JP7100155B2 - アラームログ圧縮方法、装置、およびシステム、並びに記憶媒体 - Google Patents
アラームログ圧縮方法、装置、およびシステム、並びに記憶媒体 Download PDFInfo
- Publication number
- JP7100155B2 JP7100155B2 JP2020558938A JP2020558938A JP7100155B2 JP 7100155 B2 JP7100155 B2 JP 7100155B2 JP 2020558938 A JP2020558938 A JP 2020558938A JP 2020558938 A JP2020558938 A JP 2020558938A JP 7100155 B2 JP7100155 B2 JP 7100155B2
- Authority
- JP
- Japan
- Prior art keywords
- alarm
- log
- alarm type
- type
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/174—Redundancy elimination performed by the file system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/174—Redundancy elimination performed by the file system
- G06F16/1744—Redundancy elimination performed by the file system using compression, e.g. sparse files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2216/00—Indexing scheme relating to additional aspects of information retrieval not explicitly covered by G06F16/00 and subgroups
- G06F2216/03—Data mining
Description
通信ネットワーク内で第1ネットワークデバイスによって生成された履歴アラームログセットを取得するステップであり、前記履歴アラームログセットは、複数の履歴アラームログを含み、かつ、各履歴アラームログは、アラームタイプおよび生成タイムスタンプを含む、ステップと、
前記履歴アラームログセットを、前記履歴アラームログセット内の履歴アラームログの生成タイムスタンプに基づいて、複数の履歴アラームログサブセットへと分割するステップであり、各履歴アラームログサブセット内の全ての履歴アラームログは、時系列において連続しており、かつ、前記複数の履歴アラームログサブセットの和集合は、前記履歴アラームログセット内の全ての履歴アラームログを含む、ステップと、
前記履歴アラームログセット内のアラームタイプと、前記複数の履歴アラームログサブセットとの間の対応を決定するステップと、
少なくとも1つの関連規則を生成するために、前記対応に基づいて、履歴アラームログセット内の前記アラームタイプについてクラスタリング処理を実行するステップであり、各関連規則は、相互に関連付けられた根本原因アラームタイプおよび少なくとも1つのマイナーアラームタイプを含む、ステップと、
アラームタイプが前記根本原因アラームタイプであるアラームログを取得するために、前記少なくとも1つの関連規則に基づいて、複数の処理されるアラームログを圧縮するステップと、を含む。
第1アラームタイプセットを取得するために、前記履歴アラームログセット内の全てのアラームタイプを取得するステップと、
前記第1アラームタイプセットにおける各アラームタイプの時系列ベクトルを決定するステップであり、各時系列ベクトルは、対応するアラームタイプと前記複数の履歴アラームログサブセットとの間の対応を反映するために使用される、ステップと、を含み、ここで、各アラームタイプに対応する前記時系列ベクトルについて、前記時系列ベクトル内の値は、前記複数の履歴アラームログサブセットと1対1に対応しており、前記時系列ベクトル内の値は、第1値および第2値のうちの少なくとも1つを含み、前記第1値は、対応する履歴アラームログサブセット内に前記アラームタイプが存在することを示すために使用され、前記第2値は、対応する履歴アラームログサブセット内に前記アラームタイプが存在しないことを示すために使用され、かつ、前記第1値は、前記第2値とは異なっている。
前記第1アラームタイプセットにおける各アラームタイプについて、時系列ベクトル決定プロシージャを実行するステップ、を含む。
前記アラームタイプが、前記複数の履歴アラームログサブセット内に存在するか否か順次に検出するステップと、
検出結果に基づいて、前記アラームタイプの前記時系列ベクトルを決定するステップと、を含む。
前記少なくとも1つの関連規則を生成するために、全てのアラームタイプの前記時系列ベクトルに基づいて、前記第1アラームタイプセット内の全てのアラームタイプについてクラスタリング処理を実行するステップ、を含む。
前記第1アラームタイプセットについてクラスタリング操作を実行するステップ、を含み、ここで、前記クラスタリング操作は、
標アラームタイプセットおよび第2アラームタイプセットを設定するステップであり、前記目標アラームタイプセットおよび前記第2アラームタイプセットの両方が空集合である、ステップと、
前記目標アラームタイプセットに対して前記第1アラームタイプセット内の任意のアラームタイプを追加し、かつ、第1アラームタイプセットから、前記目標アラームタイプセットに対して追加した前記アラームタイプを削除する、ステップと、
前記第1アラームタイプセットが空集合になるまで決定プロシージャを繰り返し実行し、かつ、前記目標アラームタイプセットを関連規則として決定する、ステップと、
決定プロシージャを繰り返し実行した後で、前記第2アラームタイプセットが空集合でない場合には、新たな第1アラームタイプセットとして、前記第2アラームタイプセットを使用することにより、クラスタリング操作を繰り返して実行する、ステップ、もしくは、
決定プロシージャを繰り返し実行した後で、前記第2アラームタイプセットが空集合である場合には、前記クラスタリング操作の実行を停止する、ステップ、を含む。
処理されるアラームタイプと処理される前記目標アラームタイプセットとの間の相関を、前記処理されるアラームタイプの時系列ベクトルおよび前記目標アラームタイプセット内の全てのアラームタイプの時系列ベクトルに基づいて、算出するステップであり、ここで、前記処理されるアラームタイプは、前記目標アラームタイプセット内のアラームタイプ以外の前記第1アラームタイプセット内の任意のアラームタイプである、ステップと、
前記相関が事前設定された相関閾値よりも大きい場合には、更新された目標アラームタイプを取得するために、前記処理されるアラームタイプを前記目標アラームタイプセットに対して追加し、かつ、前記処理されるアラームタイプを前記第1アラームタイプセットから削除する、ステップ、もしくは、
前記相関が前記事前設定された相関閾値を超えない場合には、前記処理されるアラームタイプを前記第2アラームタイプセットに対して追加し、かつ、前記処理されるアラームタイプを前記第1アラームタイプセットから削除する、ステップ、を含む。
前記第1アラームタイプセット内の目標アラームタイプをマーキングするステップであり、ここで、前記目標アラームタイプは、前記第1アラームタイプセット内の任意のアラームタイプである、ステップと、
前記第1アラームタイプセットについてクラスタリング操作を実行するステップと、を含み、ここで、前記クラスタリング操作は、
前記第1アラームタイプセット内の全てのアラームタイプがトラバースされるまで、決定プロシージャを繰り返し実行するステップと、
決定プロシージャを繰り返し実行した後で、前記第1アラームタイプセット内でマークが設定されていないアラームタイプが存在する場合には、マークが設定されていない任意のアラームタイプを、新たな目標アラームタイプとして決定し、前記新たな目標アラームタイプにマーキングし、かつ、クラスタリング操作を繰り返し実行するステップであり、異なる目標アラームタイプに異なるマークが設定されている、ステップ、もしくは、
決定プロシージャを繰り返し実行した後で、前記第1アラームタイプセット内にマークが設定されていないアラームタイプが存在しない場合には、クラスタリング操作の実行を中止し、かつ、前記第1アラームタイプセットに基づいて少なくとも1つの関連規則を生成するステップであり、各関連規則の全てのアラームタイプについて同じマークが設定される、ステップ、を含む。
目標アラームタイプセットとして、目標アラームタイプと同じマークを有する第1アラームタイプセット内の全てのアラームタイプを含むセットを決定するステップと、
処理されるアラームタイプと前記目標アラームタイプセットとの間の相関を、前記処理されるアラームタイプの時系列ベクトルおよび前記目標アラームタイプセット内の全てのアラームタイプの時系列ベクトルに基づいて、算出するステップであり、ここで、前記処理されるアラームタイプは、前記目標アラームタイプセット内のアラームタイプ以外の第1アラームタイプセット内の任意のアラームタイプである、ステップと、
前記相関が事前設定された相関閾値よりも大きい場合に、前記処理されるアラームタイプをマーキングするステップであり、前記処理されるアラームタイプのマークは、前記目標アラームタイプのマークと同じである、ステップと、を含む。
ピアソン相関係数式に従って、前記処理されるアラームタイプセットと前記目標アラームタイプセット内の各アラームタイプとの相関を算出するステップであり、前記ピアソン相関係数式は、
Cor(ii、ij)は、アラームタイプiiとアラームタイプijとの間の相関関係を表し、cov(νi、νj)は、νiとνjとの間の共分散(covariance)表し、σνiは、νiの標準偏差を表し、σνjは、νjの標準偏差を表し、νiは、アラームタイプiiの時系列ベクトルを表し、かつ、νjは、アラームタイプijの時系列ベクトルを表している、ステップと、
平均相関計算式に従って、前記処理されるアラームタイプと前記目標アラームタイプセット内の各アラームタイプとの相関関係に基づいて、前記処理されるアラームタイプと前記目標アラームタイプセットとの間の相関関係を算出するステップであり、前記平均相関計算式は、
AveCor(ij、R)は、アラームタイプijと目標アラームタイプセットRとの間の相関を示し、かつ、|R|は、目標アラームタイプセットR内のアラームタイプの数量を示している、ステップと、を含む。
前記履歴アラームログセットを取得するために、各履歴アラームログから冗長情報を除去するように、第1事前設定された期間内に第1ネットワークデバイスによって生成された履歴アラームログを事前処理するステップ、を含む。
前記履歴アラームログセット内の前記履歴アラームログの生成タイムスタンプセットを取得するステップと、
前記生成タイムスタンプセット、事前設定された時間ウィンドウ長、および、スライディングウィンドウ技術を使用することによるウィンドウスライディング段階に基づいて、前記履歴アラームログを前記複数の履歴アラームログサブセットへと分類するステップと、を含み、ここで、前記ウィンドウスライディング段階は、時間ウィンドウ長より大きくない。
第2の事前設定された期間内に、前記通信ネットワーク内で第2ネットワークデバイスによって生成された処理されるアラームログセットを取得するステップであり、前記処理されるアラームログセットは、前記複数の処理されるアラームログを含み、かつ、各処理されるアラームログは、アラームタイプおよび生成タイムスタンプを含む、ステップと、
前記処理されるアラームログセットに基づいて少なくとも1つのアラームイベントを生成するステップであり、各アラームイベントは、前記第2ネットワークデバイスによって生成されるものと同じアラームタイプのアラームログを示すために使用される、ステップと、を含む。
前記処理されるアラームログセットの各アラームタイプについて、前記処理されるアラームログセット内に存在し、かつ、前記アラームタイプのものである目標アラームログを取得するステップと、
時系列において隣接する前記処理されるアラームログセット内の2つの目標アラームログ毎の間の発生時間間隔を個別に計算するステップと、
同じアラームイベントに属する前記処理されるアラームログセット内の目標アラームログを、2つの目標アラームログ毎の間の前記発生時間間隔に基づいて、1つのアラームイベントへと再構成するステップ、を含む。
指数移動平均法を使用することにより、2つの目標アラームログ間の推定時間間隔を計算するステップであり、前記2つの目標アラームログは、時系列において隣接する任意の2つの目標アラームログであり、前記2つの目標アラームログは、第1アラームログおよび第2アラームログを含み、かつ、前記第1アラームログは、前記第2アラームログの前に生成される、ステップと、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たすか否かを判断するステップと、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たす場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属することを決定し、かつ、前記第2アラームログを前記第1アラームログが属するアラームイベントへと集約するステップ、もしくは、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たさない場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属していないことを決定するステップ、を含む。
tkは前記第2アラームログの生成時間スタンプであり、tk-1は前記第1アラームログの生成時間スタンプであり、0≦α≦1であり、kは1より大きい整数であり、かつ、βは正の数である。
前記2つの目標アラームログ間の前記発生時間間隔が、事前設定された最小時間間隔の閾値以下である場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属することを決定するステップ、もしくは、
前記2つの目標アラームログ間の前記発生時間間隔が、事前設定された最大時間間隔の閾値より大きい場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属していないことを決定するステップ、
を含み、ここで、
smin≦β*sk’≦smaxであり、sminは最小時間間隔閾値であり、かつ、smaxは最大時間間隔閾値である、ことが留意されるべきである。
前記第1アラームログが属するアラームイベントの再構成を終了し、かつ、新たなアラームイベントを初期化するステップと、
前記第2アラームログを前記新たなアラームイベントへと集約するステップと、を含む。
少なくとも1つの目標アラームイベントを取得するために、前記少なくとも1つの関連規則に基づいて、前記少なくとも1つのアラームイベントを圧縮するステップであり、各目標アラームイベントは、アラームタイプが前記根本原因アラームタイプであるアラームログを示すために使用される、ステップ、を含む。
前記少なくとも1つの目標アラームイベントをネットワーク監視エンジニアに対して表示するために、前記少なくとも1つの目標アラームイベントを出力するステップ、を含む。
第1取得モジュールであり、通信ネットワーク内で第1ネットワークデバイスによって生成された履歴アラームログセットを取得するように構成されており、前記履歴アラームログセットは、複数の履歴アラームログを含み、かつ、各履歴アラームログは、アラームタイプおよび生成タイムスタンプを含む、第1取得モジュールと、
分割モジュールであり、前記履歴アラームログセットを、前記履歴アラームログセット内の履歴アラームログの生成タイムスタンプに基づいて、複数の履歴アラームログサブセットへと分割するように構成されており、各履歴アラームログサブセット内の全ての履歴アラームログは、時系列において連続しており、かつ、前記複数の履歴アラームログサブセットの和集合は、前記履歴アラームログセット内の全ての履歴アラームログを含む、分割モジュールと、
決定モジュールであり、前記履歴アラームログセット内のアラームタイプと、前記複数の履歴アラームログサブセットとの間の対応を決定するように構成されている、決定モジュールと、
クラスタリングモジュールであり、少なくとも1つの関連規則を生成するために、前記対応に基づいて、履歴アラームログセット内の前記アラームタイプについてクラスタリング処理を実行するように構成されており、各関連規則は、相互に関連付けられた根本原因アラームタイプおよび少なくとも1つのマイナーアラームタイプを含む、クラスタリングモジュールと、
圧縮モジュールであり、アラームタイプが前記根本原因アラームタイプであるアラームログを取得するために、前記少なくとも1つの関連規則に基づいて、複数の処理されるアラームログを圧縮するように構成されている、圧縮モジュールと、を含む。
取得サブモジュールであり、第1アラームタイプセットを取得するために、前記履歴アラームログセット内の全てのアラームタイプを取得するように構成されている、取得サブモジュールと、
決定サブモジュールであり、前記第1アラームタイプセットにおける各アラームタイプの時系列ベクトルを決定するように構成されており、各時系列ベクトルは、対応するアラームタイプと前記複数の履歴アラームログサブセットとの間の対応を反映するために使用される、決定サブモジュールと、を含む。
前記第1アラームタイプセットにおける各アラームタイプについて、時系列ベクトル決定プロシージャを実行するように構成されている。
前記アラームタイプが、前記複数の履歴アラームログサブセット内に存在するか否か順次に検出するステップと、
検出結果に基づいて、前記アラームタイプの前記時系列ベクトルを決定するステップと、を含む。
前記少なくとも1つの関連規則を生成するために、全てのアラームタイプの前記時系列ベクトルに基づいて、前記第1アラームタイプセット内の全てのアラームタイプについてクラスタリング処理を実行するように構成されている。
前記第1アラームタイプセットについてクラスタリング操作を実行するように構成されており、ここで、前記クラスタリング操作は、
目標アラームタイプセットおよび第2アラームタイプセットを設定するステップであり、ここで、前記目標アラームタイプセットおよび前記第2アラームタイプセットの両方が空集合である、ステップと、
前記目標アラームタイプセットに対して前記第1アラームタイプセット内の任意のアラームタイプを追加し、かつ、第1アラームタイプセットから、前記目標アラームタイプセットに対して追加した前記アラームタイプを削除する、ステップと、
前記第1アラームタイプセットが空集合になるまで決定プロシージャを繰り返し実行し、かつ、前記目標アラームタイプセットを関連規則として決定する、ステップと、
決定プロシージャを繰り返し実行した後で、前記第2アラームタイプセットが空集合でない場合には、新たな第1アラームタイプセットとして、前記第2アラームタイプセットを使用することにより、クラスタリング操作を繰り返して実行する、ステップ、もしくは、
決定プロシージャを繰り返し実行した後で、前記第2アラームタイプセットが空集合である場合には、前記クラスタリング操作の実行を停止する、ステップ、を含む。
処理されるアラームタイプと処理される前記目標アラームタイプセットとの間の相関を、前記処理されるアラームタイプの時系列ベクトルおよび前記目標アラームタイプセット内の全てのアラームタイプの時系列ベクトルに基づいて、算出するステップであり、ここで、前記処理されるアラームタイプは、前記目標アラームタイプセット内のアラームタイプ以外の前記第1アラームタイプセット内の任意のアラームタイプである、ステップと、
前記相関が事前設定された相関閾値よりも大きい場合には、更新された目標アラームタイプを取得するために、前記処理されるアラームタイプを前記目標アラームタイプセットに対して追加し、かつ、前記処理されるアラームタイプを前記第1アラームタイプセットから削除する、ステップ、もしくは、
前記相関が前記事前設定された相関閾値を超えない場合には、前記処理されるアラームタイプを前記第2アラームタイプセットに対して追加し、かつ、前記処理されるアラームタイプを前記第1アラームタイプセットから削除する、ステップ、を含む。
前記第1アラームタイプセット内の目標アラームタイプをマーキングし、ここで、前記目標アラームタイプは、前記第1アラームタイプセット内の任意のアラームタイプであり、かつ、
前記第1アラームタイプセットについてクラスタリング操作を実行する、ように構成されており、ここで、前記クラスタリング操作は、
前記第1アラームタイプセット内の全てのアラームタイプがトラバースされるまで、決定プロシージャを繰り返し実行するステップと、
決定プロシージャを繰り返し実行した後で、前記第1アラームタイプセット内でマークが設定されていないアラームタイプが存在する場合には、マークが設定されていない任意のアラームタイプを、新たな目標アラームタイプとして決定し、前記新たな目標アラームタイプにマーキングし、かつ、クラスタリング操作を繰り返し実行するステップであり、異なる目標アラームタイプに異なるマークが設定されている、ステップ、もしくは、
決定プロシージャを繰り返し実行した後で、前記第1アラームタイプセット内にマークが設定されていないアラームタイプが存在しない場合には、クラスタリング操作の実行を中止し、かつ、前記第1アラームタイプセットに基づいて少なくとも1つの関連規則を生成するステップであり、各関連規則の全てのアラームタイプについて同じマークが設定される、ステップ、を含む。
目標アラームタイプセットとして、目標アラームタイプと同じマークを有する第1アラームタイプセット内の全てのアラームタイプを含むセットを決定するステップと、
処理されるアラームタイプと前記目標アラームタイプセットとの間の相関を、前記処理されるアラームタイプの時系列ベクトルおよび前記目標アラームタイプセット内の全てのアラームタイプの時系列ベクトルに基づいて、算出するステップであり、ここで、前記処理されるアラームタイプは、前記目標アラームタイプセット内のアラームタイプ以外の第1アラームタイプセット内の任意のアラームタイプである、ステップと、
前記相関が事前設定された相関閾値よりも大きい場合に、前記処理されるアラームタイプをマーキングするステップであり、ここで、前記処理されるアラームタイプのマークは、前記目標アラームタイプのマークと同じである、ステップと、を含む。
ピアソン相関係数式に従って、前記処理されるアラームタイプセットと前記目標アラームタイプセット内の各アラームタイプとの相関を算出するように構成されており、前記ピアソン相関係数式は、
平均相関計算式に従って、前記処理されるアラームタイプと前記目標アラームタイプセット内の各アラームタイプとの相関関係に基づいて、前記処理されるアラームタイプと前記目標アラームタイプセットとの間の相関関係を算出するように構成されており、前記平均相関計算式は、
前記履歴アラームログセットを取得するために、各履歴アラームログから冗長情報を除去するために、第1事前設定された期間内に第1ネットワークデバイスによって生成された履歴アラームログを事前処理するように構成されている。
前記履歴アラームログセット内の前記履歴アラームログの生成タイムスタンプセットを取得し、かつ、
前記生成タイムスタンプセット、事前設定された時間ウィンドウ長、および、ウィンドウスライディング段階に基づいて、前記履歴アラームログを前記複数の履歴アラームログサブセットへと分類する、ように構成されており、ここで、前記ウィンドウスライディング段階は、時間ウィンドウ長より大きくない。
第2取得モジュールであり、第2の事前設定された期間内に、前記通信ネットワーク内で第2ネットワークデバイスによって生成された処理されるアラームログセットを取得するように構成されており、前記処理されるアラームログセットは、前記複数の処理されるアラームログを含み、かつ、各処理されるアラームログは、アラームタイプおよび生成タイムスタンプを含む、第2取得モジュールと、
生成モジュールであり、前記処理されるアラームログセットに基づいて少なくとも1つのアラームイベントを生成するように構成されており、各アラームイベントは、前記第2ネットワークデバイスによって生成されるものと同じアラームタイプのアラームログを示すために使用される、生成モジュールと、を含む。
各処理されるアラームログセットについて、アラームイベント再構成プロシージャを実行するように構成されている、再構成サブモジュールを含み、ここで、前記アラームイベント再構成プロセスは、
取得ユニットであり、前記処理されるアラームログセットの各アラームタイプについて、前記処理されるアラームログセット内に存在し、かつ、前記アラームタイプのものである目標アラームログを取得するように構成されている、取得ユニットと、
計算ユニットであり、時系列において隣接する前記処理されるアラームログセット内の2つの目標アラームログ毎の間の発生時間間隔を個別に計算するように構成されている、計算ユニットと、
再構成ユニットであり、同じアラームイベントに属する前記処理されるアラームログセット内の目標アラームログを、2つの目標アラームログ毎の間の前記発生時間間隔に基づいて、1つのアラームイベントへと再構成するように構成されている、再構成ユニットと、を含む。
指数移動平均法を使用することにより、2つの目標アラームログ間の推定時間間隔を計算し、ここで、前記2つの目標アラームログは、時系列において隣接する任意の2つの目標アラームログであり、前記2つの目標アラームログは、第1アラームログおよび第2アラームログを含み、かつ、前記第1アラームログは、前記第2アラームログの前に生成され、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たすか否かを判断し、かつ、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たす場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属することを決定し、かつ、前記第2アラームログを前記第1アラームログが属するアラームイベントへと集約し、もしくは、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たさない場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属していないことを決定する、ように構成されている。
tkは前記第2アラームログの生成時間スタンプであり、tk-1は前記第1アラームログの生成時間スタンプであり、0≦α≦1であり、kは1より大きい整数であり、かつ、βは正の数である。
前記2つの目標アラームログ間の前記発生時間間隔が、事前設定された最小時間間隔の閾値以下である場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属することを決定し、もしくは、
前記2つの目標アラームログ間の前記発生時間間隔が、事前設定された最大時間間隔の閾値より大きい場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属していないことを決定する、ように構成されており、ここで、
smin≦β*sk’≦smaxであり、sminは最小時間間隔閾値であり、かつ、smaxは最大時間間隔閾値である。
前記第1アラームログが属するアラームイベントの再構成を終了して、新たなアラームイベントを初期化し、かつ、
前記第2アラームログを前記新たなアラームイベントへと集約する、ように構成されている。
少なくとも1つの目標アラームイベントを取得するために、前記少なくとも1つの関連規則に基づいて、前記少なくとも1つのアラームイベントを圧縮するように構成されており、ここで、各目標アラームイベントは、アラームタイプが前記根本原因アラームタイプであるアラームログを示すために使用される。
出力モジュールであり、前記少なくとも1つの目標アラームイベントをネットワーク監視エンジニアに対して表示するために、前記少なくとも1つの目標アラームイベントを出力するように構成されている、出力モジュール、を含む。
前記圧縮装置は、通信ネットワーク内で少なくとも1つのネットワークデバイスによって生成された複数のアラームログを圧縮するように構成されている。
前記圧縮装置は、さらに、前記ネットワーク管理装置に対して、前記複数のアラームログが圧縮された後で取得されたアラーム情報を出力するように構成されており、かつ、
前記ネットワーク管理装置は、前記アラーム情報を表示するように構成されている。
第1の事前設定された期間内に第1ネットワークデバイスによって生成された履歴アラームログを前処理するステップであり、各履歴アラームログから冗長情報を除去し、各ネットワークデバイスに対応する履歴アラームログセットを取得する、ステップを含み得る。
履歴アラームログセットにおける履歴アラームログの生成タイムスタンプセットを取得するステップ、および、生成タイムスタンプセット、事前設定された時間ウィンドウ長、および、スライディングウィンドウ(sliding window)技術を使用することによるウィンドウスライディングステップに基づいて、履歴アラームログを複数の履歴アラームログサブセットへと分類するステップ、を含み得る。ここで、ウィンドウスライディングステップは、時間ウィンドウ長より大きくない。
第1アラームタイプセットを取得するために、履歴アラームログセット内の全てのアラームタイプを取得するステップ、および、第1アラームタイプセット内の各アラームタイプの時系列ベクトルを決定するステップ、を含む。ここで、各時系列ベクトルは、対応するアラームタイプと複数の履歴アラームログサブセットとの間の対応を反映するために使用される。ここで、各アラームタイプに対応する時系列ベクトルについて、時系列ベクトル内の値は、複数の履歴アラームログサブセットと1対1(one-to-one)に対応している。時系列ベクトル内の値は、第1値および第2値のうちの少なくとも1つを含み、第1値は、対応するアラームタイプが対応する履歴アラームログサブセット内に存在することを示すために使用され、第2値は、対応するアラームタイプが対応する履歴アラームログサブセット内に存在しないことを示すために使用され、そして、第1値は第2値とは異なっている。
第1アラームタイプセットについてクラスタリング操作を実行するステップを含む。ここで、本クラスタリング操作は、以下を含んでいる。
TCC(I)//I is the first alarm type set
{
Randomly select one alarm type ii∈I from I
Set a target alarm type set R={ii}and a second alarm type set I’=Φ
For all alarm types ij∈I、ij≠ii
{
If AveCor(ij、R)>Threshold //Threshold is a preset correlation threshold
Add ij to R
Else
Add ij to I’
}
R’=TCC(I’) //Perform recursively invocation, to perform a clustering operation on a remaining second alarm type set I’
Return R∪R’ //Return all association rules obtained through clustering performed on the first alarm type set
}
第1アラームタイプセットに目標アラームタイプをマーキングするステップであり、ここで、第1アラームタイプは第1アラームタイプセット内の任意のアラームタイプである、ステップ、および、第1アラームタイプセットについてクラスタリング操作を実行するステップ、を含む。ここで、クラスタリング操作は、以下を含んでいる。
Cor(ii、ij)はアラームタイプiiとアラームタイプijとの間の相関関係を表し、cov(νi、νj)はνiとνjとの間の共分散(covariance)表し、σνiは、νiの標準偏差を表し、σνjは、νjの標準偏差を表し、νiはアラームタイプiiの時系列ベクトルを表し、そして、νjはアラームタイプijの時系列ベクトルを表している。
{LinkDown_Active,MSTP_PORT_STATE_FORWARDING,MSTP_PORT_STATE_LEARNING,MSTP_PROPORT_ROLE_CHANGE,MSTP_PORT_STATE_DISCARDING}であるものと想定される。専門家が関連規則を分析した後で、ポート障害(アラームタイプは、LinkDown_Active)が、マルチプルスパニングツリープロトコル(Multiple Spanning Tree Protocol、MSTP)モジュールの頻繁に起きる断続的な切断(disconnection)を引き起こすことが分かった。従って、LinkDown_Activeは根本原因アラームタイプであり、そして、関連規則における別のアラームタイプは、根本原因アラームタイプと同時に発生する相関(correlative)アラームタイプ(マイナーアラームタイプ)であることを決定することができる。関連規則に基づいて、アラームタイプがLinkDown_Activeであり、かつ、アラームタイプがマイナーアラームタイプであるアラームログだけがフィルタで除去され、処理されるアラームログを圧縮する。
処理されるアラームログセットの各アラームタイプについて、処理されるアラームログセット内に存在し、かつ、アラームタイプのものである目標アラームログを取得するステップ、時系列において隣接する処理されるアラームログセット内の2つの目標アラームログ毎の間の発生時間間隔を個別に計算するステップ、および、同じアラームイベントに属する処理されるアラームログセット内の目標アラームログを、2つの目標アラームログ毎の間の発生時間間隔に基づいて、1つのアラームイベントへと再構成するステップ、を含み得る。
指数移動平均(Exponential Weighted Moving Average、EWMA)法で計算される2つの目標アラームログ間の推定時間間隔sk’はsk’=α*sk-1+(1-α)*sk-1’であり、tkは第2アラームログの生成時間スタンプであり、tk-1は第1アラームログの生成時間スタンプであり、sk-1=tk-1-tk-2であり、かつ、0≦α≦1である。この場合に、kは1より大きい整数である。
第1取得モジュール601であり、通信ネットワーク内で第1ネットワークデバイスによって生成された履歴アラームログセットを取得するように構成されており、ここで、履歴アラームログセットは複数の履歴アラームログを含み、そして、各履歴アラームログはアラームタイプおよび生成タイムスタンプを含んでいるもの、
分割モジュール602であり、履歴アラームログセット内の履歴アラームログの生成タイムスタンプに基づいて、履歴アラームログサブセットを複数の履歴アラームログセットへと分割するように構成されており、ここで、各履歴アラームログサブセット内の全ての履歴アラームログは時系列において連続しており、そして、複数の履歴アラームログサブセットの和集合が履歴アラームログセット内の全ての履歴アラームログを含んでいるもの、
決定モジュール603であり、履歴アラームログセット内のアラームタイプと、複数の履歴アラームログサブセットとの間の対応を決定するように構成されているもの、
クラスタリングモジュール604であり、少なくとも1つの関連規則を生成するために、対応に基づいて履歴アラームログセット内のアラームタイプについてクラスタリング処理を実行するように構成されており、ここで、各関連規則は、相互に関連付けられた根本原因アラームタイプおよび少なくとも1つのマイナーアラームタイプを含んでいるもの、および
圧縮モジュール605であり、アラームタイプが根本原因アラームタイプであるアラームログを取得するために、少なくとも1つの関連規則に基づいて複数の処理されるアラームログを圧縮するように構成されているもの、である。
取得サブモジュール6031であり、第1アラームタイプセットを取得するために、履歴アラームログセット内の全てのアラームタイプを取得するように構成されているもの、および
決定サブモジュール6032であり、第1アラームタイプセット内の各アラームタイプの時系列ベクトルを決定するように構成されており、ここで、各時系列ベクトルは、対応するアラームタイプと複数の履歴アラームログサブセットとの間の対応を反映するために使用されているもの、である。
第1アラームタイプセット内の各アラームタイプについて時系列ベクトル決定プロシージャを実行する、
ように構成され得る。
複数の履歴アラームログサブセット内にアラームタイプが存在するか否かを逐次的(sequentially)に検出するステップと、
検出結果に基づいて、アラームタイプの時系列ベクトルを決定するステップと、を含む。
少なくとも1つの関連規則を生成するために、全てのアラームタイプの時系列ベクトルに基づいて、第1アラームタイプセット内の全てのアラームタイプについてクラスタリング処理するように構成され得る。
第1アラームタイプセットについてクラスタリング操作を実行するように構成され得る。ここで、クラスタリング操作は、
目標アラームタイプセットおよび第2アラームタイプセットを設定するステップであり、ここで、目標アラームタイプセットおよび第2アラームタイプセットの両方が空集合である、ステップと、
目標アラームタイプセットに対して第1アラームタイプセット内の任意のアラームタイプを追加し、かつ、第1アラームタイプセットから、目標アラームタイプセットに対して追加したアラームタイプを削除する、ステップと、
第1アラームタイプセットが空集合になるまで決定プロシージャを繰り返し実行し、かつ、目標アラームタイプセットを関連規則として決定する、ステップと、
決定プロシージャを繰り返し実行した後で、第2アラームタイプセットが空集合でない場合には、新たな第1アラームタイプセットとして、第2アラームタイプセットを使用することにより、クラスタリング操作を繰り返して実行する、ステップ、もしくは、
決定プロシージャを繰り返し実行した後で、第2アラームタイプセットが空集合である場合には、クラスタリング操作の実行を停止する、ステップ、を含む。
処理されるアラームタイプと目標アラームタイプセットとの間の相関を、処理されるアラームタイプの時系列ベクトルおよび目標アラームタイプセット内の全てのアラームタイプの時系列ベクトルに基づいて、算出するステップであり、ここで、処理されるアラームタイプは、目標アラームタイプセット内のアラームタイプ以外の第1アラームタイプセット内の任意のアラームタイプである、ステップと、
相関が事前設定された相関閾値よりも大きい場合には、更新された目標アラームタイプを取得するために、処理されるアラームタイプを目標アラームタイプセットに対して追加し、かつ、処理されるアラームタイプを第1アラームタイプセットから削除する、ステップ、もしくは、
相関が事前設定された相関閾値を超えない場合には、処理されるアラームタイプを第2アラームタイプセットに対して追加し、かつ、処理されるアラームタイプを第1アラームタイプセットから削除する、ステップ、を含む。
第1アラームタイプセット内の目標アラームタイプをマーキングし、ここで、目標アラームタイプは、第1アラームタイプセット内の任意のアラームタイプであり、かつ、
第1アラームタイプセットについてクラスタリング操作を実行するように構成されよく、クラスタリング操作は、
第1アラームタイプセット内の全てのアラームタイプがトラバースされるまで、決定プロシージャを繰り返し実行し、
決定プロシージャを繰り返し実行した後で、第1アラームタイプセット内でマークが設定されていないアラームタイプが存在する場合には、マークが設定されていない任意のアラームタイプを、新たな目標アラームタイプとして決定し、新たな目標アラームタイプにマーキングし、かつ、クラスタリング操作を繰り返し実行し、ここで、異なる目標アラームタイプに異なるマークが設定されているか、もしくは、
決定プロシージャを繰り返し実行した後で、第1アラームタイプセット内にマークが設定されていないアラームタイプが存在しない場合には、クラスタリング操作の実行を中止し、かつ、第1アラームタイプセットに基づいて少なくとも1つの関連規則を生成し、ここで、各関連規則の全てのアラームタイプについて同じマークが設定される、
ことを含む。
目標アラームタイプセットとして、目標アラームタイプと同じマークを有する第1アラームタイプセット内の全てのアラームタイプを含むセットを決定するステップと、
処理されるアラームタイプと目標アラームタイプセットとの間の相関を、処理されるアラームタイプの時系列ベクトルおよび目標アラームタイプセット内の全てのアラームタイプの時系列ベクトルに基づいて算出するステップであり、ここで、処理されるアラームタイプは、目標アラームタイプセット内のアラームタイプ以外の第1アラームタイプセット内の任意のアラームタイプである、ステップと、
相関が事前設定された相関閾値よりも大きい場合に、処理されるアラームタイプをマーキングするステップであり、ここで、処理されるアラームタイプのマークは、目標アラームタイプのマークと同じである、ステップと、を含む。
ピアソン相関係数式に従って、処理されるアラームタイプセットと目標アラームタイプセット内の各アラームタイプとの相関を算出するように構成されてよく、ピアソン相関係数式は、
Cor(ii、ij)は、アラームタイプiiとアラームタイプijとの間の相関関係を表し、cov(νi、νj)は、νiとνjとの間の共分散(covariance)表し、σνiは、νiの標準偏差を表し、σνjは、νjの標準偏差を表し、νiは、アラームタイプiiの時系列ベクトルを表し、かつ、νjは、アラームタイプijの時系列ベクトルを表しており、かつ、
平均相関計算式に従って、処理されるアラームタイプと目標アラームタイプセット内の各アラームタイプとの相関関係に基づいて、処理されるアラームタイプと前記目標アラームタイプセットとの間の相関関係を算出するように構成されてよく、平均相関計算式は、
AveCor(ij、R)は、アラームタイプijと目標アラームタイプセットRとの間の相関を示し、かつ、|R|は、目標アラームタイプセットR内のアラームタイプの数量を示している。
履歴アラームログセットを取得するために、各履歴アラームログから冗長情報を除去するように、第1事前設定された期間内に第1ネットワークデバイスによって生成された履歴アラームログを事前処理するように構成され得る。
履歴アラームログセット内の履歴アラームログの生成タイムスタンプセットを取得し、
生成タイムスタンプセット、事前設定された時間ウィンドウ長、および、スライディングウィンドウ技術を使用することによるウィンドウスライディング段階に基づいて、履歴アラームログを複数の履歴アラームログサブセットへと分類するように構成されてよく、ここで、ウィンドウスライディング段階は、時間ウィンドウ長より大きくない。
第2取得モジュール606であり、第2の事前設定された期間内に、通信ネットワーク内で第2ネットワークデバイスによって生成された処理されるアラームログセットを取得するように構成されており、ここで、処理されるアラームログセットは、複数の処理されるアラームログを含み、そして、各処理されるアラームログは、アラームタイプおよび生成タイムスタンプを含んでいる、第2取得モジュールと、
生成モジュール607であり、処理されるアラームログセットに基づいて少なくとも1つのアラームイベントを生成するように構成されており、ここで、各アラームイベントは、第2ネットワークデバイスによって生成されるものと同じアラームタイプのアラームログを示すために使用される、生成モジュール、を含む。
各処理されるアラームログセットについてアラームイベント再構成プロシージャを実行するように構成されている、再構成サブモジュール6071を含み得る。ここで、アラームイベント再構成プロセスは、
取得ユニット71aであり、処理されるアラームログセット内の各アラームタイプについて、処理されるアラームログセット内に存在し、かつ、アラームタイプのものである目標アラームログを取得するように構成されている、取得ユニットと、
計算ユニット71bであり、時系列において隣接する処理されるアラームログセット内の2つの目標アラームログ毎の間の発生時間間隔を個別に計算するように構成されている、計算ユニットと、
再構成ユニット71cであり、同じアラームイベントに属する処理されるアラームログセット内の目標アラームログを、2つの目標アラームログ毎の間の発生時間間隔に基づいて、1つのアラームイベントへと再構成するように構成されている、再構成ユニット、を含み得る。
指数移動平均法を使用することにより、2つの目標アラームログ間の推定時間間隔を計算し、ここで、2つの目標アラームログは、時系列において隣接する任意の2つの目標アラームログであり、2つの目標アラームログは、第1アラームログおよび第2アラームログを含み、そして、第1アラームログは、第2アラームログの前に生成され、
2つの目標アラームログ間の発生時間間隔および推定時間間隔が、事前設定された条件を満たすか否かを判断し、かつ、
2つの目標アラームログ間の発生時間間隔および推定時間間隔が、事前設定された条件を満たす場合には、第2アラームログが、第1アラームログが属するアラームイベントに属することを決定し、そして、第2アラームログを第1アラームログが属するアラームイベントへと集約し、
2つの目標アラームログ間の発生時間間隔および推定時間間隔が、事前設定された条件を満たさない場合には、第2アラームログが、第1アラームログが属するアラームイベントに属していないことを決定する、ように構成されている。
tkは第2アラームログの生成時間スタンプであり、tk-1は第1アラームログの生成時間スタンプであり、0≦α≦1であり、kは1より大きい整数であり、βは正の数である。
2つの目標アラームログ間の発生時間間隔が、事前設定された最小時間間隔の閾値以下である場合には、第2アラームログが、第1アラームログが属するアラームイベントに属することを決定し、もしくは、
2つの目標アラームログ間の発生時間間隔が、事前設定された最大時間間隔の閾値より大きい場合には、第2アラームログが、第1アラームログが属するアラームイベントに属していないことを決定するように構成され得る。ここで、
smin≦β*sk’≦smaxであり、sminは最小時間間隔閾値であり、そして、smaxは最大時間間隔閾値である。
第2アラームログを新たなアラームイベントへと集約するように構成され得る。
少なくとも1つの目標アラームイベントを取得するために、少なくとも1つの関連規則に基づいて、少なくとも1つのアラームイベントを圧縮するように構成され得る。ここで、各目標アラームイベントは、アラームタイプが根本原因アラームタイプであるアラームログを示すために使用されている。
出力モジュール608であり、少なくとも1つの目標アラームイベントをネットワーク監視エンジニアに対して表示するために、少なくとも1つの目標アラームイベントを出力するように構成されている、出力モジュール、を含み得る。
Claims (39)
- アラームログ圧縮方法であって、前記方法は、
通信ネットワーク内で第1ネットワークデバイスによって生成された履歴アラームログセットを取得するステップであり、前記履歴アラームログセットは、複数の履歴アラームログを含み、かつ、各履歴アラームログは、アラームタイプおよび生成タイムスタンプを含む、ステップと、
前記履歴アラームログセットを、前記履歴アラームログセット内の履歴アラームログの生成タイムスタンプに基づいて、複数の履歴アラームログサブセットへと分割するステップであり、各履歴アラームログサブセット内の全ての履歴アラームログは、時系列において連続しており、かつ、前記複数の履歴アラームログサブセットの和集合は、前記履歴アラームログセット内の全ての履歴アラームログを含む、ステップと、
前記履歴アラームログセット内のアラームタイプと、前記複数の履歴アラームログサブセットとの間の対応を決定するステップと、
少なくとも1つの関連規則を生成するために、前記対応に基づいて、履歴アラームログセット内の前記アラームタイプについてクラスタリング処理を実行するステップであり、各関連規則は、相互に関連付けられた根本原因アラームタイプおよび少なくとも1つのマイナーアラームタイプを含み、かつ、前記少なくとも1つの関連規則は、アラームタイプが前記根本原因アラームタイプであるアラームログを取得するように、アラームログを圧縮するために使用される、ステップと、
を含む、方法。 - 前記履歴アラームログセット内のアラームタイプと、前記複数の履歴アラームログサブセットとの間の対応を決定する前記ステップは、
第1アラームタイプセットを取得するために、前記履歴アラームログセット内の全てのアラームタイプを取得するステップと、
前記第1アラームタイプセットにおける各アラームタイプの時系列ベクトルを決定するステップであり、各時系列ベクトルは、対応するアラームタイプと前記複数の履歴アラームログサブセットとの間の対応を反映するために使用される、ステップと、を含み、
各アラームタイプに対応する前記時系列ベクトルについて、
前記時系列ベクトル内の値は、前記複数の履歴アラームログサブセットと1対1に対応しており、
前記時系列ベクトル内の値は、第1値および第2値のうちの少なくとも1つを含み、
前記第1値は、対応する履歴アラームログサブセット内に前記アラームタイプが存在することを示すために使用され、
前記第2値は、対応する履歴アラームログサブセット内に前記アラームタイプが存在しないことを示すために使用され、かつ、
前記第1値は、前記第2値とは異なっている、
請求項1に記載の方法。 - 前記第1アラームタイプセットにおける各アラームタイプの時系列ベクトルを決定する前記ステップは、
前記第1アラームタイプセットにおける各アラームタイプについて、時系列ベクトル決定プロシージャを実行するステップ、を含み、
前記時系列ベクトル決定プロシージャは、
前記アラームタイプが、前記複数の履歴アラームログサブセット内に存在するか否か順次に検出するステップと、
検出結果に基づいて、前記アラームタイプの前記時系列ベクトルを決定するステップと、
を含む、
請求項2に記載の方法。 - 少なくとも1つの関連規則を生成するために、前記対応に基づいて、履歴アラームログセット内の前記アラームタイプについてクラスタリング処理を実行する前記ステップは、
前記少なくとも1つの関連規則を生成するために、全てのアラームタイプの前記時系列ベクトルに基づいて、前記第1アラームタイプセット内の全てのアラームタイプについてクラスタリング処理を実行するステップ、
を含む、請求項2または3に記載の方法。 - 前記少なくとも1つの関連規則を生成するために、全てのアラームタイプの前記時系列ベクトルに基づいて、前記第1アラームタイプセット内の全てのアラームタイプについてクラスタリング処理を実行する前記ステップは、
前記第1アラームタイプセットについてクラスタリング操作を実行するステップ、を含み、前記クラスタリング操作は、
目標アラームタイプセットおよび第2アラームタイプセットを設定するステップであり、前記目標アラームタイプセットおよび前記第2アラームタイプセットの両方が空集合である、ステップと、
前記目標アラームタイプセットに対して前記第1アラームタイプセット内の任意のアラームタイプを追加し、かつ、第1アラームタイプセットから、前記目標アラームタイプセットに対して追加した前記アラームタイプを削除する、ステップと、
前記第1アラームタイプセットが空集合になるまで決定プロシージャを繰り返し実行し、かつ、前記目標アラームタイプセットを関連規則として決定する、ステップと、
決定プロシージャを繰り返し実行した後で、前記第2アラームタイプセットが空集合でない場合には、新たな第1アラームタイプセットとして、前記第2アラームタイプセットを使用することにより、クラスタリング操作を繰り返して実行する、ステップ、もしくは、
決定プロシージャを繰り返し実行した後で、前記第2アラームタイプセットが空集合である場合には、前記クラスタリング操作の実行を停止する、ステップ、
を含み、かつ、
前記決定プロシージャは、
処理されるアラームタイプと処理される前記目標アラームタイプセットとの間の相関を、前記処理されるアラームタイプの時系列ベクトルおよび前記目標アラームタイプセット内の全てのアラームタイプの時系列ベクトルに基づいて、算出するステップであり、前記処理されるアラームタイプは、前記目標アラームタイプセット内のアラームタイプ以外の前記第1アラームタイプセット内の任意のアラームタイプである、ステップと、
前記相関が事前設定された相関閾値よりも大きい場合には、更新された目標アラームタイプを取得するために、前記処理されるアラームタイプを前記目標アラームタイプセットに対して追加し、かつ、前記処理されるアラームタイプを前記第1アラームタイプセットから削除する、ステップ、もしくは、
前記相関が前記事前設定された相関閾値を超えない場合には、前記処理されるアラームタイプを前記第2アラームタイプセットに対して追加し、かつ、前記処理されるアラームタイプを前記第1アラームタイプセットから削除する、ステップ、
を含む、
請求項4に記載の方法。 - 前記少なくとも1つの関連規則を生成するために、全てのアラームタイプの前記時系列ベクトルに基づいて、前記第1アラームタイプセット内の全てのアラームタイプについてクラスタリング処理を実行する前記ステップは、
前記第1アラームタイプセット内の目標アラームタイプをマーキングするステップであり、前記目標アラームタイプは、前記第1アラームタイプセット内の任意のアラームタイプである、ステップと、
前記第1アラームタイプセットについてクラスタリング操作を実行するステップと、を含み、前記クラスタリング操作は、
前記第1アラームタイプセット内の全てのアラームタイプがトラバースされるまで、決定プロシージャを繰り返し実行するステップと、
決定プロシージャを繰り返し実行した後で、前記第1アラームタイプセット内でマークが設定されていないアラームタイプが存在する場合には、マークが設定されていない任意のアラームタイプを、新たな目標アラームタイプとして決定し、前記新たな目標アラームタイプにマーキングし、かつ、クラスタリング操作を繰り返し実行するステップであり、異なる目標アラームタイプに異なるマークが設定されている、ステップ、もしくは、
決定プロシージャを繰り返し実行した後で、前記第1アラームタイプセット内にマークが設定されていないアラームタイプが存在しない場合には、クラスタリング操作の実行を中止し、かつ、前記第1アラームタイプセットに基づいて少なくとも1つの関連規則を生成するステップであり、各関連規則の全てのアラームタイプについて同じマークが設定される、ステップ、
を含み、かつ、
前記決定プロシージャは、
目標アラームタイプセットとして、目標アラームタイプと同じマークを有する第1アラームタイプセット内の全てのアラームタイプを含むセットを決定するステップと、
処理されるアラームタイプと前記目標アラームタイプセットとの間の相関を、前記処理されるアラームタイプの時系列ベクトルおよび前記目標アラームタイプセット内の全てのアラームタイプの時系列ベクトルに基づいて、算出するステップであり、前記処理されるアラームタイプは、前記目標アラームタイプセット内のアラームタイプ以外の第1アラームタイプセット内の任意のアラームタイプである、ステップと、
前記相関が事前設定された相関閾値よりも大きい場合に、前記処理されるアラームタイプをマーキングするステップであり、前記処理されるアラームタイプのマークは、前記目標アラームタイプのマークと同じである、ステップと、
を含む、
請求項4に記載の方法。 - 処理されるアラームタイプと前記目標アラームタイプセットとの間の相関を、前記処理されるアラームタイプの時系列ベクトルおよび前記目標アラームタイプセット内の全てのアラームタイプの時系列ベクトルに基づいて、算出する前記ステップは、
ピアソン相関係数式に従って、前記処理されるアラームタイプセットと前記目標アラームタイプセット内の各アラームタイプとの相関を算出するステップであり、前記ピアソン相関係数式は、
Cor(ii、ij)は、アラームタイプiiとアラームタイプijとの間の相関関係を表し、
cov(νi、νj)は、νiとνjとの間の共分散(covariance)表し、
σνiは、νiの標準偏差を表し、
σνjは、νjの標準偏差を表し、
νiは、アラームタイプiiの時系列ベクトルを表し、かつ、
νjは、アラームタイプijの時系列ベクトルを表している、
ステップと、
平均相関計算式に従って、前記処理されるアラームタイプと前記目標アラームタイプセット内の各アラームタイプとの相関関係に基づいて、前記処理されるアラームタイプと前記目標アラームタイプセットとの間の相関関係を算出するステップであり、前記平均相関計算式は、
AveCor(ij、R)は、アラームタイプijと目標アラームタイプセットRとの間の相関を示し、かつ、
|R|は、目標アラームタイプセットR内のアラームタイプの数量を示している、
ステップと、
を含む、請求項5または6に記載の方法。 - 通信ネットワーク内で第1ネットワークデバイスによって生成された履歴アラームログセットを取得する前記ステップは、
前記履歴アラームログセットを取得するために、各履歴アラームログから冗長情報を除去するように、第1事前設定された期間内に第1ネットワークデバイスによって生成された履歴アラームログを事前処理するステップ、を含む、
請求項1乃至7いずれか一項に記載の方法。 - 各履歴アラームログは、2タプル(M、t)で表現されており、
Mは、アラームログ情報を表し、
tは、生成タイムスタンプを表し、かつ、
前記アラームログ情報は、少なくともアラームタイプフィールドおよび前記第1ネットワークデバイスの識別子フィールドを含んでいる、
請求項1乃至8いずれか一項に記載の方法。 - 前記履歴アラームログセット内の前記履歴アラームログは、時間の部分的な順序関係を有し、かつ、
前記履歴アラームログセットを、前記履歴アラームログセット内の履歴アラームログの生成タイムスタンプに基づいて、複数の履歴アラームログサブセットへと分割する前記ステップは、
前記履歴アラームログセット内の前記履歴アラームログの生成タイムスタンプセットを取得するステップと、
前記生成タイムスタンプセット、事前設定された時間ウィンドウ長、および、スライディングウィンドウ技術を使用することによるウィンドウスライディング段階に基づいて、前記履歴アラームログを前記複数の履歴アラームログサブセットへと分類するステップであり、前記ウィンドウスライディング段階は、時間ウィンドウ長より大きくない、ステップと、
を含む、請求項1乃至9いずれか一項に記載の方法。 - 前記方法は、さらに、
アラームタイプが前記根本原因アラームタイプであるアラームログを取得するために、前記少なくとも1つの関連規則に基づいて複数の処理されるアラームログを圧縮するステップ、を含む、
請求項1乃至10いずれか一項に記載の方法。 - 前記方法は、さらに、前記複数の処理されるアラームログを圧縮する前記ステップの前に、
第2の事前設定された期間内に、前記通信ネットワーク内で第2ネットワークデバイスによって生成された処理されるアラームログセットを取得するステップであり、前記処理されるアラームログセットは、前記複数の処理されるアラームログを含み、かつ、各処理されるアラームログは、アラームタイプおよび生成タイムスタンプを含む、ステップと、
前記処理されるアラームログセットに基づいて少なくとも1つのアラームイベントを生成するステップであり、各アラームイベントは、前記第2ネットワークデバイスによって生成されるものと同じアラームタイプのアラームログを示すために使用される、ステップと、
を含み、
前記複数の処理されるアラームログを圧縮する前記ステップは、
少なくとも1つの目標アラームイベントを取得するために、前記少なくとも1つの関連規則に基づいて、前記少なくとも1つのアラームイベントを圧縮するステップであり、各目標アラームイベントは、アラームタイプが前記根本原因アラームタイプであるアラームログを示すために使用される、ステップ、を含む、
請求項11に記載の方法。 - 前記処理されるアラームログセットに基づいて少なくとも1つのアラームイベントを生成する前記ステップは、
前記処理されるアラームログセットの各アラームタイプについて、前記処理されるアラームログセット内に存在し、かつ、前記アラームタイプのものである目標アラームログを取得するステップと、
時系列において隣接する前記処理されるアラームログセット内の2つの目標アラームログ毎の間の発生時間間隔を個別に計算するステップと、
同じアラームイベントに属する前記処理されるアラームログセット内の目標アラームログを、2つの目標アラームログ毎の間の前記発生時間間隔に基づいて、1つのアラームイベントへと再構成するステップ、
を含む、請求項12に記載の方法。 - 同じアラームイベントに属する前記処理されるアラームログセット内の目標アラームログを、2つの目標アラームログ毎の間の前記発生時間間隔に基づいて、1つのアラームイベントへと再構成する前記ステップは、
指数移動平均法を使用することにより、2つの目標アラームログ間の推定時間間隔を計算するステップであり、前記2つの目標アラームログは、時系列において隣接する任意の2つの目標アラームログであり、前記2つの目標アラームログは、第1アラームログおよび第2アラームログを含み、かつ、前記第1アラームログは、前記第2アラームログの前に生成される、ステップと、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たすか否かを判断するステップと、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たす場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属することを決定し、かつ、前記第2アラームログを前記第1アラームログが属するアラームイベントへと集約するステップ、もしくは、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たさない場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属していないことを決定するステップ、
を含む、請求項13に記載の方法。 - 前記2つの目標アラームログ間の前記発生時間間隔skは、sk=tk-tk-1であり、
前記推定時間間隔sk’は、sk’=α*sk-1+(1-α)*sk-1’であり、かつ、
前記事前設定された条件は、sk≦β*sk’であって、ここで、
tkは前記第2アラームログの生成時間スタンプであり、tk-1は前記第1アラームログの生成時間スタンプであり、0≦α≦1であり、kは1より大きい整数であり、かつ、βは正の数である、
請求項14に記載の方法。 - 前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たすか否かを判断する前記ステップの前に、前記方法は、さらに、
前記2つの目標アラームログ間の前記発生時間間隔が、事前設定された最小時間間隔の閾値以下である場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属することを決定するステップ、もしくは、
前記2つの目標アラームログ間の前記発生時間間隔が、事前設定された最大時間間隔の閾値より大きい場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属していないことを決定するステップ、
を含み、ここで、
smin≦β*sk’≦smaxであり、sminは最小時間間隔閾値であり、かつ、smaxは最大時間間隔閾値である、
請求項15に記載の方法。 - 前記第2アラームログが、前記第1アラームログが属するアラームイベントに属していないことを決定する前記ステップの後で、前記方法は、さらに、
前記第1アラームログが属するアラームイベントの再構成を終了し、かつ、新たなアラームイベントを初期化するステップと、
前記第2アラームログを前記新たなアラームイベントへと集約するステップと、
を含む、請求項14乃至16いずれか一項に記載の方法。 - 前記アラームイベントは、前記アラームタイプと、前記アラームイベントにおける前記アラームログの開始発生時点、終了発生時点、平均発生時間間隔、および発生回数の量のうちの少なくとも1つと、を含む、
請求項12乃至17いずれか一項に記載の方法。 - 少なくとも1つの目標アラームイベントを取得するために、前記少なくとも1つのアラームイベントを圧縮する前記ステップの後で、前記方法は、さらに、
前記少なくとも1つの目標アラームイベントを出力するステップ、
を含む、請求項12乃至18いずれか一項に記載の方法。 - 前記第2ネットワークデバイスと前記第1ネットワークデバイスとは、同じネットワークデバイスであり、もしくは、
前記第2ネットワークデバイスと前記第1ネットワークデバイスとは、同じタイプの異なるネットワークデバイスである、
請求項12乃至19いずれか一項に記載の方法。 - アラームログ圧縮装置であって、前記装置は、
第1取得モジュールであり、通信ネットワーク内で第1ネットワークデバイスによって生成された履歴アラームログセットを取得するように構成されており、前記履歴アラームログセットは、複数の履歴アラームログを含み、かつ、各履歴アラームログは、アラームタイプおよび生成タイムスタンプを含む、第1取得モジュールと、
分割モジュールであり、前記履歴アラームログセットを、前記履歴アラームログセット内の履歴アラームログの生成タイムスタンプに基づいて、複数の履歴アラームログサブセットへと分割するように構成されており、各履歴アラームログサブセット内の全ての履歴アラームログは、時系列において連続しており、かつ、前記複数の履歴アラームログサブセットの和集合は、前記履歴アラームログセット内の全ての履歴アラームログを含む、分割モジュールと、
決定モジュールであり、前記履歴アラームログセット内のアラームタイプと、前記複数の履歴アラームログサブセットとの間の対応を決定するように構成されている、決定モジュールと、
クラスタリングモジュールであり、少なくとも1つの関連規則を生成するために、前記対応に基づいて、履歴アラームログセット内の前記アラームタイプについてクラスタリング処理を実行するように構成されており、各関連規則は、相互に関連付けられた根本原因アラームタイプおよび少なくとも1つのマイナーアラームタイプを含み、かつ、前記少なくとも1つの関連規則は、アラームタイプが前記根本原因アラームタイプであるアラームログを取得するために、処理されるアラームログを圧縮するために使用される、クラスタリングモジュールと、
を含む、装置。 - 前記決定モジュールは、
取得サブモジュールであり、第1アラームタイプセットを取得するために、前記履歴アラームログセット内の全てのアラームタイプを取得するように構成されている、取得サブモジュールと、
決定サブモジュールであり、前記第1アラームタイプセットにおける各アラームタイプの時系列ベクトルを決定するように構成されており、各時系列ベクトルは、対応するアラームタイプと前記複数の履歴アラームログサブセットとの間の対応を反映するために使用される、決定サブモジュールと、を含み、
各アラームタイプに対応する前記時系列ベクトルについて、
前記時系列ベクトル内の値は、前記複数の履歴アラームログサブセットと1対1に対応しており、
前記時系列ベクトル内の値は、第1値および第2値のうちの少なくとも1つを含み、
前記第1値は、対応する履歴アラームログサブセット内に前記アラームタイプが存在することを示すために使用され、
前記第2値は、対応する履歴アラームログサブセット内に前記アラームタイプが存在しないことを示すために使用され、かつ、
前記第1値は、前記第2値とは異なっている、
請求項21に記載の装置。 - 前記決定サブモジュールは、
前記第1アラームタイプセットにおける各アラームタイプについて、時系列ベクトル決定プロシージャを実行するように構成されており、
前記時系列ベクトル決定プロシージャは、
前記アラームタイプが、前記複数の履歴アラームログサブセット内に存在するか否か順次に検出するステップと、
検出結果に基づいて、前記アラームタイプの前記時系列ベクトルを決定するステップと、
を含む、
請求項22に記載の装置。 - 前記クラスタリングモジュールは、
前記少なくとも1つの関連規則を生成するために、全てのアラームタイプの前記時系列ベクトルに基づいて、前記第1アラームタイプセット内の全てのアラームタイプについてクラスタリング処理を実行するように構成されている、
請求項22または23に記載の装置。 - 前記クラスタリングモジュールは、さらに、
前記第1アラームタイプセットについてクラスタリング操作を実行するように構成されており、前記クラスタリング操作は、
目標アラームタイプセットおよび第2アラームタイプセットを設定するステップであり、前記目標アラームタイプセットおよび前記第2アラームタイプセットの両方が空集合である、ステップと、
前記目標アラームタイプセットに対して前記第1アラームタイプセット内の任意のアラームタイプを追加し、かつ、第1アラームタイプセットから、前記目標アラームタイプセットに対して追加した前記アラームタイプを削除する、ステップと、
前記第1アラームタイプセットが空集合になるまで決定プロシージャを繰り返し実行し、かつ、前記目標アラームタイプセットを関連規則として決定する、ステップと、
決定プロシージャを繰り返し実行した後で、前記第2アラームタイプセットが空集合でない場合には、新たな第1アラームタイプセットとして、前記第2アラームタイプセットを使用することにより、クラスタリング操作を繰り返して実行する、ステップ、もしくは、
決定プロシージャを繰り返し実行した後で、前記第2アラームタイプセットが空集合である場合には、前記クラスタリング操作の実行を停止する、ステップ、
を含み、かつ、
前記決定プロシージャは、
処理されるアラームタイプと処理される前記目標アラームタイプセットとの間の相関を、前記処理されるアラームタイプの時系列ベクトルおよび前記目標アラームタイプセット内の全てのアラームタイプの時系列ベクトルに基づいて、算出するステップであり、前記処理されるアラームタイプは、前記目標アラームタイプセット内のアラームタイプ以外の前記第1アラームタイプセット内の任意のアラームタイプである、ステップと、
前記相関が事前設定された相関閾値よりも大きい場合には、更新された目標アラームタイプを取得するために、前記処理されるアラームタイプを前記目標アラームタイプセットに対して追加し、かつ、前記処理されるアラームタイプを前記第1アラームタイプセットから削除する、ステップ、もしくは、
前記相関が前記事前設定された相関閾値を超えない場合には、前記処理されるアラームタイプを前記第2アラームタイプセットに対して追加し、かつ、前記処理されるアラームタイプを前記第1アラームタイプセットから削除する、ステップ、
を含む、
請求項24に記載の装置。 - 前記クラスタリングモジュールは、さらに、
前記第1アラームタイプセット内の目標アラームタイプをマーキングし、前記目標アラームタイプは、前記第1アラームタイプセット内の任意のアラームタイプであり、かつ、
前記第1アラームタイプセットについてクラスタリング操作を実行する、ように構成されており、
前記クラスタリング操作は、
前記第1アラームタイプセット内の全てのアラームタイプがトラバースされるまで、決定プロシージャを繰り返し実行するステップと、
決定プロシージャを繰り返し実行した後で、前記第1アラームタイプセット内でマークが設定されていないアラームタイプが存在する場合には、マークが設定されていない任意のアラームタイプを、新たな目標アラームタイプとして決定し、前記新たな目標アラームタイプにマーキングし、かつ、クラスタリング操作を繰り返し実行するステップであり、異なる目標アラームタイプに異なるマークが設定されている、ステップ、もしくは、
決定プロシージャを繰り返し実行した後で、前記第1アラームタイプセット内にマークが設定されていないアラームタイプが存在しない場合には、クラスタリング操作の実行を中止し、かつ、前記第1アラームタイプセットに基づいて少なくとも1つの関連規則を生成するステップであり、各関連規則の全てのアラームタイプについて同じマークが設定される、ステップ、
を含み、かつ、
前記決定プロシージャは、
目標アラームタイプセットとして、目標アラームタイプと同じマークを有する第1アラームタイプセット内の全てのアラームタイプを含むセットを決定するステップと、
処理されるアラームタイプと前記目標アラームタイプセットとの間の相関を、前記処理されるアラームタイプの時系列ベクトルおよび前記目標アラームタイプセット内の全てのアラームタイプの時系列ベクトルに基づいて、算出するステップであり、前記処理されるアラームタイプは、前記目標アラームタイプセット内のアラームタイプ以外の第1アラームタイプセット内の任意のアラームタイプである、ステップと、
前記相関が事前設定された相関閾値よりも大きい場合に、前記処理されるアラームタイプをマーキングするステップであり、前記処理されるアラームタイプのマークは、前記目標アラームタイプのマークと同じである、ステップと、
を含む、
請求項24に記載の装置。 - 前記クラスタリングモジュールは、さらに、
ピアソン相関係数式に従って、前記処理されるアラームタイプセットと前記目標アラームタイプセット内の各アラームタイプとの相関を算出するように構成されており、前記ピアソン相関係数式は、
Cor(ii、ij)は、アラームタイプiiとアラームタイプijとの間の相関関係を表し、
cov(νi、νj)は、νiとνjとの間の共分散(covariance)表し、
σνiは、νiの標準偏差を表し、
σνjは、νjの標準偏差を表し、
νiは、アラームタイプiiの時系列ベクトルを表し、
νjは、アラームタイプijの時系列ベクトルを表しており、かつ、
平均相関計算式に従って、前記処理されるアラームタイプと前記目標アラームタイプセット内の各アラームタイプとの相関関係に基づいて、前記処理されるアラームタイプと前記目標アラームタイプセットとの間の相関関係を算出するように構成されており、前記平均相関計算式は、
AveCor(ij、R)は、アラームタイプijと目標アラームタイプセットRとの間の相関を示し、かつ、
|R|は、目標アラームタイプセットR内のアラームタイプの数量を示している、
請求項25または26に記載の装置。 - 前記第1取得モジュールは、
前記履歴アラームログセットを取得するために、各履歴アラームログから冗長情報を除去するために、第1事前設定された期間内に第1ネットワークデバイスによって生成された履歴アラームログを事前処理するように構成されている、
請求項21乃至27いずれか一項に記載の装置。 - 各履歴アラームログは、2タプル(M、t)で表現されており、
Mは、アラームログ情報を表し、
tは、生成タイムスタンプを表し、かつ、
前記アラームログ情報は、少なくともアラームタイプフィールドおよび前記第1ネットワークデバイスの識別子フィールドを含んでいる、
請求項21乃至28いずれか一項に記載の装置。 - 前記履歴アラームログセット内の前記履歴アラームログは、時間の部分的な順序関係を有し、かつ、
前記分割モジュールは、
前記履歴アラームログセット内の前記履歴アラームログの生成タイムスタンプセットを取得し、かつ、
前記生成タイムスタンプセット、事前設定された時間ウィンドウ長、および、ウィンドウスライディング段階に基づいて、前記履歴アラームログを前記複数の履歴アラームログサブセットへと分類する、ように構成されており、
前記ウィンドウスライディング段階は、時間ウィンドウ長より大きくない、
請求項21乃至29いずれか一項に記載の装置。 - 前記装置は、さらに、
アラームタイプが前記根本原因アラームタイプであるアラームログを取得するために、前記少なくとも1つの関連規則に基づいて、複数の処理されるアラームログを圧縮するように構成されている、圧縮モジュール、を含む、
請求項21乃至30いずれか一項に記載の装置。 - 前記装置は、さらに、
第2取得モジュールであり、第2の事前設定された期間内に、前記通信ネットワーク内で第2ネットワークデバイスによって生成された処理されるアラームログセットを取得するように構成されており、前記処理されるアラームログセットは、前記複数の処理されるアラームログを含み、かつ、各処理されるアラームログは、アラームタイプおよび生成タイムスタンプを含む、第2取得モジュールと、
生成モジュールであり、前記処理されるアラームログセットに基づいて少なくとも1つのアラームイベントを生成するように構成されており、各アラームイベントは、前記第2ネットワークデバイスによって生成されるものと同じアラームタイプのアラームログを示すために使用される、生成モジュールと、
を含み、
前記圧縮モジュールは、
少なくとも1つの目標アラームイベントを取得するために、前記少なくとも1つの関連規則に基づいて、前記少なくとも1つのアラームイベントを圧縮するように構成されており、各目標アラームイベントは、アラームタイプが前記根本原因アラームタイプであるアラームログを示すために使用される、
請求項31に記載の装置。 - 前記生成モジュールは、
各処理されるアラームログセットについて、アラームイベント再構成プロシージャを実行するように構成されている、再構成サブモジュールを含み、
前記アラームイベント再構成プロシージャは、
取得ユニットであり、前記処理されるアラームログセットの各アラームタイプについて、前記処理されるアラームログセット内に存在し、かつ、前記アラームタイプのものである目標アラームログを取得するように構成されている、取得ユニットと、
計算ユニットであり、時系列において隣接する前記処理されるアラームログセット内の2つの目標アラームログ毎の間の発生時間間隔を個別に計算するように構成されている、計算ユニットと、
再構成ユニットであり、同じアラームイベントに属する前記処理されるアラームログセット内の目標アラームログを、2つの目標アラームログ毎の間の前記発生時間間隔に基づいて、1つのアラームイベントへと再構成するように構成されている、再構成ユニットと、を含む、
請求項32に記載の装置。 - 前記再構成ユニットは、
指数移動平均法を使用することにより、2つの目標アラームログ間の推定時間間隔を計算し、前記2つの目標アラームログは、時系列において隣接する任意の2つの目標アラームログであり、前記2つの目標アラームログは、第1アラームログおよび第2アラームログを含み、かつ、前記第1アラームログは、前記第2アラームログの前に生成され、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たすか否かを判断し、かつ、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たす場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属することを決定し、かつ、前記第2アラームログを前記第1アラームログが属するアラームイベントへと集約し、もしくは、
前記2つの目標アラームログ間の前記発生時間間隔および前記推定時間間隔が、事前設定された条件を満たさない場合には、前記第2アラームログが、前記第1アラームログが属するアラームイベントに属していないことを決定する、
ように構成されている、請求項33に記載の装置。 - 前記再構成ユニットは、さらに、
前記第1アラームログが属するアラームイベントの再構成を終了して、新たなアラームイベントを初期化し、かつ、
前記第2アラームログを前記新たなアラームイベントへと集約する、
ように構成されている、請求項34に記載の装置。 - 前記アラームイベントは、前記アラームタイプと、前記アラームイベントにおける前記アラームログの開始発生時点、終了発生時点、平均発生時間間隔、および発生回数の量のうちの少なくとも1つと、を含む、
請求項32乃至35いずれか一項に記載の装置。 - 前記装置は、さらに、
出力モジュールであり、前記少なくとも1つの目標アラームイベントを出力するように構成されている、出力モジュール、
を含む、請求項32乃至36いずれか一項に記載の装置。 - 前記第2ネットワークデバイスと前記第1ネットワークデバイスとは、同じネットワークデバイスであり、もしくは、
前記第2ネットワークデバイスと前記第1ネットワークデバイスとは、同じタイプの異なるネットワークデバイスである、
請求項32乃至37いずれか一項に記載の装置。 - コンピュータで読取り可能な記憶媒体であって、
前記コンピュータで読取り可能な記憶媒体は、命令を保管しており、かつ、
前記命令がプロセッサによって実行されると、請求項1乃至20いずれか一項に記載の方法が実施される、
コンピュータで読取り可能な記憶媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022105841A JP7325584B2 (ja) | 2018-04-23 | 2022-06-30 | アラームログ圧縮方法、装置、およびシステム、並びに記憶媒体 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810370889.0A CN110399347B (zh) | 2018-04-23 | 2018-04-23 | 告警日志压缩方法、装置及系统、存储介质 |
CN201810370889.0 | 2018-04-23 | ||
PCT/CN2018/124144 WO2019205697A1 (zh) | 2018-04-23 | 2018-12-27 | 告警日志压缩方法、装置及系统、存储介质 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022105841A Division JP7325584B2 (ja) | 2018-04-23 | 2022-06-30 | アラームログ圧縮方法、装置、およびシステム、並びに記憶媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021519988A JP2021519988A (ja) | 2021-08-12 |
JP7100155B2 true JP7100155B2 (ja) | 2022-07-12 |
Family
ID=68294786
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020558938A Active JP7100155B2 (ja) | 2018-04-23 | 2018-12-27 | アラームログ圧縮方法、装置、およびシステム、並びに記憶媒体 |
JP2022105841A Active JP7325584B2 (ja) | 2018-04-23 | 2022-06-30 | アラームログ圧縮方法、装置、およびシステム、並びに記憶媒体 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022105841A Active JP7325584B2 (ja) | 2018-04-23 | 2022-06-30 | アラームログ圧縮方法、装置、およびシステム、並びに記憶媒体 |
Country Status (7)
Country | Link |
---|---|
US (1) | US11436196B2 (ja) |
EP (1) | EP3779718A4 (ja) |
JP (2) | JP7100155B2 (ja) |
KR (1) | KR102520044B1 (ja) |
CN (2) | CN110399347B (ja) |
CA (1) | CA3098860C (ja) |
WO (1) | WO2019205697A1 (ja) |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110928255B (zh) * | 2019-11-20 | 2021-02-05 | 珠海格力电器股份有限公司 | 数据异常统计报警方法、装置、存储介质及电子设备 |
CN111147300B (zh) * | 2019-12-26 | 2022-04-29 | 绿盟科技集团股份有限公司 | 一种网络安全告警置信度评估方法及装置 |
CN111352759B (zh) * | 2019-12-31 | 2024-04-02 | 杭州亚信软件有限公司 | 一种告警根因的判定方法及装置 |
CN113138968A (zh) * | 2020-01-20 | 2021-07-20 | 普天信息技术有限公司 | 日志压缩方法及日志解压缩方法 |
CN111555921B (zh) * | 2020-04-29 | 2023-04-07 | 平安科技(深圳)有限公司 | 告警根因的定位方法、装置、计算机设备和存储介质 |
CN111726248A (zh) * | 2020-05-29 | 2020-09-29 | 北京宝兰德软件股份有限公司 | 一种告警根因定位方法及装置 |
DE102021109775A1 (de) | 2020-06-30 | 2021-12-30 | Hewlett Packard Enterprise Development Lp | Adaptive zeitfenster- basierte deduplizierung von protokollnachrichten |
CN112583644B (zh) * | 2020-12-14 | 2022-10-18 | 华为技术有限公司 | 告警处理方法、装置、设备及可读存储介质 |
CN112735103A (zh) * | 2020-12-16 | 2021-04-30 | 中盈优创资讯科技有限公司 | 一种告警关联识别方法、装置及设备 |
CN112738087A (zh) * | 2020-12-29 | 2021-04-30 | 杭州迪普科技股份有限公司 | 攻击日志的展示方法及装置 |
CN112699169A (zh) * | 2020-12-30 | 2021-04-23 | 北京顺达同行科技有限公司 | 基于慢日志的隐患挖掘方法、装置、计算机设备和介质 |
US11388039B1 (en) * | 2021-04-09 | 2022-07-12 | International Business Machines Corporation | Identifying problem graphs in an information technology infrastructure network |
CN112968805B (zh) * | 2021-05-19 | 2021-08-06 | 新华三技术有限公司 | 一种告警日志处理方法及装置 |
CN113361904B (zh) * | 2021-06-03 | 2024-04-09 | 广联达科技股份有限公司 | 一种监控与告警方法、装置、设备及可读存储介质 |
CN113297183B (zh) * | 2021-07-21 | 2022-02-15 | 国网汇通金财(北京)信息科技有限公司 | 一种时间窗口的告警分析方法及装置 |
CN113775939B (zh) * | 2021-07-29 | 2022-12-23 | 河海大学 | 一种供水管网新增漏损的在线识别与定位方法 |
CN113822570B (zh) * | 2021-09-20 | 2023-09-26 | 北京瀚博网络科技有限公司 | 一种基于大数据分析的企业生产数据存储方法及系统 |
CN114202907B (zh) * | 2021-11-24 | 2022-12-02 | 华中科技大学 | 一种火灾报警实时分类方法及系统 |
CN114091704B (zh) * | 2021-11-26 | 2022-07-12 | 奇点浩翰数据技术(北京)有限公司 | 一种告警压制方法和装置 |
CN114553682B (zh) * | 2022-02-25 | 2023-08-15 | 中国平安人寿保险股份有限公司 | 实时告警方法、系统、计算机设备及存储介质 |
CN115001753B (zh) * | 2022-05-11 | 2023-06-09 | 绿盟科技集团股份有限公司 | 一种关联告警的分析方法、装置、电子设备及存储介质 |
WO2023224633A1 (en) * | 2022-05-20 | 2023-11-23 | Rakuten Symphony Singapore Pte. Ltd. | Discarded alarm collection method and system for implementing |
CN115022055B (zh) * | 2022-06-09 | 2024-04-19 | 武汉思普崚技术有限公司 | 一种基于动态时间窗口的网络攻击实时检测方法及装置 |
CN115051907A (zh) * | 2022-06-10 | 2022-09-13 | 中国电信股份有限公司 | 告警日志数据的处理方法及装置、非易失性存储介质 |
CN115033463B (zh) * | 2022-08-12 | 2022-11-22 | 北京优特捷信息技术有限公司 | 一种系统异常类型确定方法、装置、设备和存储介质 |
CN115514619B (zh) * | 2022-09-20 | 2023-06-16 | 建信金融科技有限责任公司 | 告警收敛方法及系统 |
CN116996330B (zh) * | 2023-09-27 | 2023-12-01 | 深圳市互盟科技股份有限公司 | 基于网络安全的数据中心访问控制管理系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016143388A (ja) | 2015-02-05 | 2016-08-08 | 日本電信電話株式会社 | ログ情報分類装置、ログ情報分類方法、及びプログラム |
WO2017082782A1 (en) | 2015-11-10 | 2017-05-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Managing network alarms |
Family Cites Families (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6230153B1 (en) * | 1998-06-18 | 2001-05-08 | International Business Machines Corporation | Association rule ranker for web site emulation |
US7389345B1 (en) * | 2003-03-26 | 2008-06-17 | Sprint Communications Company L.P. | Filtering approach for network system alarms |
JP2006041764A (ja) | 2004-07-23 | 2006-02-09 | Ricoh Co Ltd | ログ記録装置、ログ記録プログラムおよび記録媒体 |
US20070150690A1 (en) * | 2005-12-23 | 2007-06-28 | International Business Machines Corporation | Method and apparatus for increasing virtual storage capacity in on-demand storage systems |
US7941389B2 (en) * | 2006-02-10 | 2011-05-10 | Numenta, Inc. | Hierarchical temporal memory based system including nodes with input or output variables of disparate properties |
US7941392B2 (en) * | 2007-02-28 | 2011-05-10 | Numenta, Inc. | Scheduling system and method in a hierarchical temporal memory based system |
WO2008106623A2 (en) * | 2007-02-28 | 2008-09-04 | Numenta, Inc. | Episodic memory with a hierarchical temporal memory based system |
JP4600447B2 (ja) | 2007-08-30 | 2010-12-15 | ブラザー工業株式会社 | ログ収集システム、及びコンピュータ装置 |
US8175984B2 (en) * | 2007-12-05 | 2012-05-08 | Numenta, Inc. | Action based learning |
JP2009223404A (ja) | 2008-03-13 | 2009-10-01 | Ricoh Co Ltd | ログローテーション制御装置およびログローテーション制御プログラム |
CN101325520B (zh) | 2008-06-17 | 2010-08-18 | 南京邮电大学 | 基于日志的智能自适应网络故障定位和分析方法 |
JP5430370B2 (ja) | 2009-11-30 | 2014-02-26 | 三菱電機株式会社 | ログ圧縮装置及びログ収集システム及びコンピュータプログラム及びログ圧縮方法 |
CN102158355B (zh) * | 2011-03-11 | 2013-08-14 | 广州蓝科科技股份有限公司 | 一种可并发和断续分析的日志事件关联分析方法和装置 |
JP5216895B2 (ja) | 2011-06-02 | 2013-06-19 | 日本電信電話株式会社 | ログ処理装置およびその動作方法 |
US9110452B2 (en) * | 2011-09-19 | 2015-08-18 | Fisher-Rosemount Systems, Inc. | Inferential process modeling, quality prediction and fault detection using multi-stage data segregation |
JP6126891B2 (ja) | 2013-03-29 | 2017-05-10 | 富士通株式会社 | 検出方法、検出プログラム、および検出装置 |
JP2015022659A (ja) | 2013-07-22 | 2015-02-02 | キヤノン株式会社 | 画像処理装置および画像処理方法、プログラムならびに記憶媒体 |
US10819720B2 (en) | 2015-06-26 | 2020-10-27 | Nec Corporation | Information processing device, information processing system, information processing method, and storage medium |
US9665420B2 (en) | 2015-07-31 | 2017-05-30 | Ca, Inc. | Causal engine and correlation engine based log analyzer |
JP6251225B2 (ja) | 2015-11-06 | 2017-12-20 | キヤノン株式会社 | 情報処理装置、方法及びプログラム |
CN105528280B (zh) * | 2015-11-30 | 2018-11-23 | 中电科华云信息技术有限公司 | 系统日志与健康监控关系决定日志告警等级的方法及系统 |
RU2615790C1 (ru) | 2016-01-29 | 2017-04-11 | Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Магнитогорский государственный технический университет им. Г.И. Носова" (ФГБОУ ВПО "МГТУ") | Устройство для мониторинга силовых трансформаторов |
CN107181604B (zh) * | 2016-03-09 | 2020-06-02 | 华为技术有限公司 | 一种告警关联规则的生成方法、告警压缩方法以及装置 |
US9836952B2 (en) * | 2016-04-06 | 2017-12-05 | Alcatel-Lucent Usa Inc. | Alarm causality templates for network function virtualization |
CN106055608B (zh) | 2016-05-25 | 2019-06-07 | 北京百度网讯科技有限公司 | 自动采集和分析交换机日志的方法和装置 |
CN106100885A (zh) * | 2016-06-23 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种网络安全告警系统及设计方案 |
CN107770797A (zh) * | 2016-08-17 | 2018-03-06 | 中国移动通信集团内蒙古有限公司 | 一种无线网络告警管理的关联分析方法及系统 |
CN107231258B (zh) * | 2017-06-01 | 2019-09-24 | 国网电子商务有限公司 | 一种网络告警数据处理方法及装置 |
CN107426022B (zh) | 2017-07-21 | 2020-06-16 | 上海携程商务有限公司 | 安全事件监测方法及装置、电子设备、存储介质 |
CN107391746A (zh) | 2017-08-10 | 2017-11-24 | 深圳前海微众银行股份有限公司 | 日志分析方法、设备和计算机可读存储介质 |
CN107835087B (zh) * | 2017-09-14 | 2022-09-02 | 北京科东电力控制系统有限责任公司 | 一种基于频繁模式挖掘的安全设备告警规则自动提取方法 |
CN107844514A (zh) * | 2017-09-22 | 2018-03-27 | 深圳市易成自动驾驶技术有限公司 | 数据挖掘方法、装置及计算机可读存储介质 |
US9923757B1 (en) * | 2017-10-03 | 2018-03-20 | Akamai Technologies, Inc. | Reducing data sets related to network security events |
-
2018
- 2018-04-23 CN CN201810370889.0A patent/CN110399347B/zh active Active
- 2018-04-23 CN CN202110542595.3A patent/CN113407507B/zh active Active
- 2018-12-27 KR KR1020207033540A patent/KR102520044B1/ko active IP Right Grant
- 2018-12-27 JP JP2020558938A patent/JP7100155B2/ja active Active
- 2018-12-27 WO PCT/CN2018/124144 patent/WO2019205697A1/zh unknown
- 2018-12-27 EP EP18916274.6A patent/EP3779718A4/en active Pending
- 2018-12-27 CA CA3098860A patent/CA3098860C/en active Active
-
2020
- 2020-10-22 US US17/077,638 patent/US11436196B2/en active Active
-
2022
- 2022-06-30 JP JP2022105841A patent/JP7325584B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016143388A (ja) | 2015-02-05 | 2016-08-08 | 日本電信電話株式会社 | ログ情報分類装置、ログ情報分類方法、及びプログラム |
WO2017082782A1 (en) | 2015-11-10 | 2017-05-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Managing network alarms |
Also Published As
Publication number | Publication date |
---|---|
WO2019205697A1 (zh) | 2019-10-31 |
CN113407507A (zh) | 2021-09-17 |
JP2022160405A (ja) | 2022-10-19 |
JP7325584B2 (ja) | 2023-08-14 |
CA3098860A1 (en) | 2019-10-31 |
CN110399347A (zh) | 2019-11-01 |
KR20210002602A (ko) | 2021-01-08 |
EP3779718A4 (en) | 2021-06-09 |
KR102520044B1 (ko) | 2023-04-11 |
US20210042270A1 (en) | 2021-02-11 |
EP3779718A1 (en) | 2021-02-17 |
CN113407507B (zh) | 2022-04-29 |
CN110399347B (zh) | 2021-05-18 |
CA3098860C (en) | 2023-09-26 |
JP2021519988A (ja) | 2021-08-12 |
US11436196B2 (en) | 2022-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7100155B2 (ja) | アラームログ圧縮方法、装置、およびシステム、並びに記憶媒体 | |
US11657309B2 (en) | Behavior analysis and visualization for a computer infrastructure | |
US11232133B2 (en) | System for detecting and characterizing seasons | |
CN107248927B (zh) | 故障定位模型的生成方法、故障定位方法和装置 | |
US11836162B2 (en) | Unsupervised method for classifying seasonal patterns | |
US10489711B1 (en) | Method and apparatus for predictive behavioral analytics for IT operations | |
US8069370B1 (en) | Fault identification of multi-host complex systems with timesliding window analysis in a time series | |
CN107992398A (zh) | 一种业务系统的监控方法和监控系统 | |
CN103761173A (zh) | 一种基于日志的计算机系统故障诊断方法及装置 | |
WO2020168756A1 (zh) | 集群日志特征提取方法、装置、设备及存储介质 | |
CN110489317B (zh) | 基于工作流的云系统任务运行故障诊断方法与系统 | |
WO2011017955A1 (zh) | 一种告警数据分析的方法及其系统 | |
WO2020167463A1 (en) | Interface for fault prediction and detection using time-based distributed data | |
CN112596975A (zh) | 对网络设备进行监控处理的方法、系统、设备和存储介质 | |
CN113297042B (zh) | 一种告警消息的处理方法、装置及设备 | |
CN115357418A (zh) | 微服务故障检测方法、装置、存储介质及计算机设备 | |
US9201752B2 (en) | System and method for correlating empirical data with user experience | |
CN111694721A (zh) | 一种微服务的故障监测方法和装置 | |
Xue et al. | Fill-in the gaps: Spatial-temporal models for missing data | |
RU2777616C2 (ru) | Система, устройство и способ сжатия журнала регистрации аварийных сигналов и носитель данных | |
CN111628901B (zh) | 一种指标异常检测方法以及相关装置 | |
US20230195962A1 (en) | Model construction apparatus, estimation apparatus, model construction method, estimation method and program | |
CN115604072A (zh) | 一种基于相对信息熵的电网告警降噪方法及系统 | |
Gurumdimma et al. | On handling redundancy for failure log analysis of cluster systems | |
CN115296976A (zh) | 物联网设备故障检测方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201201 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201201 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211110 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211124 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220216 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220531 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220630 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7100155 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |