入到所述目标系统,实时获取所述目标系统的执行日志数据;
异常检测模型检测模块,用于将所述第二结构化数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据所述模型输出结果,识别所述目标系统是否存在执行异常。
为了解决上述技术问题,本申请实施例还提供一种计算机设备,采用了如下所述的技术方案:
一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现上述所述的实时日志异常检测方法的步骤。
为了解决上述技术问题,本申请实施例还提供一种计算机可读存储介质,采用了如下所述的技术方案:
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如上述所述的实时日志异常检测方法的步骤。
与现有技术相比,本申请实施例主要有以下有益效果:
本申请实施例所述实时日志异常检测方法,通过采集目标系统的原始日志数据;对原始日志数据进行预处理,获取第一结构化日志数据;将第一结构化日志数据按照输出顺序依次输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型,其中,所述异常检测模型包括输出模板检测层、上下文关系检测层和关键词分析检测层;通过接口连接方式,将训练完成的异常检测模型接入到目标系统,实时获取目标系统的执行日志数据;对实时获取的目标系统的执行日志数据进行预处理,获取第二结构化日志数据;将第二结构化数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据模型输出结果,识别目标系统是否存在执行异常。实现了从单条日志数据的模板匹配性、整体日志数据的输出序列性以及日志数据中的异常关键词三个不同的检测维度,共同对实时日志数据进行异常检测,检测更加全面化和智能化,考虑将所述日志异常检测模型应用到数字医疗平台的日志异常实时检测中,以保证及时消除隐患和排除故障,采用模型方式,降低人工排查异常的时间消耗,满足数字医疗平台在跨多业务场景下系统日志的异常检测需求。
附图说明
为了更清楚地说明本申请中的方案,下面将对本申请实施例描述中所需要使用的附图作一个简单介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请可以应用于其中的示例性系统架构图;
图2根据本申请的实时日志异常检测方法的一个实施例的流程图;
图3是图2所示步骤202的一个具体实施例的流程图;
图4是图2所示步骤203的一个具体实施例的流程图;
图5是图4所示步骤401的一个具体实施例的流程图;
图6是图4所示步骤402的一个具体实施例的流程图;
图7根据本申请的实时日志异常检测装置的一个实施例的结构示意图;
图8根据本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了使本技术领域的人员更好地理解本申请方案,下面将结合附图,对本申请实施例中的技术方案进行清楚、完整地描述。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving PictureExpertsGroup Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(MovingPictureExperts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上显示的页面提供支持的后台服务器。
需要说明的是,本申请实施例所提供的实时日志异常检测方法一般由服务器/终端设备执行,相应地,实时日志异常检测装置一般设置于服务器/终端设备中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
继续参考图2,示出了根据本申请的实时日志异常检测方法的一个实施例的流程图。所述的实时日志异常检测方法,包括以下步骤:
步骤201,采集目标系统的原始日志数据,其中,所述原始日志数据为无异常输出的日志数据。
本实施例中,所述目标系统为跨多平台的数字医疗系统。所述原始日志数据的采集可以通过在所述目标系统的后端服务器部署agent服务进行代理采集。
步骤202,对所述原始日志数据进行预处理,获取第一结构化日志数据。
继续参考图3,图3是图2所示步骤202的一个具体实施例的流程图,包括:
步骤301,利用预设的日志解析方法对所述原始日志数据进行解析,其中,所述预设的日志解析方法为spell方法;
其中,spell方法是一种基于LCS(Longest Common Sequence,最长公共子序列)的在线流处理日志解析方法,用于事件日志的结构化流式解析,实现了动态接受日志输入,实时处理输入,不断生成新的日志模板。此方法的优点是可以实现在线实时动态的解析日志,并且即使对于每条实时输入的日志,其检测效率也很高,适应较高的检测时间复杂度。
步骤302,通过解析获取每条日志内容中的可变内容和固定内容,其中,所述可变内容包括时间戳、服务IP、正常打印的目标监测数据,所述固定内容包括日志内容中输出的不可变辅助解释字段;
本实施例中,所述可变内容是指随着日志记录和应用服务而变动的输出内容,例如:记录时间、服务IP、服务名称、目标监测数据、不同服务对应的输出数据,其中,所述目标监测数据也可以为所述不同服务对应的输出数据;所述固定内容指日志记录输出时的不可变辅助解释字段,例如:输出时的固定代码字段,指根据日志输出框架所设置的固定不变的字符字段,例如:Log4j日志框架中,预先配置的输出方式、输出的目标文件地址等。
步骤303,通过所述日志内容中输出的不可变辅助解释字段进行对比,对所述固定内容进行类别划分,获取到固定内容分类集;
具体地,通过所述日志内容中输出的不可变辅助解释字段进行对比,根据所述不可变辅助解释字段的不同对所述固定内容进行类别划分,获取到固定内容分类集,根据所述目标系统中服务的不同,会对应存在不同的配置内容,例如不同服务输出到的文件地址不同,使得日志记录文件内记录的不可变辅助解释字段产生不同结果。
本实施例中,在执行所述获取到固定内容分类集的步骤之后,所述方法还包括:对不同的固定内容分类集设置不同的标识信息。
步骤304,通过对所述可变内容进行整理,获取到结构化的监测表征数据,具体地,将每条日志内容中的时间戳、服务IP通过拼接方式整理为KEY值,将每条日志内容中正常打印的目标监测数据作为VALUE值,生成键值对格式数据作为所述监测表征数据;
步骤305,获取每条日志内容对应的监测表征数据,以及识别每条日志内容所对应的固定内容分类集标识信息,完成对所述原始日志数据的预处理;
步骤306,将每条日志内容对应的监测表征数据,以及每条日志内容所对应的固定内容分类集标识信息作为所述第一结构化日志数据。
通过采用spell方法对原始日志数据进行解析,对非结构化数据进行结构化处理,便于进行结构化缓存和后续模型训练时的规范化调用。
步骤203,将所述第一结构化日志数据输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型,其中,所述异常检测模型包括输出模板检测层、上下文关系检测层和关键词分析检测层。
本实施例中,在执行所述将所述第一结构化日志数据输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型的步骤之前,所述方法还包括:根据所述原始日志数据中每条日志内容的时间戳,识别并获取所述原始日志数据中每条日志内容对应的输出时间;根据所述原始日志数据中每条日志内容对应的输出时间,对所述第一结构化日志数据进行输出排序,将排序结果作为所述第一结构化日志数据的输出顺序。
此外,所述异常检测模型还可以包括预处理层,所述预处理层用于执行步骤202和步骤205,所述预处理层为所述输出模板检测层、上下文关系检测层和关键词分析检测层的在先执行层。
继续参考图4,图4是图2所示步骤203的一个具体实施例的流程图,包括:
步骤401,根据所述第一结构化日志数据中的固定内容分类集标识信息,对所述输出模板检测层进行训练;
本实施例中,所述输出模板检测层由分类树模型构成。
继续参考图5,图5是图4所示步骤401的一个具体实施例的流程图,包括:
步骤501,基于所述第一结构化日志数据中每条日志内容所对应的固定内容分类集标识信息,确定每条日志内容所对应的固定内容分类集;
步骤502,识别每个固定内容分类集所对应的不可变辅助解释字段,根据所述不可变辅助解释字段为相同标识信息的日志内容构建日志输出模板;
步骤503,获取所构建出的所有日志输出模板,将所有日志输出模板作为分类依据一一部署到预设的第一分类树模型的分类节点处;
步骤504,构建所述第一分类树模型中各个分类节点与相应的固定内容分类集标识信息间的对应关系,完成对所述输出模板检测层的训练。
通过将所有日志输出模板作为分类依据一一部署到预设的第一分类树模型的分类节点处,构建所述第一分类树模型中各个分类节点与相应的固定内容分类集标识信息间的对应关系,完成对所述输出模板检测层的训练,使得在后续进行实时检测时,只有识别出对应日志数据的日志输出模板即可快速通过所述分类节点,完成在所述输出模板检测层的检测,更加智能化。
步骤402,根据所述第一结构化日志数据中的监测表征数据和所述第一结构化日志数据的输出顺序,对所述上下文关系检测层进行训练;
本实施例中,所述上下文关系检测层由长短期记忆网络模型构建而成。
继续参考图6,图6是图4所示步骤402的一个具体实施例的流程图,包括:
步骤601,根据所述第一结构化日志数据的输出顺序,确定所述第一结构化日志数据中所有监测表征数据的输出顺序;
步骤602,根据所述第一结构化日志数据中所有监测表征数据的输出顺序,解析出KEY值序列和VALUE值序列;
步骤603,采用滑动窗口采样方式对所述KEY值序列和VALUE值序列进行向量化处理,获得所述KEY值序列和VALUE值序列对应的向量化处理结果;
本实施例中,所述采用滑动窗口采样方式对所述KEY值序列和VALUE值序列进行向量化处理,获得所述KEY值序列和VALUE值序列对应的向量化处理结果的步骤,具体包括:预设固定的采样窗口大小和滑动步长;根据所述滑动步长,从预设的序列起始时间位置,同时向后滑动所述KEY值序列和VALUE值序列;根据所述采样窗口大小和预设的采样帧值,在所述KEY值序列和VALUE值序列向后滑动过程中,对所述KEY值序列和VALUE值序列分别进行KEY值和VALUE值采样,获取一组日志采样序列;通过改变所述序列起始时间位置,重复执行上述采样步骤,获取N组日志采样序列,其中,N为正整数;对所述N组日志采样序列进行矢量化处理,将所述N组日志采样序列分别对应的矢量化处理结果作为相应日志采样序列的特征向量,完成对所述KEY值序列和VALUE值序列的向量化处理。
通过采用滑动窗口采样方式,采集多组日志采样序列,保证了输入所述长短期记忆网络模型内特征向量的充足性,避免了因数据稀疏造成模型训练结果的片面性,使得模型训练结果更加精确,从而也提高后续预测检测结果的准确性。
步骤604,将所述KEY值序列和VALUE值序列对应的向量化处理结果按照分组依次输出到初始化的长短期记忆网络模型,对所述长短期记忆网络模型进行训练,获得所述原始日志数据的输出上下文关系,完成对所述上下文关系检测层的训练。
具体的,所述上下文关系检测层由基于LSTM(Long Short-Term Memory,长短期记忆网络)的神经网络预测模型构建而成,LSTM适合于处理和预测时间序列中间隔和延迟非常长的重要事件,考虑到LSTM网络的这种特性,因此,将其引入到日志检测中,将所述目标系统中对应的输出事件作为检测项,通过训练所述上下文关系检测层,完成对所述目标系统的输出日志间的上下文输出关系的预测,便于后续直接通过预测实时记录的日志数据的上下文输出关系识别所述目标系统是否存在执行异常。
步骤403,根据预设的异常关键词词典,对所述关键词分析检测层进行训练;
本实施例中,所述关键词分析检测层由分类树模型构成。
本实施例中,所述根据预设的异常关键词词典,对所述关键词分析检测层进行训练的步骤,具体包括:获取预设的异常关键词词典,其中,所述异常关键词指输出日志中起异常警示作用的代码字段,包括Error和Exception;将Error、Exception和无异常关键词作为节点类别,分别设置到预设的第二分类树模型的分类节点处,完成对所述关键词分析检测层的训练。
通过训练所述关键词分析检测层,实现了训练完成的异常检测模型能够从单条日志数据的模板匹配性、整体日志数据的输出序列性以及日志数据中的异常关键词三个不同的检测维度,共同对实时日志数据进行异常检测,检测更加全面化和智能化。
步骤404,当所述输出模板检测层、所述上下文关系检测层和所述关键词分析检测层都训练完成时,获得训练完成的异常检测模型。
本实施例中,所述的输出模板检测层、上下文关系检测层和关键词分析检测层可以采用分别训练的方式进行训练,也可以采用先后训练的方式进行训练,通过采用第一结构化日志数据进行训练,便于后续使用训练好的异常检测模型自动化的对所述目标系统实时获取的执行日记数据进行异常检测。
步骤204,通过接口连接方式,将所述训练完成的异常检测模型接入到所述目标系统,实时获取所述目标系统的执行日志数据。
本实施例中,通过接口连接方式,将所述训练完成的异常检测模型的输入接口作为所述目标系统日志接入接口,从而保证了获取的执行日志数据的实时性。
步骤205,对实时获取的所述目标系统的执行日志数据进行预处理,获取第二结构化日志数据。
同理,所述对实时获取的所述目标系统的执行日志数据进行预处理,获取第二结构化日志数据的步骤,具体包括:利用spell方法对实时获取的所述执行日志数据进行解析;通过解析获取每条日志内容中的可变内容和固定内容,其中,所述可变内容包括时间戳、服务IP、正常打印的目标监测数据,所述固定内容包括日志内容中输出的不可变辅助解释字段;通过所述日志内容中输出的不可变辅助解释字段进行对比,对所述固定内容进行类别划分,获取到固定内容分类集;通过对所述可变内容进行整理,获取到结构化的监测表征数据,具体地,将每条日志内容中的时间戳、服务IP通过拼接方式整理为KEY值,将每条日志内容中正常打印的目标监测数据作为VALUE值,生成键值对格式数据作为所述监测表征数据;获取每条日志内容对应的监测表征数据,以及识别每条日志内容所对应的固定内容分类集标识信息,完成对所述执行日志数据的预处理;将每条日志内容对应的监测表征数据,以及每条日志内容所对应的固定内容分类集标识信息作为所述第二结构化日志数据。
步骤206,将所述第二结构化数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据所述模型输出结果,识别所述目标系统是否存在执行异常。
本实施例中,所述将所述第二结构化日志数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据所述模型输出结果,识别所述目标系统是否存在执行异常的步骤,具体包括:将所述第二结构化日志数据传输至所述训练完成的异常检测模型内;识别出所述第二结构化日志数据中每条日志内容所对应的固定内容分类集标识信息,并根据所述输出模板检测层,识别出每条日志内容所对应的第一分类树模型的分类节点;若存在至少一条日志内容在所述第一分类树模型中无法识别出对应的分类节点,则初步确定所述目标系统出现执行异常,输出实时获取的所述目标系统的执行日志数据;若每条日志内容在所述第一分类树模型中都具备相应的分类节点,则根据所述上下文关系检测层,获取所述执行日志数据的输出上下文关系;比较所述执行日志数据的输出上下文关系是否符合所述原始日志数据的输出上下文关系;若所述执行日志数据的输出上下文关系不符合所述原始日志数据的输出上下文关系,则初步确定所述目标系统出现执行异常,输出实时获取的所述目标系统的执行日志数据;若所述执行日志数据的输出上下文关系符合所述原始日志数据的输出上下文关系,则根据所述关键词分析检测层,对所述执行日志数据进行关键词检测,获取关键词检测结果;若所述关键词检测结果中包含目标关键词,则初步确定所述目标系统出现执行异常,输出实时获取的所述目标系统的执行日志数据,其中,所述目标关键词包括Error或Exception;若所述关键词检测结果中不包含目标关键词,则所述目标系统未出现执行异常。
通过逐层检测方式,检测实时获取的所述目标系统的执行日志数据是否存在执行异常,相应的,也可以采用并行检测方式,分别使用不同检测层检测实时获取的所述目标系统的执行日志数据是否存在执行异常,逐层检测或者并行检测由目标检测端自行设置,更加人性化和智能化。
目前,随着数字医疗行业的发展,数字医疗平台涉及的区域广、数据量大、日志检测要求性较高,因此,考虑将所述日志异常检测模型应用到数字医疗平台的日志异常实时检测中,以保证及时消除隐患和排除故障,采用模型方式,降低人工排查异常的时间消耗,满足数字医疗平台在跨多业务场景下系统日志的异常检测需求。
本申请通过采集目标系统的原始日志数据;对原始日志数据进行预处理,获取第一结构化日志数据;将第一结构化日志数据按照输出顺序依次输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型,其中,所述异常检测模型包括输出模板检测层、上下文关系检测层和关键词分析检测层;通过接口连接方式,将训练完成的异常检测模型接入到目标系统,实时获取目标系统的执行日志数据;对实时获取的目标系统的执行日志数据进行预处理,获取第二结构化日志数据;将第二结构化数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据模型输出结果,识别目标系统是否存在执行异常。实现了从单条日志数据的模板匹配性、整体日志数据的输出序列性以及日志数据中的异常关键词三个不同的检测维度,共同对实时日志数据进行异常检测,检测更加全面化和智能化,考虑将所述日志异常检测模型应用到数字医疗平台的日志异常实时检测中,以保证及时消除隐患和排除故障,采用模型方式,降低人工排查异常的时间消耗,满足数字医疗平台在跨多业务场景下系统日志的异常检测需求。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
本申请实施例中,通过训练输出模板检测层、上下文关系检测层和关键词分析检测层,实现了从单条日志数据的模板匹配性、整体日志数据的输出序列性以及日志数据中的异常关键词三个不同的检测维度,共同对实时日志数据进行异常检测,检测更加全面化和智能化。
进一步参考图7,作为对上述图2所示方法的实现,本申请提供了一种实时日志异常检测装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图7所示,本实施例所述的实时日志异常检测装置700包括:训练数据采集模块701、结构化处理模块702、异常检测模型训练模块703、异常检测模型接入模块704和异常检测模型检测模块705。其中:
训练数据采集模块701,用于采集目标系统的原始日志数据,其中,所述原始日志数据为无异常输出的日志数据;
结构化处理模块702,用于对所述原始日志数据进行预处理,获取第一结构化日志数据,还用于对实时获取的所述目标系统的执行日志数据进行预处理,获取第二结构化日志数据;
异常检测模型训练模块703,用于将所述第一结构化日志数据输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型,其中,所述异常检测模型包括输出模板检测层、上下文关系检测层和关键词分析检测层;
异常检测模型接入模块704,用于通过接口连接方式,将所述训练完成的异常检测模型接入到所述目标系统,实时获取所述目标系统的执行日志数据;
异常检测模型检测模块705,用于将所述第二结构化数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据所述模型输出结果,识别所述目标系统是否存在执行异常。
本申请通过采集目标系统的原始日志数据;对原始日志数据进行预处理,获取第一结构化日志数据;将第一结构化日志数据按照输出顺序依次输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型,其中,所述异常检测模型包括输出模板检测层、上下文关系检测层和关键词分析检测层;通过接口连接方式,将训练完成的异常检测模型接入到目标系统,实时获取目标系统的执行日志数据;对实时获取的目标系统的执行日志数据进行预处理,获取第二结构化日志数据;将第二结构化数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据模型输出结果,识别目标系统是否存在执行异常。实现了从单条日志数据的模板匹配性、整体日志数据的输出序列性以及日志数据中的异常关键词三个不同的检测维度,共同对实时日志数据进行异常检测,检测更加全面化和智能化,考虑将所述日志异常检测模型应用到数字医疗平台的日志异常实时检测中,以保证及时消除隐患和排除故障,采用模型方式,降低人工排查异常的时间消耗,满足数字医疗平台在跨多业务场景下系统日志的异常检测需求。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机可读指令来指令相关的硬件来完成,该计算机可读指令可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图8,图8为本实施例计算机设备基本结构框图。
所述计算机设备8包括通过系统总线相互通信连接存储器8a、处理器8b、网络接口8c。需要指出的是,图中仅示出了具有组件8a-8c的计算机设备8,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable GateArray,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器8a至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器8a可以是所述计算机设备8的内部存储单元,例如该计算机设备8的硬盘或内存。在另一些实施例中,所述存储器8a也可以是所述计算机设备8的外部存储设备,例如该计算机设备8上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。当然,所述存储器8a还可以既包括所述计算机设备8的内部存储单元也包括其外部存储设备。本实施例中,所述存储器8a通常用于存储安装于所述计算机设备8的操作系统和各类应用软件,例如实时日志异常检测方法的计算机可读指令等。此外,所述存储器8a还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器8b在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器8b通常用于控制所述计算机设备8的总体操作。本实施例中,所述处理器8b用于运行所述存储器8a中存储的计算机可读指令或者处理数据,例如运行所述实时日志异常检测方法的计算机可读指令。
所述网络接口8c可包括无线网络接口或有线网络接口,该网络接口8c通常用于在所述计算机设备8与其他电子设备之间建立通信连接。
本实施例提出的计算机设备,属于人工智能及数字医疗技术领域,应用于数字医疗业务系统的执行异常检测过程中。本申请通过采集目标系统的原始日志数据;对原始日志数据进行预处理,获取第一结构化日志数据;将第一结构化日志数据按照输出顺序依次输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型,其中,所述异常检测模型包括输出模板检测层、上下文关系检测层和关键词分析检测层;通过接口连接方式,将训练完成的异常检测模型接入到目标系统,实时获取目标系统的执行日志数据;对实时获取的目标系统的执行日志数据进行预处理,获取第二结构化日志数据;将第二结构化数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据模型输出结果,识别目标系统是否存在执行异常。实现了从单条日志数据的模板匹配性、整体日志数据的输出序列性以及日志数据中的异常关键词三个不同的检测维度,共同对实时日志数据进行异常检测,检测更加全面化和智能化,考虑将所述日志异常检测模型应用到数字医疗平台的日志异常实时检测中,以保证及时消除隐患和排除故障,采用模型方式,降低人工排查异常的时间消耗,满足数字医疗平台在跨多业务场景下系统日志的异常检测需求。
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可读指令,所述计算机可读指令可被处理器执行,以使所述处理器执行如上述的实时日志异常检测方法的步骤。
本实施例提出的计算机可读存储介质,属于人工智能及数字医疗技术领域,应用于数字医疗业务系统的执行异常检测过程中。本申请通过采集目标系统的原始日志数据;对原始日志数据进行预处理,获取第一结构化日志数据;将第一结构化日志数据按照输出顺序依次输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型,其中,所述异常检测模型包括输出模板检测层、上下文关系检测层和关键词分析检测层;通过接口连接方式,将训练完成的异常检测模型接入到目标系统,实时获取目标系统的执行日志数据;对实时获取的目标系统的执行日志数据进行预处理,获取第二结构化日志数据;将第二结构化数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据模型输出结果,识别目标系统是否存在执行异常。实现了从单条日志数据的模板匹配性、整体日志数据的输出序列性以及日志数据中的异常关键词三个不同的检测维度,共同对实时日志数据进行异常检测,检测更加全面化和智能化,考虑将所述日志异常检测模型应用到数字医疗平台的日志异常实时检测中,以保证及时消除隐患和排除故障,采用模型方式,降低人工排查异常的时间消耗,满足数字医疗平台在跨多业务场景下系统日志的异常检测需求。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。

Claims (10)

1.一种实时日志异常检测方法,其特征在于,包括下述步骤:
采集目标系统的原始日志数据,其中,所述原始日志数据为无异常输出的日志数据;
对所述原始日志数据进行预处理,获取第一结构化日志数据;
将所述第一结构化日志数据输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型,其中,所述异常检测模型包括输出模板检测层、上下文关系检测层和关键词分析检测层;
通过接口连接方式,将所述训练完成的异常检测模型接入到所述目标系统,实时获取所述目标系统的执行日志数据;
对实时获取的所述目标系统的执行日志数据进行预处理,获取第二结构化日志数据;
将所述第二结构化数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据所述模型输出结果,识别所述目标系统是否存在执行异常。
2.根据权利要求1所述的实时日志异常检测方法,其特征在于,所述对所述原始日志数据进行预处理,获取第一结构化日志数据的步骤,具体包括:
利用预设的日志解析方法对所述原始日志数据进行解析,其中,所述预设的日志解析方法为spell方法;
通过解析获取每条日志内容中的可变内容和固定内容,其中,所述可变内容包括时间戳、服务IP、正常打印的目标监测数据,所述固定内容包括日志内容中输出的不可变辅助解释字段;
通过所述日志内容中输出的不可变辅助解释字段进行对比,对所述固定内容进行类别划分,获取到固定内容分类集;
通过对所述可变内容进行整理,获取到结构化的监测表征数据,具体地,将每条日志内容中的时间戳、服务IP通过拼接方式整理为KEY值,将每条日志内容中正常打印的目标监测数据作为VALUE值,生成键值对格式数据作为所述监测表征数据;
获取每条日志内容对应的监测表征数据,以及识别每条日志内容所对应的固定内容分类集标识信息,完成对所述原始日志数据的预处理;
将每条日志内容对应的监测表征数据,以及每条日志内容所对应的固定内容分类集标识信息作为所述第一结构化日志数据。
3.根据权利要求1或2所述的实时日志异常检测方法,其特征在于,在执行所述将所述第一结构化日志数据输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型的步骤之前,所述方法还包括:
根据所述原始日志数据中每条日志内容的时间戳,识别并获取所述原始日志数据中每条日志内容对应的输出时间;
根据所述原始日志数据中每条日志内容对应的输出时间,对所述第一结构化日志数据进行输出排序,将排序结果作为所述第一结构化日志数据的输出顺序;
所述将所述第一结构化日志数据输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型的步骤,具体包括:
根据所述第一结构化日志数据中的固定内容分类集标识信息,对所述输出模板检测层进行训练;
根据所述第一结构化日志数据中的监测表征数据和所述第一结构化日志数据的输出顺序,对所述上下文关系检测层进行训练;
根据预设的异常关键词词典,对所述关键词分析检测层进行训练;
当所述输出模板检测层、所述上下文关系检测层和所述关键词分析检测层都训练完成时,获得训练完成的异常检测模型。
4.根据权利要求3所述的实时日志异常检测方法,其特征在于,所述输出模板检测层由分类树模型构成,所述根据所述第一结构化日志数据中的固定内容分类集标识信息,对所述输出模板检测层进行训练的步骤,具体包括:
基于所述第一结构化日志数据中每条日志内容所对应的固定内容分类集标识信息,确定每条日志内容所对应的固定内容分类集;
识别每个固定内容分类集所对应的不可变辅助解释字段,根据所述不可变辅助解释字段为相同标识信息的日志内容构建日志输出模板;
获取所构建出的所有日志输出模板,将所有日志输出模板作为分类依据一一部署到预设的第一分类树模型的分类节点处;
构建所述第一分类树模型中各个分类节点与相应的固定内容分类集标识信息间的对应关系,完成对所述输出模板检测层的训练。
5.根据权利要求3所述的实时日志异常检测方法,其特征在于,所述上下文关系检测层由长短期记忆网络模型构建而成,所述根据所述第一结构化日志数据中的监测表征数据和所述第一结构化日志数据的输出顺序,对所述上下文关系检测层进行训练的步骤,具体包括:
根据所述第一结构化日志数据的输出顺序,确定所述第一结构化日志数据中所有监测表征数据的输出顺序;
根据所述第一结构化日志数据中所有监测表征数据的输出顺序,解析出KEY值序列和VALUE值序列;
采用滑动窗口采样方式对所述KEY值序列和VALUE值序列进行向量化处理,获得所述KEY值序列和VALUE值序列对应的向量化处理结果;
将所述KEY值序列和VALUE值序列对应的向量化处理结果按照分组依次输出到初始化的长短期记忆网络模型,对所述长短期记忆网络模型进行训练,获得所述原始日志数据的输出上下文关系,完成对所述上下文关系检测层的训练。
6.根据权利要求3所述的实时日志异常检测方法,其特征在于,所述关键词分析检测层由分类树模型构成,所述根据预设的异常关键词词典,对所述关键词分析检测层进行训练的步骤,具体包括:
获取预设的异常关键词词典,其中,所述异常关键词指输出日志中起异常警示作用的代码字段,包括Error和Exception;
将Error、Exception和无异常关键词作为节点类别,分别设置到预设的第二分类树模型的分类节点处,完成对所述关键词分析检测层的训练。
7.根据权利要求1所述的实时日志异常检测方法,其特征在于,所述将所述第二结构化日志数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据所述模型输出结果,识别所述目标系统是否存在执行异常的步骤,具体包括:
将所述第二结构化日志数据传输至所述训练完成的异常检测模型内;
识别出所述第二结构化日志数据中每条日志内容所对应的固定内容分类集标识信息,并根据所述输出模板检测层,识别出每条日志内容所对应的第一分类树模型的分类节点;
若存在至少一条日志内容在所述第一分类树模型中无法识别出对应的分类节点,则初步确定所述目标系统出现执行异常,输出实时获取的所述目标系统的执行日志数据;
若每条日志内容在所述第一分类树模型中都具备相应的分类节点,则根据所述上下文关系检测层,获取所述执行日志数据的输出上下文关系;
比较所述执行日志数据的输出上下文关系是否符合所述原始日志数据的输出上下文关系;
若所述执行日志数据的输出上下文关系不符合所述原始日志数据的输出上下文关系,则初步确定所述目标系统出现执行异常,输出实时获取的所述目标系统的执行日志数据;
若所述执行日志数据的输出上下文关系符合所述原始日志数据的输出上下文关系,则根据所述关键词分析检测层,对所述执行日志数据进行关键词检测,获取关键词检测结果;
若所述关键词检测结果中包含目标关键词,则初步确定所述目标系统出现执行异常,输出实时获取的所述目标系统的执行日志数据,其中,所述目标关键词包括Error或Exception;
若所述关键词检测结果中不包含目标关键词,则所述目标系统未出现执行异常。
8.一种实时日志异常检测装置,其特征在于,包括:
训练数据采集模块,用于采集目标系统的原始日志数据,其中,所述原始日志数据为无异常输出的日志数据;
结构化处理模块,用于对所述原始日志数据进行预处理,获取第一结构化日志数据,还用于对实时获取的所述目标系统的执行日志数据进行预处理,获取第二结构化日志数据;
异常检测模型训练模块,用于将所述第一结构化日志数据输入预构建的异常检测模型,进行异常检测模型训练,获得训练完成的异常检测模型,其中,所述异常检测模型包括输出模板检测层、上下文关系检测层和关键词分析检测层;
异常检测模型接入模块,用于通过接口连接方式,将所述训练完成的异常检测模型接入到所述目标系统,实时获取所述目标系统的执行日志数据;
异常检测模型检测模块,用于将所述第二结构化数据传输至所述训练完成的异常检测模型内进行异常检测,获取模型输出结果,根据所述模型输出结果,识别所述目标系统是否存在执行异常。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现如权利要求1至7中任一项所述的实时日志异常检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如权利要求1至7中任一项所述的实时日志异常检测方法的步骤。
CN202310779198.7A 2023-06-28 2023-06-28 一种实时日志异常检测方法、装置、设备及其存储介质 Pending CN116841846A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310779198.7A CN116841846A (zh) 2023-06-28 2023-06-28 一种实时日志异常检测方法、装置、设备及其存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310779198.7A CN116841846A (zh) 2023-06-28 2023-06-28 一种实时日志异常检测方法、装置、设备及其存储介质

Publications (1)

Publication Number Publication Date
CN116841846A true CN116841846A (zh) 2023-10-03

Family

ID=88161024

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310779198.7A Pending CN116841846A (zh) 2023-06-28 2023-06-28 一种实时日志异常检测方法、装置、设备及其存储介质

Country Status (1)

Country Link
CN (1) CN116841846A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117215902A (zh) * 2023-11-09 2023-12-12 北京集度科技有限公司 日志解析方法、装置、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117215902A (zh) * 2023-11-09 2023-12-12 北京集度科技有限公司 日志解析方法、装置、设备及存储介质
CN117215902B (zh) * 2023-11-09 2024-03-08 北京集度科技有限公司 日志解析方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN116841846A (zh) 一种实时日志异常检测方法、装置、设备及其存储介质
CN116453125A (zh) 基于人工智能的数据录入方法、装置、设备及存储介质
CN115757075A (zh) 任务异常检测方法、装置、计算机设备及存储介质
CN114385694A (zh) 一种数据加工处理方法、装置、计算机设备及存储介质
CN117234505A (zh) 一种交互页面生成方法、装置、设备及其存储介质
CN117275466A (zh) 一种业务意图识别方法、装置、设备及其存储介质
CN115242684B (zh) 全链路压测方法、装置、计算机设备及存储介质
CN116934283A (zh) 一种员工权限配置方法、装置、设备及其存储介质
CN116703466A (zh) 基于改进灰狼算法的系统访问量预测方法及其相关设备
CN116680401A (zh) 文档处理方法、文档处理装置、设备及存储介质
CN116450943A (zh) 基于人工智能的话术推荐方法、装置、设备及存储介质
CN116340864B (zh) 一种模型漂移检测方法、装置、设备及其存储介质
CN116662160B (zh) 基于代价敏感宽度学习的软件缺陷预测方法及处理装置
CN115238805B (zh) 异常数据识别模型的训练方法及相关设备
CN116467166A (zh) 一种缺陷信息处理方法、装置、设备及其存储介质
CN116665646A (zh) 方言数据自动筛选识别方法、装置、设备及其存储介质
CN117112415A (zh) 基于eda模型的业务流程监测方法及其相关设备
CN117421312A (zh) 一种数据处理方法、装置、计算机设备及存储介质
CN117493563A (zh) 一种会话意图分析方法、装置、设备及其存储介质
CN117217369A (zh) 一种服务项目预测方法、装置、计算机设备及其存储介质
CN117391782A (zh) 一种广告投放方法、装置、设备及其存储介质
CN117453536A (zh) 系统异常分析方法、装置、计算机设备及存储介质
CN117421207A (zh) 智能评估影响点测试方法、装置、计算机设备及存储介质
CN117609013A (zh) 基于模糊加权宽度学习的软件缺陷预测方法及装置
CN116822454A (zh) 公式配置方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination