CN117290306A - 一种日志数据的展示方法、装置、设备及存储介质 - Google Patents
一种日志数据的展示方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117290306A CN117290306A CN202311312407.3A CN202311312407A CN117290306A CN 117290306 A CN117290306 A CN 117290306A CN 202311312407 A CN202311312407 A CN 202311312407A CN 117290306 A CN117290306 A CN 117290306A
- Authority
- CN
- China
- Prior art keywords
- target
- log
- sensitivity
- log data
- field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000035945 sensitivity Effects 0.000 claims abstract description 123
- 238000004590 computer program Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 10
- 238000012216 screening Methods 0.000 claims description 7
- 230000011218 segmentation Effects 0.000 claims description 7
- 238000001914 filtration Methods 0.000 abstract description 8
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000013507 mapping Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012163 sequencing technique Methods 0.000 description 3
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000009960 carding Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000000586 desensitisation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/156—Query results presentation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/144—Query formulation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Library & Information Science (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及计算机技术领域,公开了一种日志数据的展示方法、装置、设备及存储介质。该方法包括:获取原始日志,获取目标灵敏度,并根据目标灵敏度,获取原始日志对应的目标主关键字段和目标次关键字段;根据目标主关键字段和目标次关键字段,将各原始日志数据行进行跨行比对,并根据跨行比对结果,将原始日志进行折叠展示。本实施例的技术方案,通过在原始日志中选取关键字段,并基于关键字段进行逐行的日志内容比对,进而将重复的日志数据行进行折叠,可以避免复杂过滤规则的设置,可以在保留日志展现顺序的情况下,实现对重复噪声日志数据的智能去重。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种日志数据的展示方法、装置、设备及存储介质。
背景技术
日志数据用于记录设备运行的详细过程,具有数据量大、重复性高、无效噪声数据多的特点。如何从日志数据中快速有效的提炼关键信息,同时保持内容的过程连续性,是行业通用难题。
目前,现有的日志数据的展示方法,通常采用关键字过滤、模式聚类或者特定逻辑梳理的方式来提炼和展示日志数据的关键信息;其中,针对关键字过滤方法,只能显示命中关键字的日志内容,其他内容需要通过上下文关联技术才能展现,命中关键字会导致其他内容不展现,而上下文关联又会导致重复内容无法合并问题;针对模式聚类方法,可以聚合、压降重复性日志内容,但因为聚合压缩,会导致日志的顺序关系丢失;针对特定逻辑梳理方法,需要收集大量日志样本,并按照业务运行逻辑,配置过滤规则、压缩规则和展现样式,逻辑很难复用,导致无法大规模批量推广。
发明内容
本发明提供了一种日志数据的展示方法、装置、设备及存储介质,可以避免复杂过滤规则的设置,可以在保留日志展现顺序的情况下,实现对重复噪声日志数据的智能去重。
根据本发明的一方面,提供了一种日志数据的展示方法,包括:
获取原始日志,所述原始日志包括多个原始日志数据行;
获取目标灵敏度,并根据所述目标灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段;
根据所述目标主关键字段和所述目标次关键字段,将各所述原始日志数据行进行跨行比对,并根据跨行比对结果,将所述原始日志进行折叠展示。
根据本发明的另一方面,提供了一种日志数据的展示装置,包括:
原始日志获取模块,用于获取原始日志,所述原始日志包括多个原始日志数据行;
关键字段获取模块,用于获取目标灵敏度,并根据所述目标灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段;
日志折叠展示模块,用于根据所述目标主关键字段和所述目标次关键字段,将各所述原始日志数据行进行跨行比对,并根据跨行比对结果,将所述原始日志进行折叠展示。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的日志数据的展示方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的日志数据的展示方法。
本发明实施例的技术方案,通过获取包括多个原始日志数据行的原始日志;然后,获取目标灵敏度,并根据目标灵敏度,获取原始日志对应的目标主关键字段和目标次关键字段;最后,根据目标主关键字段和目标次关键字段,将各原始日志数据行进行跨行比对,并根据跨行比对结果,将原始日志进行折叠展示;通过在原始日志中选取关键字段,并基于关键字段进行逐行的日志内容比对,进而将重复的日志数据行进行折叠,可以避免复杂过滤规则的设置,可以在保留日志展现顺序的情况下,实现对重复噪声日志数据的智能去重。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1A是根据本发明实施例一提供的一种日志数据的展示方法的流程图;
图1B是根据本发明实施例一提供的操作系统日志混合业务交易日志的示意图;
图1C是根据本发明实施例一提供的原始日志示意图;
图1D是根据本发明实施例一提供的日志数据示意图;
图1E是根据本发明实施例一提供的另一种日志数据的展示方法的流程图;
图2是根据本发明实施例二提供的一种日志数据的展示装置的结构示意图;
图3是实现本发明实施例的日志数据的展示方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“目标”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1A为本发明实施例一提供了一种日志数据的展示方法的流程图,本实施例可适用于对日志数据进行去重展示的情况,该方法可以由日志数据的展示装置来执行,该日志数据的展示装置可以采用硬件和/或软件的形式实现,典型的,该日志数据的展示装置可配置于电子设备中,例如,计算机或者服务器等。如图1A所示,该方法包括:
S110、获取原始日志,所述原始日志包括多个原始日志数据行。
在本实施例中,可以通过预部署的日志采集工具(例如,Logstash、Filebeat、Fluentd、Logagent等),从不同日志源采集日志数据,并可以基于预设的日志生成规则,从每条日志数据中提取预设的数据项和对应的数据值,以组成原始日志数据行;最后,由各原始日志数据行组成原始日志。
典型的,原始日志可以是单一Linux操作系统来源的日志,例如,如图1B所示,可以是操作系统日志混合业务交易日志;其次,各原始日志数据行可以为非关系型数据表、非表列值,例如,原始日志可以如图1C所示。
其中,日志源可以包括业务系统类、网络设备类、安全设备类和其他互联网对象类;对应的,各原始日志数据行可以为业务日志、设备访问日志或者网络安全日志等类型;例如,业务日志,可以是运营商或者银行业中不同业务系统的运行日志。在本实施例中,对于各原始日志数据行的数据内容不作具体限定。
S120、获取目标灵敏度,并根据所述目标灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段。
其中,灵敏度,可以是用于调整关键字组合与选择数量的参数值,可以包括高灵敏度、中灵敏度和低灵敏度;典型的,灵敏度越高,关键字段的数量越少;灵敏度越低,关键字段的数量越多。在本实施例中,用户可以通过滑杆组件,采用滑动滑杆的方式选择当前需要使用的灵敏度,以作为目标灵敏度;或者可以根据平台提供的默认值,确定目标灵敏度。
具体的,可以通过一次灵敏度设置,同时为主关键字段和次关键字段配置相同的目标灵敏度;或者,也可以通过两次设置,针对主关键字段和次关键字段,分别设置对应的第一灵敏度和第二灵敏度。其中,主关键字段,可以是原始日志数据行对应的属性信息中的数据项;次关键字段,可以是原始日志数据行内容数据中的数据项。在本实施例中,可以通过主关键字段和次关键字段,判断两个日志数据行是否重复。
需要说明的是,同一灵敏度,对于主关键字段和次关键字段,其对应的字段数量可以是相同的,也可以是不同的;例如,对于高灵敏度,主关键字段和次关键字段对应的字段数量可以均是1;而对于中灵敏度,主关键字段和次关键字段对应的字段数量可以分别是2和3;而对于低灵敏度,主关键字段和次关键字段对应的字段数量可以分别是3和5。
具体的,在获取到目标灵敏度之后,可以根据该目标灵敏度,以及预设的灵敏度和主关键字段标识的映射关系,确定该目标灵敏度对应的目标主关键字段。进一步的,对每个原始日志数据行进行分词处理,以将每个原始日志数据行扩展成一系列单词字段。在确定目标主关键字段后,可以基于每个原始日志数据行对应的属性信息,获取每个原始日志数据行对应的目标主关键字段匹配的字段值。
然后,将目标主关键字段匹配的字段值相同的原始日志数据行添加到一个集合,并在各集合中,针对每个原始日志数据行对应的各单词字段进行聚类排名,以获取每个单词字段对应的重复次数。之后,可以按照重复次数从高到低的顺序,获取单词字段的排名。最后,可以根据预设的灵敏度和字段数量之间的映射关系,获取目标灵敏度对应的次关键字段数量,并可以按照该次关键字段数量,按照排名从高到低,依次筛选得到相应数量的单词字段,以作为目标次关键字段。
S130、根据所述目标主关键字段和所述目标次关键字段,将各所述原始日志数据行进行跨行比对,并根据跨行比对结果,将所述原始日志进行折叠展示。
在本实施例中,在确定目标主关键字段和目标次关键字段之后,可以获取每个原始日志数据行对应的目标主关键字段和目标次关键字段分别匹配的字段值;之后,可以将每条原始日志数据行对应的各字段匹配的字段值,与前一条原始日志数据行对应的各字段匹配的字段值,进行逐字段的字段值比较;若检测到当前原始日志数据行对应的各字段匹配的字段值,与前一条原始日志数据行对应的各字段匹配的字段值均分别相同,则确定当前原始日志数据行与前一条原始日志数据行重复,可以将当前原始日志数据行折叠在前一条原始日志数据行下,不进行展示。而若确定不重复,则可以将当前原始日志数据行进行页面展示。由此,针对原始日志的每一条原始日志数据行进行循环的跨行比对,直到最后一条原始日志数据行,以完成对原始日志的折叠展示,从而实现对日志原文的重复内容降噪展现的效果。
可以理解的是,在当前原始日志数据行被折叠展示时,若后一条原始日志数据行仍被确定为与当前原始日志数据行重复,则将后一条原始日志数据行与当前原始日志数据行,同时折叠在前一条原始日志数据行下。
具体的,在获取每个原始日志数据行对应的目标次关键字段匹配的字段值时,可以基于每个原始日志数据行对应的各单词字段,提取得到目标次关键字段匹配的字段值。
本发明实施例的技术方案,通过获取包括多个原始日志数据行的原始日志;然后,获取目标灵敏度,并根据目标灵敏度,获取原始日志对应的目标主关键字段和目标次关键字段;最后,根据目标主关键字段和目标次关键字段,将各原始日志数据行进行跨行比对,并根据跨行比对结果,将原始日志进行折叠展示;通过在原始日志中选取关键字段,并基于关键字段进行逐行的日志内容比对,进而将重复的日志数据行进行折叠,可以避免复杂过滤规则的设置,可以在保留日志展现顺序的情况下,实现对重复噪声日志数据的智能去重。
在本实施例的一个可选的实施方式中,获取目标灵敏度,可以包括:
根据主关键字段的灵敏度选择操作,获取第一灵敏度,并根据次关键字段的灵敏度选择操作,获取第二灵敏度;
将所述第一灵敏度和所述第二灵敏度,作为目标灵敏度;
在一个具体的例子中,用户可以通过滑动滑杆的方式,针对主关键字段和次关键字段,分别设置对应的第一灵敏度和第二灵敏度,进而由第一灵敏度和第二灵敏度组成目标灵敏度;其中,第一灵敏度和第二灵敏度,可以相同,也可以不同;例如,第一灵敏度和第二灵敏度可以均是高灵敏度,或者第一灵敏度可以是高灵敏度,而第二灵敏度为中灵敏度。
对应的,根据所述目标灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段,可以包括:
根据所述第一灵敏度和所述第二灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段。
具体的,在确定第一灵敏度和第二灵敏度之后,可以根据预设的第一灵敏度与字段数量之间的映射关系,以及第二灵敏度与字段数量之间的映射关系,确定第一灵敏度对应的第一字段数量,以及第二灵敏度对应的第二字段数量,进而可以在原始日志中,提取得到第一字段数量的目标主关键字段,以及第二字段数量的目标次关键字段。
在本实施例的另一个可选的实施方式中,根据所述第一灵敏度和所述第二灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段,可以包括:
将各所述原始日志数据行进行分词处理,获取各所述原始日志数据行对应的多个单词字段;
根据所述第一灵敏度,以及各预设关键字段对应的预设优先级,在各预设关键字段中获取至少一个目标主关键字段;
基于各所述目标主关键字段,在所述原始日志中筛选得到至少一个目标日志,所述目标日志包括多个目标日志数据行;
在各所述目标日志中,将各所述目标日志数据行对应的各单词字段进行聚类排名,以获取各所述目标日志对应的聚类排名结果;
根据所述第二灵敏度和各所述目标日志对应的聚类排名结果,获取目标次关键字段。
其中,预设关键字段,可以是主关键字段的可选字段,可以包括日志来源字段、主机互联网协议地址字段和/或日志用途字段。
在一个具体的例子中,在获取目标主关键字段和目标次关键字段时,首先,对采集得到的原始日志,可以利用日志管理系统的分词功能,在包括日志原文的基础上,将每条原始日志数据行扩展成一系列单词字段;之后,默认日志来源字段(source)、主机互联网协议地址字段(IP)和日志用途(tag)字段,作为预设关键字段,并预先设置各字段对应的优先级,例如,日志来源字段优先级最高,主机互联网协议地址字段和日志用途字段优先级次之。在本实施例中,针对分词方法可以不作具体限定。
然后,获取第一灵敏度对应的第一字段数量,并按照预设优先级,筛选得到第一灵敏度对应的目标主关键字段;例如,第一灵敏度为高灵敏度,对应的第一字段数量为1,则选取优先级最高的source字段作为目标主关键字段;或者,第一灵敏度为低灵敏度,对应的第一字段数量为3,则选择source、IP和tag三个字段作为目标主关键字段。需要说明的是,当第一灵敏度为中灵敏度时,对应的第一字段数量为2,在选择优先级最高的source字段的基础上,可以在IP和tag两个字段中任意选择一个,以最终组成目标主关键字段。
具体的,在获取到目标主关键字段之后,获取每个原始日志数据行对应的目标主关键字段匹配的字段值,并提取字段值相同的数据行以作为目标日志数据行,从而组成各目标日志;其中,目标日志数据行,可以是具有相同的目标主关键字段匹配的字段值的原始日志数据行。
之后,在每个目标日志中,针对每个目标日志数据行分词出来的各单词字段进行聚类排名;即统计各单词字段在所有目标日志数据行中重复出现的次数,并按照次数从大到小的顺序,对各单词字段进行排序,以获取单词字段排序结果。最后,根据第二灵敏度对应的第二字段数量,按照排序从高到低,筛选得到相应数量的目标次关键字段。例如,第二灵敏度为高灵敏度,对应的第二字段数量为1,则选择排序最高的单词字段作为目标次关键字段;或者,第二灵敏度为中灵敏度,对应的第二字段数量为3,则选择排序前3的单词字段作为目标次关键字段;或者,第二灵敏度为低灵敏度,对应的第二字段数量为5,则选择排序前5的单词字段作为目标次关键字段。
可选的,在获取到每个目标日志对应的目标次关键字段后,可以将所有的目标次关键字段共同作为最终的目标次关键字段;或者,可以在对所有目标次关键字段进行去重处理后,获取最终的目标次关键字段。
在本实施例中,针对每一个原始日志数据行,可以采用列式存储技术,将原始日志内容存储在raw_message字段,并可以将用于相似度判断的关键字段,存储在其它字段列表中,例如,level、process等。
在本实施例的另一个可选的实施方式中,基于各所述目标主关键字段,在所述原始日志中筛选得到至少一个目标日志,可以包括:
获取各所述原始日志数据行对应的属性信息,并根据各所述原始日志数据行对应的属性信息,获取各所述原始日志数据行对应的各所述目标主关键字段匹配的字段值;
将各所述目标主关键字段匹配的字段值均相同的原始日志数据行,确定为目标日志数据行,并基于各所述目标日志数据行生成目标日志。
其中,目标日志,可以是具有相同的目标主关键字段匹配的字段值的原始日志数据行的集合。
具体的,在根据目标主关键字段确定目标日志时,可以首先获取每个原始日志数据行的属性信息,例如,日志用途、应用名称、来源等信息。之后,可以在属性信息中,提取得到每个目标主关键字段匹配的字段值,并将每个原始日志数据行对应的各目标主关键字段匹配的字段值进行内容比较;若检测到两个原始日志数据行对应的各目标主关键字段匹配的字段值均分别相同,则可以将两个原始日志数据行确定为目标日志数据行,进而组成目标日志。由此,在完成对所有原始日志数据行的检测后,可以将原始日志划分成多个目标日志。其中,属性信息,可以在日志采集时获取。
在本实施例的另一个可选的实施方式中,在各所述目标日志中,将各所述目标日志数据行对应的各单词字段进行聚类排名,以获取各所述目标日志对应的聚类排名结果,可以包括:
在各所述目标日志中,将各所述目标日志数据行对应的各单词字段中的时间字段进行排除,以获取各所述目标日志数据行对应的各更新单词字段;
将各所述目标日志数据行对应的各更新单词字段进行聚类排名,以获取各所述目标日志对应的聚类排名结果。
其中,更新单词字段,可以是排除了时间字段后的每个目标日志数据行对应的单词字段。
需要说明的是,当时间字段被选定为目标次关键字段时,不同时间获取的相同内容的日志数据行,将无法被认定为重复日志,从而会干扰最终的日志折叠效果。由此,在本实施例中,在对每个目标日志数据行对应的各单词字段进行聚类排名时,可以先在各单词字段中排除时间字段,以获取每个目标日志数据行对应的各更新单词字段;然后,再将每个目标日志数据行对应的各更新单词字段进行聚类排名,从而消除日志获取时间对日志内容是否重复的判断结果的干扰。
在一个具体的例子中,一条日志数据可以如图1D所示,其中,timestamp为时间字段,在进行单词字段的聚类排名时需要去除,以实现时间去敏感化;而tag、appname、ip和source字段,可以是主关键字段,为根据属性信息添加的标注内容;而process、level等字段,为日志管理系统分词的内容;最后,可以对该日志数据进行内容提取,并将提取内容组成日志数据行,并通过搜索页面对该日志数据行进行展示。
在本实施例的另一个可选的实施方式中,根据所述第二灵敏度和各所述目标日志对应的聚类排名结果,获取目标次关键字段,可以包括:
根据所述第二灵敏度和各所述目标日志对应的聚类排名结果,获取各所述目标日志对应的各初始次关键字段;
获取各所述目标日志对应的各初始次关键字段的并集,以作为目标次关键字段。
具体的,在确定最终的目标次关键字段时,可以首先根据第二灵敏度和每个目标日志对应的单词字段排序结果,在每个目标日志中筛选得到重复次数较高的几个单词字段,以作为初始次关键字段;然后,可以将每个目标日志对应的各初始次关键字段进行取并集处理,以去除重复的初始次关键字段,并将最后获取的初始次关键字段的并集作为目标次关键字段。
在本实施例的一个具体的实施方式中,日志数据的展示方法的流程可以如图1E所示。首先,从不同日志源,例如,业务系统、网络设备、安全设备等进行日志采集,并对采集的日志数据进行预处理(例如,字段提取、组成日志数据行等),以获取由各原始日志数据行组成的原始日志;然后,由用户点击选择,是执行传统日志分析展现,还是日志折叠展现;当用户选择日志折叠展现时,通过本发明实施例的技术方案,对该原始日志进行折叠展示;而当用户选择传统分析展现时,可以直接对该原始日志进行展示,或者调用现有技术对该原始日志进行展示。
本发明实施例的技术方案,使得用户可以快速分析日志的关键内容,自动化提取出每一个日志行中的单词字段,并可以在查询范围内,自动化筛选出范围内的相同字段值列表,由字段列表来判定日志行之间是否为重复、噪声数据,解决了传统日志分析方法中,日志发生时间、大量低价值字符对日志原文的关键特征影响。其次,无须前置操作和处理,即可自动化筛选出表示日志行之间的相识度的字段列表;无须改变用户的使用习惯,在保留日志展现顺序的情况下,压缩掉重复的日志内容,展现关键的日志行;不改变对日志的展现样式,日志是否展现、折叠由字段列表来自动化决策,但日志数据的展现,依然保留日志原文。
实施例二
图2为本发明实施例二提供的一种日志数据的展示装置的结构示意图。如图2所示,该装置包括:原始日志获取模块210、关键字段获取模块220和日志折叠展示模块230;其中,
原始日志获取模块210,用于获取原始日志,所述原始日志包括多个原始日志数据行;
关键字段获取模块220,用于获取目标灵敏度,并根据所述目标灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段;
日志折叠展示模块230,用于根据所述目标主关键字段和所述目标次关键字段,将各所述原始日志数据行进行跨行比对,并根据跨行比对结果,将所述原始日志进行折叠展示。
本发明实施例的技术方案,通过获取包括多个原始日志数据行的原始日志;然后,获取目标灵敏度,并根据目标灵敏度,获取原始日志对应的目标主关键字段和目标次关键字段;最后,根据目标主关键字段和目标次关键字段,将各原始日志数据行进行跨行比对,并根据跨行比对结果,将原始日志进行折叠展示;通过在原始日志中选取关键字段,并基于关键字段进行逐行的日志内容比对,进而将重复的日志数据行进行折叠,可以避免复杂过滤规则的设置,可以在保留日志展现顺序的情况下,实现对重复噪声日志数据的智能去重。
可选的,关键字段获取模块220,具体用于根据主关键字段的灵敏度选择操作,获取第一灵敏度,并根据次关键字段的灵敏度选择操作,获取第二灵敏度;将所述第一灵敏度和所述第二灵敏度,作为目标灵敏度;根据所述第一灵敏度和所述第二灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段。
可选的,关键字段获取模块220,具体用于将各所述原始日志数据行进行分词处理,获取各所述原始日志数据行对应的多个单词字段;
根据所述第一灵敏度,以及各预设关键字段对应的预设优先级,在各预设关键字段中获取至少一个目标主关键字段;
基于各所述目标主关键字段,在所述原始日志中筛选得到至少一个目标日志,所述目标日志包括多个目标日志数据行;
在各所述目标日志中,将各所述目标日志数据行对应的各单词字段进行聚类排名,以获取各所述目标日志对应的聚类排名结果;
根据所述第二灵敏度和各所述目标日志对应的聚类排名结果,获取目标次关键字段。
可选的,关键字段获取模块220,具体用于获取各所述原始日志数据行对应的属性信息,并根据各所述原始日志数据行对应的属性信息,获取各所述原始日志数据行对应的各所述目标主关键字段匹配的字段值;
将各所述目标主关键字段匹配的字段值均相同的原始日志数据行,确定为目标日志数据行,并基于各所述目标日志数据行生成目标日志。
可选的,关键字段获取模块220,具体用于在各所述目标日志中,将各所述目标日志数据行对应的各单词字段中的时间字段进行排除,以获取各所述目标日志数据行对应的各更新单词字段;
将各所述目标日志数据行对应的各更新单词字段进行聚类排名,以获取各所述目标日志对应的聚类排名结果。
可选的,关键字段获取模块220,具体用于根据所述第二灵敏度和各所述目标日志对应的聚类排名结果,获取各所述目标日志对应的各初始次关键字段;
获取各所述目标日志对应的各初始次关键字段的并集,以作为目标次关键字段。
可选的,预设关键字段包括日志来源字段、主机互联网协议地址字段和/或日志用途字段。
本发明实施例所提供的日志数据的展示装置可执行本发明任意实施例所提供的日志数据的展示方法,具备执行方法相应的功能模块和有益效果。
需要说明的是,本实施例的技术方案中,所涉及的用户个人信息的获取、存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
实施例三
图3示出了可以用来实施本发明的实施例的电子设备30的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图3所示,电子设备30包括至少一个处理器31,以及与至少一个处理器31通信连接的存储器,如只读存储器(ROM)32、随机访问存储器(RAM)33等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器31可以根据存储在只读存储器(ROM)32中的计算机程序或者从存储单元38加载到随机访问存储器(RAM)33中的计算机程序,来执行各种适当的动作和处理。在RAM 33中,还可存储电子设备30操作所需的各种程序和数据。处理器31、ROM 32以及RAM 33通过总线34彼此相连。输入/输出(I/O)接口35也连接至总线34。
电子设备30中的多个部件连接至I/O接口35,包括:输入单元36,例如键盘、鼠标等;输出单元37,例如各种类型的显示器、扬声器等;存储单元38,例如磁盘、光盘等;以及通信单元39,例如网卡、调制解调器、无线通信收发机等。通信单元39允许电子设备30通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器31可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器31的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器31执行上文所描述的各个方法和处理,例如日志数据的展示方法。
在一些实施例中,日志数据的展示方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元38。在一些实施例中,计算机程序的部分或者全部可以经由ROM 32和/或通信单元39而被载入和/或安装到电子设备30上。当计算机程序加载到RAM 33并由处理器31执行时,可以执行上文描述的日志数据的展示方法的一个或多个步骤。备选地,在其他实施例中,处理器31可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行日志数据的展示方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种日志数据的展示方法,其特征在于,包括:
获取原始日志,所述原始日志包括多个原始日志数据行;
获取目标灵敏度,并根据所述目标灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段;
根据所述目标主关键字段和所述目标次关键字段,将各所述原始日志数据行进行跨行比对,并根据跨行比对结果,将所述原始日志进行折叠展示。
2.根据权利要求1所述的方法,其特征在于,获取目标灵敏度,包括:
根据主关键字段的灵敏度选择操作,获取第一灵敏度,并根据次关键字段的灵敏度选择操作,获取第二灵敏度;
将所述第一灵敏度和所述第二灵敏度,作为目标灵敏度;
根据所述目标灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段,包括:
根据所述第一灵敏度和所述第二灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段。
3.根据权利要求2所述的方法,其特征在于,根据所述第一灵敏度和所述第二灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段,包括:
将各所述原始日志数据行进行分词处理,获取各所述原始日志数据行对应的多个单词字段;
根据所述第一灵敏度,以及各预设关键字段对应的预设优先级,在各预设关键字段中获取至少一个目标主关键字段;
基于各所述目标主关键字段,在所述原始日志中筛选得到至少一个目标日志,所述目标日志包括多个目标日志数据行;
在各所述目标日志中,将各所述目标日志数据行对应的各单词字段进行聚类排名,以获取各所述目标日志对应的聚类排名结果;
根据所述第二灵敏度和各所述目标日志对应的聚类排名结果,获取目标次关键字段。
4.根据权利要求3所述的方法,其特征在于,基于各所述目标主关键字段,在所述原始日志中筛选得到至少一个目标日志,包括:
获取各所述原始日志数据行对应的属性信息,并根据各所述原始日志数据行对应的属性信息,获取各所述原始日志数据行对应的各所述目标主关键字段匹配的字段值;
将各所述目标主关键字段匹配的字段值均相同的原始日志数据行,确定为目标日志数据行,并基于各所述目标日志数据行生成目标日志。
5.根据权利要求3所述的方法,其特征在于,在各所述目标日志中,将各所述目标日志数据行对应的各单词字段进行聚类排名,以获取各所述目标日志对应的聚类排名结果,包括:
在各所述目标日志中,将各所述目标日志数据行对应的各单词字段中的时间字段进行排除,以获取各所述目标日志数据行对应的各更新单词字段;
将各所述目标日志数据行对应的各更新单词字段进行聚类排名,以获取各所述目标日志对应的聚类排名结果。
6.根据权利要求3所述的方法,其特征在于,根据所述第二灵敏度和各所述目标日志对应的聚类排名结果,获取目标次关键字段,包括:
根据所述第二灵敏度和各所述目标日志对应的聚类排名结果,获取各所述目标日志对应的各初始次关键字段;
获取各所述目标日志对应的各初始次关键字段的并集,以作为目标次关键字段。
7.根据权利要求3所述的方法,其特征在于,预设关键字段包括日志来源字段、主机互联网协议地址字段和/或日志用途字段。
8.一种日志数据的展示装置,其特征在于,包括:
原始日志获取模块,用于获取原始日志,所述原始日志包括多个原始日志数据行;
关键字段获取模块,用于获取目标灵敏度,并根据所述目标灵敏度,获取所述原始日志对应的目标主关键字段和目标次关键字段;
日志折叠展示模块,用于根据所述目标主关键字段和所述目标次关键字段,将各所述原始日志数据行进行跨行比对,并根据跨行比对结果,将所述原始日志进行折叠展示。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器,以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的日志数据的展示方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的日志数据的展示方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311312407.3A CN117290306A (zh) | 2023-10-11 | 2023-10-11 | 一种日志数据的展示方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311312407.3A CN117290306A (zh) | 2023-10-11 | 2023-10-11 | 一种日志数据的展示方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117290306A true CN117290306A (zh) | 2023-12-26 |
Family
ID=89251618
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311312407.3A Pending CN117290306A (zh) | 2023-10-11 | 2023-10-11 | 一种日志数据的展示方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117290306A (zh) |
-
2023
- 2023-10-11 CN CN202311312407.3A patent/CN117290306A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112989235B (zh) | 基于知识库的内链构建方法、装置、设备和存储介质 | |
CN112380131A (zh) | 模块测试方法、装置及电子设备 | |
CN112560461A (zh) | 新闻线索的生成方法、装置、电子设备及存储介质 | |
CN116340831B (zh) | 一种信息分类方法、装置、电子设备及存储介质 | |
CN111460257A (zh) | 专题生成方法、装置、电子设备和存储介质 | |
CN116955817A (zh) | 内容推荐方法、装置、电子设备以及存储介质 | |
CN115794744A (zh) | 一种日志展示方法、装置、设备和存储介质 | |
CN117290306A (zh) | 一种日志数据的展示方法、装置、设备及存储介质 | |
CN115632866A (zh) | 基于fpga实现的报文脱敏方法、装置、设备及介质 | |
CN115328898A (zh) | 一种数据处理方法、装置、电子设备及介质 | |
CN113590914A (zh) | 信息处理方法、装置、电子设备和存储介质 | |
CN113656393B (zh) | 数据处理方法、装置、电子设备以及存储介质 | |
CN114911963B (zh) | 一种模板图片分类方法、装置、设备、存储介质及产品 | |
CN113392328B (zh) | 页面数据处理方法、装置、设备和介质 | |
CN118012936A (zh) | 一种数据抽取方法、装置、设备及存储介质 | |
CN117539840A (zh) | 一种日志获取方法、装置、设备及介质 | |
CN116108254A (zh) | 对象匹配方法、装置、设备及介质 | |
CN117033384A (zh) | 测量数据格式mdf文件的分析方法、装置、设备及介质 | |
CN117994021A (zh) | 一种资产核销方式的辅助配置方法、装置、设备及介质 | |
CN116467198A (zh) | 性能实测必要性确定方法、装置、电子设备和存储介质 | |
CN114139512A (zh) | 电子表格控制方法、装置、计算机可读存储介质及服务器 | |
CN117453746A (zh) | 一种数据循环筛选的方法、装置、设备及介质 | |
CN116070127A (zh) | 一种运维语句分类方法、装置、设备和存储介质 | |
CN117972086A (zh) | 一种商品推荐理由的自动生成方法、装置、设备及介质 | |
CN117369816A (zh) | 一种页面分区方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |