RU2777616C2 - System, device and method for compression of alarm log, and data carrier - Google Patents
System, device and method for compression of alarm log, and data carrier Download PDFInfo
- Publication number
- RU2777616C2 RU2777616C2 RU2020137974A RU2020137974A RU2777616C2 RU 2777616 C2 RU2777616 C2 RU 2777616C2 RU 2020137974 A RU2020137974 A RU 2020137974A RU 2020137974 A RU2020137974 A RU 2020137974A RU 2777616 C2 RU2777616 C2 RU 2777616C2
- Authority
- RU
- Russia
- Prior art keywords
- alarm
- type
- target
- log
- types
- Prior art date
Links
- 238000007906 compression Methods 0.000 title claims abstract description 55
- 239000000969 carrier Substances 0.000 title 1
- 238000004891 communication Methods 0.000 claims abstract description 39
- 238000005516 engineering process Methods 0.000 claims abstract description 18
- 238000000034 method Methods 0.000 claims description 97
- 230000000875 corresponding Effects 0.000 claims description 36
- 238000011084 recovery Methods 0.000 claims description 29
- 230000002123 temporal effect Effects 0.000 claims description 18
- 238000004364 calculation method Methods 0.000 claims description 12
- 238000007781 pre-processing Methods 0.000 claims description 10
- 238000001514 detection method Methods 0.000 claims description 6
- 230000004931 aggregating Effects 0.000 claims description 5
- 238000004422 calculation algorithm Methods 0.000 claims description 4
- 238000000638 solvent extraction Methods 0.000 claims description 4
- 230000000977 initiatory Effects 0.000 claims 1
- 230000000694 effects Effects 0.000 abstract description 2
- 238000001914 filtration Methods 0.000 abstract description 2
- 239000000126 substance Substances 0.000 abstract 1
- 235000010384 tocopherol Nutrition 0.000 description 23
- 235000019731 tricalcium phosphate Nutrition 0.000 description 23
- 238000010586 diagram Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 2
- 238000006011 modification reaction Methods 0.000 description 2
- 230000003287 optical Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Abstract
Description
Область техники, к которой относится изобретениеThe field of technology to which the invention belongs
Настоящее изобретение относится к области технологий связи и, в частности, к системе, устройству и способу сжатия журнала регистрации аварийных сигналов и носителю данных.The present invention relates to the field of communication technologies and, in particular, to a system, apparatus and method for compressing an alarm log and a storage medium.
Уровень техникиState of the art
Сеть связи включает в себя большое количество сетевых устройств. Эти сетевые устройства ежедневно генерируют большое количество журналов регистрации аварийных сигналов. Журнал регистрации аварийных сигналов представляет собой информацию, сгенерированную сетевым устройством при возникновении неисправности. Журнал регистрации аварийных сигналов обычно включает в себя такую информацию, как идентификатор сетевого устройства, которое генерирует журнал регистрации аварийных сигналов, тип аварийного сигнала (используемый для указания сбоя, возникающего на сетевом устройстве) и отметку времени генерирования журнала регистрации аварийных сигналов. Каждое сетевое устройство сообщает сгенерированный журнал регистрации аварийных сигналов в устройство для обработки журнала регистрации аварийных сигналов. Инженер мониторинга сети анализирует журнал регистрации аварийных сигналов на устройстве для обработки журнала регистрации аварийных сигналов, обнаруживает неисправность, существующую в сети связи, и информирует инженера по обслуживанию сети для обработки.The communication network includes a large number of network devices. These network devices generate a large number of alarm logs daily. The alarm log is information generated by a network device when a fault occurs. The alarm log typically includes information such as the ID of the network device that generated the alarm log, the type of alarm (used to indicate a failure occurring on the network device), and the time stamp of the alarm log generated. Each network device reports the generated alarm log to the alarm log processing device. The network monitoring engineer analyzes the alarm log on the device to process the alarm log, detects a fault existing in the communication network, and informs the network maintenance engineer for processing.
С быстрым развитием технологий связи в настоящее время увеличиваются масштабы различных типов сетей связи, структуры сетей связи становятся все более сложными, типы и количество сетевых устройств в сетях связи увеличиваются. Большое количество сетевых устройств генерирует массивные журналы регистрации аварийных сигналов, и большинство журналов регистрации аварийных сигналов являются недействительными или избыточными журналами регистрации аварийных сигналов. Если все журналы регистрации аварийных сигналов, сгенерированные сетевыми устройствами, представлены инженеру мониторинга сети, аналитическая рабочая нагрузка инженера мониторинга сети будет значительной. Следовательно, журналы регистрации аварийных сигналов не могут быть эффективно отслежены и проанализированы, и неисправность, существующая в сети, не может быть обнаружена своевременно. Следовательно, для повышения эффективности работы инженера мониторинга сети необходимо эффективно сжимать журналы регистрации аварийных сигналов и фильтровать некоторые недопустимые или избыточные журналы регистрации аварийных сигналов для уменьшения количества журналов регистрации аварийных сигналов, представляемых инженеру мониторинга сети.With the rapid development of communication technologies, the scale of various types of communication networks is now increasing, the structures of communication networks are becoming more complex, the types and number of network devices in communication networks are increasing. A large number of network devices generate massive alarm logs, and most alarm logs are invalid or redundant alarm logs. If all alarm logs generated by network devices are presented to the network monitoring engineer, the analytical workload of the network monitoring engineer will be significant. Therefore, the alarm logs cannot be effectively tracked and analyzed, and the fault existing in the network cannot be detected in a timely manner. Therefore, in order to improve the efficiency of the network monitoring engineer, it is necessary to effectively compress the alarm logs and filter out some invalid or redundant alarm logs to reduce the number of alarm logs presented to the network monitoring engineer.
В соответствующей технологии обеспечивается способ сжатия журнала регистрации аварийных сигналов, содержащий: получение статистических данных журнала регистрации аварийных сигналов в соответствии с автоматическим способом получения данных из набора часто используемых элементов для установки правила ассоциации между различными типами аварийных сигналов; затем определение, профессиональным техником, точности правила ассоциации и определение основного типа аварийных сигналов и второстепенного типа аварийных сигналов в каждом правиле ассоциации; и после генерирования журналов регистрации аварийных сигналов, представление инженеру мониторинга сети, на основании заданного правила ассоциации, журнала регистрации аварийных сигналов, чей тип аварийных сигналов является основным типом аварийного сигнала, и фильтрация журнала регистрации аварийных сигналов второстепенного типа аварийных сигналов для сжатия журналов регистрации аварийных сигналов. В том же правиле ассоциации неисправность, которая возникает на сетевом устройстве и указывается второстепенным типом аварийного сигнала, вызвана неисправностью, которая происходит на сетевом устройстве и указывается основным типом аварийного сигнала.In related technology, an alarm log compression method is provided, comprising: obtaining alarm log statistics according to an automatic method for obtaining data from a set of frequently used items to set an association rule between different types of alarms; then determining, by a professional technician, the accuracy of the association rule, and determining the major alarm type and minor alarm type in each association rule; and after generating the alarm logs, presenting to the network monitoring engineer, based on a given association rule, an alarm log whose alarm type is the major alarm type, and filtering the alarm log of the minor alarm type to compress the alarm logs . In the same association rule, a fault that occurs on a network device and is indicated by a minor alarm type is caused by a fault that occurs on a network device and is indicated by a major alarm type.
Однако, в родственной технологии в процессе установки правила ассоциации между различными типами аварийных сигналов в соответствии с автоматическим способом получения набора часто используемых элементов для определения набора часто используемых элементов, статистические данные журналов регистрации аварийных сигналов должны просматриваться множество раз. Когда имеется большое количество статистических данных журналов регистрации аварийных сигналов, эффективность получения является относительно низкой. Дополнительно, поскольку некоторые типы аварийных сигналов возникают с относительно низкой частотой в реальной реализации, для полноты установки правил ассоциации для разных типов аварийных сигналов степень поддержки набора часто используемых элементов должна быть относительно низкой. Более низкая степень поддержки приводит к большему количеству определенных наборов часто используемых элементов и большему количеству правил ассоциации, устанавливаемых на основании наборов часто используемых элементов. Таким образом, относительно низкая степень поддержки приводит к большому количеству правил ассоциации, получаемых посредством операции получения. Следовательно, временные затраты относительно велики в процессе определения точности правила ассоциации и в процессе определения основного типа аварийных сигналов в правиле ассоциации.However, in a related technology, in the process of setting an association rule between different types of alarms according to an automatic method for obtaining a set of frequently used items to determine a set of frequently used items, the statistics of the alarm logs must be viewed multiple times. When there is a large amount of alarm log statistics, the acquisition efficiency is relatively low. Additionally, since some types of alarms occur at a relatively low frequency in a real implementation, the degree of support for a set of commonly used elements must be relatively low to complete the establishment of association rules for different types of alarms. A lower degree of support results in more defined sets of frequently used elements and more association rules based on sets of frequently used elements. Thus, the relatively low degree of support results in a large number of association rules obtained through the get operation. Therefore, the time cost is relatively large in the process of determining the accuracy of the association rule and in the process of determining the basic type of alarms in the association rule.
Раскрытие сущности изобретенияDisclosure of the essence of the invention
Варианты осуществления настоящего изобретения обеспечивают способ сжатия журнала регистрации аварийных сигналов, систему, устройство и носитель данных для решения технической задачи, заключающейся в том, что в соответствующей технологии эффективность получения правила ассоциации относительно низка, и временные затраты относительно высоки. Технические решения представляют собой следующее.Embodiments of the present invention provide an alarm log compression method, system, apparatus, and storage medium to solve the technical problem that, in the related technology, the association rule acquisition efficiency is relatively low and the time cost is relatively high. Technical solutions are as follows.
Согласно первому аспекту, настоящее раскрытие обеспечивает способ сжатия журнала регистрации аварийных сигналов, применяемый к устройству для сжатия, и этот способ включает в себя:According to a first aspect, the present disclosure provides an alarm log compression method applied to a compression device, and the method includes:
получение набора статистических данных журналов регистрации аварийных сигналов, сгенерированного первым сетевым устройством в сети связи, где набор статистических данных журналов регистрации аварийных сигналов включает в себя множество статистических данных журналов регистрации аварийных сигналов, и каждый журнал статистических данных аварийных сигналов включает в себя тип аварийного сигнала и отметку времени генерирования;obtaining a set of alarm log statistics generated by the first network device in the communication network, where the alarm log statistics set includes a plurality of alarm log statistics, and each alarm history log includes an alarm type and generation timestamp;
разделение набора статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов на основании отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов, где все статистические данные журналов регистрации аварийных сигналов в каждом поднаборе статистических данных журналов регистрации аварийных сигналов являются последовательными во временной последовательности, и объединенный набор множества поднаборов статистических данных аварийных сигналов включает в себя все статистические данные журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов;splitting a set of alarm log statistics into a plurality of subsets of alarm log statistics based on the timestamps of generation of the alarm log statistics in the alarm log statistics set, where all of the alarm log statistics in each subset of statistics the alarm log statistics are sequential in time sequence, and the combined set of the plurality of alarm history subsets includes all of the alarm history statistics in the alarm history history set;
определение соответствия между типом аварийного сигнала в наборе статистических данных журнала регистрации аварийных сигналов и множеством поднаборов статистических данных журнала регистрации аварийных сигналов;determining a correspondence between an alarm type in the set of alarm log statistics and a plurality of subsets of alarm log statistics;
выполнение обработки кластеризации по типам аварийных сигналов в наборе статистических данных журнала регистрации аварийных сигналов на основании соответствия, для генерирования по меньшей мере одного правила ассоциации, прием каждое правило ассоциации включает в себя основной тип аварийного сигнала и по меньшей мере один второстепенный тип аварийного сигнала, которые ассоциированы друг с другом; иperforming clustering processing on alarm types in the alarm log statistics set based on the match, to generate at least one association rule, receiving each association rule includes a major alarm type and at least one minor alarm type, which associated with each other; and
сжатие множества подлежащих обработке журналов регистрации аварийных сигналов на основании по меньшей мере одного правила ассоциации для получения журнала регистрации аварийных сигналов, тип аварийного сигнала которого является типом аварийных сигналов основной причины.compressing the plurality of alarm logs to be processed based on at least one association rule to obtain an alarm log whose alarm type is the root cause alarm type.
Следует отметить, что в настоящем изобретении набор статистических данных журналов регистрации аварийных сигналов разделен на множество поднаборов статистических данных журналов регистрации аварийных сигналов на основании отметок времени генерирования статистических данных журналов регистрации аварийных сигналов. Поскольку все статистические данные журналов регистрации аварийных сигналов в каждом поднаборе статистических данных журналов регистрации аварийных сигналов являются последовательными во временной последовательности, временная корреляция между типами аварийных сигналов может быть получена на основании каждого поднабора статистических данных журналов регистрации аварийных сигналов для получения правила ассоциации. В процессе получения данных необходимо только просмотреть типы аварийных сигналов во множестве поднаборов статистических данных журнала регистрации аварийных сигналов, полученных путем разделения, выполненного на основании отметки времени генерирования, затем определяется соответствие между каждым типом аварийного сигнала и множеством поднаборов статистических данных журнала регистрации аварийных сигналов, и может выполняться обработка кластеризации для типа аварийных сигналов на основании соответствия, чтобы сгенерировать правило ассоциации. По сравнению с родственной технологией в настоящем изобретении не требуется многократный просмотр статистических данных журналов регистрации аварийных сигналов, и эффективность получения правила ассоциации повышается. Дополнительно, в настоящем изобретении количество правил ассоциации, полученных на основании временной корреляции между типами аварийных сигналов, намного меньше, чем количество правил ассоциации, полученных на основании набора часто используемых элементов в соответствующей технологии. Следовательно, сокращаются временные затраты в процессе определения точности правила ассоциации и в процессе определения основного типа аварийных сигналов в правиле ассоциации.It should be noted that in the present invention, the set of alarm log statistics is divided into a plurality of subsets of alarm log statistics based on the time stamps of generating the alarm log statistics. Since all alarm log statistics in each alarm log statistics subset are sequential in time sequence, a temporal correlation between alarm types can be obtained based on each alarm log statistics subset to obtain an association rule. In the data acquisition process, it is only necessary to look at the alarm types in the set of alarm log statistics subsets obtained by splitting based on the generation time stamp, then the correspondence between each alarm type and the set of alarm log statistics subsets is determined, and clustering processing may be performed for the type of alarms based on the match to generate an association rule. Compared with the related technology, the present invention does not require multiple viewing of alarm log statistics, and the efficiency of obtaining an association rule is improved. Further, in the present invention, the number of association rules derived from the temporal correlation between alarm types is much smaller than the number of association rules derived from the set of frequently used elements in the related technology. Therefore, the time spent in the process of determining the accuracy of the association rule and in the process of determining the basic type of alarms in the association rule is reduced.
В качестве варианта, определение соответствия между типом аварийного сигнала в наборе статистических данных журнала регистрации аварийных сигналов и множеством поднаборов статистических данных журнала регистрации аварийных сигналов включает в себя в себя:Alternatively, determining the correspondence between an alarm type in a set of alarm log statistics and a plurality of subsets of alarm log statistics includes:
получение всех типов аварийных сигналов в наборе статистических данных журнала регистрации аварийных сигналов для получения первого набора типов аварийных сигналов; и определение вектора временной последовательности каждого типа аварийных сигналов в первом наборе типов аварийных сигналов, где каждый вектор временной последовательности используется для отражения соответствия между соответствующим типом аварийных сигналов и множеством поднаборов статистических данных журналов регистрации аварийных сигналов, где для вектора временной последовательности, соответствующего каждому типу аварийных сигналов, значения в векторе временной последовательности находятся во взаимно однозначном соответствии с множеством поднаборов статистических данных журналов регистрации аварийных сигналов, значения в векторе временной последовательности включают в себя по меньшей мере одно из первого значения и второго значения, при этом первое значение используется для указания, что тип аварийных сигналов находится в соответствующем поднаборе статистических данных журнала регистрации аварийных сигналов, второе значение используется для указания, что тип аварийных сигналов отсутствует в соответствующем поднаборе статистических данных журнала регистрации аварийных сигналов, и первое значение отличается от второго значения.obtaining all alarm types in the set of alarm log statistics to obtain the first set of alarm types; and determining a time sequence vector of each alarm type in the first set of alarm types, where each time sequence vector is used to reflect the correspondence between the corresponding alarm type and a plurality of alarm log statistics subsets, where for the time sequence vector corresponding to each alarm type signals, the values in the time sequence vector are in a one-to-one correspondence with a plurality of alarm log statistics subsets, the values in the time sequence vector include at least one of a first value and a second value, with the first value being used to indicate that the alarm type is in the corresponding alarm log statistics subset, the second value is used to indicate that the alarm type is not present is not present in the corresponding alarm log statistics subset, and the first value is different from the second value.
Определение вектора временной последовательности для каждого типа аварийных сигналов в первом наборе типов аварийных сигналов включает в себя:The definition of the time sequence vector for each alarm type in the first set of alarm types includes:
выполнение процедуры определения вектора временной последовательности для каждого типа аварийных сигналов в первом наборе типов аварийных сигналов.performing a time sequence vector determination procedure for each alarm type in the first alarm type set.
Процедура определения вектора временной последовательности включает в себя в себя:The procedure for determining the time sequence vector includes:
последовательное определение наличия типа аварийных сигналов во множестве поднаборов статистических данных журнала регистрации аварийных сигналов; иsuccessively determining the presence of an alarm type in a plurality of subsets of alarm log statistics; and
определение вектора временной последовательности типа аварийных сигналов на основании результата обнаружения.determining a time sequence vector of the alarm type based on the detection result.
Соответственно, выполнение обработки кластеризации по типам аварийных сигналов в наборе статистических данных журнала регистрации аварийных сигналов на основании соответствия для генерирования по меньшей мере одного правила ассоциации включает в себя:Accordingly, performing the alarm type clustering processing on the alarm log statistics set based on the match to generate at least one association rule includes:
выполнение обработки кластеризации для всех типов аварийных сигналов в первом наборе типов аварийных сигналов на основании векторов временной последовательности всех типов аварийных сигналов для генерирования по меньшей мере одного правила ассоциации.performing clustering processing on all alarm types in the first alarm type set based on the time sequence vectors of all alarm types to generate at least one association rule.
Следует отметить, что временное окно получается посредством деления, и устанавливается вектор временной последовательности типа аварийных сигналов для определения соответствия между каждым типом аварийных сигналов и множеством поднаборов статистических данных журнала аварийных сигналов. Способ прост и эффективен.It should be noted that a time window is obtained by dividing, and an alarm type time sequence vector is set to determine the correspondence between each alarm type and a plurality of alarm log statistics subsets. The method is simple and effective.
Первый способ выполнения обработки кластеризации по всем типам аварийных сигналов в первом наборе типов аварийных сигналов на основании векторов временной последовательности всех типов аварийных сигналов для генерирования, по меньшей мере, одного правила ассоциации включает в себя:The first method for performing clustering processing on all alarm types in the first alarm type set based on the time sequence vectors of all alarm types to generate at least one association rule includes:
выполнение операции кластеризации для первого набора типов аварийных сигналов, при этом операция кластеризации включает в себя:performing a clustering operation on the first set of alarm types, wherein the clustering operation includes:
установку целевого набора типов аварийных сигналов и второго набора типов аварийных сигналов, где как целевой набор типов аварийных сигналов, так и второй набор типов аварийных сигналов являются пустыми наборами;setting a target alarm type set and a second alarm type set, where both the target alarm type set and the second alarm type set are empty sets;
добавление любого типа аварийных сигналов в первый набор типов аварийных сигналов к целевому набору типов аварийных сигналов и удаление из первого набора типов аварийных сигналов типа аварийных сигналов, добавленного к целевому набору типов аварийных сигналов;adding any alarm type in the first alarm type set to the target alarm type set and deleting from the first alarm type set the alarm type added to the target alarm type set;
повторное выполнение процедуры определения до тех пор, пока первый набор типов аварийных сигналов не станет пустым набором, и определение целевого набора типов аварийных сигналов в качестве правила ассоциации; иrepeating the determination procedure until the first alarm type set is an empty set, and determining the target alarm type set as an association rule; and
после многократного выполнения процедуры определения, когда второй набор типов аварийных сигналов не является пустым, многократное выполнение операции кластеризации с использованием второго набора типов аварийных сигналов в качестве нового первого набора типов аварийных сигналов; илиafter repeatedly executing the determination procedure when the second set of alarm types is not empty, repeatedly performing a clustering operation using the second set of alarm types as a new first set of alarm types; or
после многократного выполнения процедуры определения, когда второй набор типов аварийных сигналов является пустым, прекращение выполнения операции кластеризации.after repeatedly executing the determination procedure when the second set of alarm types is empty, terminating the execution of the clustering operation.
Процедура определения включает в себя:The determination procedure includes:
вычисление корреляции между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов на основании вектора временной последовательности типа аварийных сигналов, подлежащего обработке, и векторов временной последовательности всех типов аварийных сигналов в целевом наборе типов аварийных сигналов, где подлежащий обработке тип аварийных сигналов представляет собой любой тип аварийных сигналов в первом наборе типов аварийных сигналов, кроме типов аварийных сигналов в целевом наборе типов аварийных сигналов; иcalculating the correlation between the alarm type to be processed and the target alarm type set, based on the time sequence vector of the alarm type to be processed and the time sequence vectors of all alarm types in the target alarm type set, where the alarm type to be processed is alarm is any alarm type in the first alarm type set other than the alarm types in the target alarm type set; and
когда корреляция превышает заданное пороговое значение корреляции, добавление типа аварийных сигналов, подлежащего обработке, к целевому набору типов аварийных сигналов, для получения обновленного целевого набора типов аварийных сигналов и удаление типа аварийных сигналов, подлежащего обработке, из первого набора типов аварийных сигналов; илиwhen the correlation exceeds a predetermined correlation threshold, adding an alarm type to be processed to the target alarm type set to obtain an updated target alarm type set, and deleting the alarm type to be processed from the first alarm type set; or
когда корреляция не превышает заданное пороговое значение корреляции, добавление типа аварийных сигналов, подлежащего обработке, ко второму набору типов аварийных сигналов и удаление типа аварийных сигналов, подлежащего обработке, из первого набора типов аварийных сигналов.when the correlation does not exceed the predetermined correlation threshold, adding the type of alarms to be processed to the second set of alarm types, and deleting the type of alarms to be processed from the first set of alarm types.
Второй способ выполнения обработки кластеризации по всем типам аварийных сигналов в первом наборе типов аварийных сигналов на основании векторов временной последовательности всех типов аварийных сигналов для генерирования по меньшей мере одного правила ассоциации включает в себя:A second method for performing clustering processing on all alarm types in the first alarm type set based on the time sequence vectors of all alarm types to generate at least one association rule includes:
отметку целевого типа аварийных сигналов в первом наборе типов аварийных сигналов, где целевым типом аварийных сигналов является любой тип аварийных сигналов в первом наборе типов аварийных сигналов; иmarking a target alarm type in the first alarm type set, where the target alarm type is any alarm type in the first alarm type set; and
выполнение операции кластеризации для первого набора типов аварийных сигналов, при этом операция кластеризации включает в себя:performing a clustering operation on the first set of alarm types, wherein the clustering operation includes:
многократное выполнение процедуры определения до тех пор, пока не будут просмотрены все типы аварийных сигналов в первом наборе типов аварийных сигналов; иexecuting the determination procedure repeatedly until all alarm types in the first set of alarm types have been viewed; and
после многократного выполнения процедуры определения, при наличии типа аварийных сигналов, для которого не установлена отметка в первом наборе типов аварийных сигналов, определение в качестве нового целевого типа аварийных сигналов любого типа аварийных сигналов, для которого не установлено никакой отметки, отметка нового целевого типа аварийных сигналов и многократное выполнение операции кластеризации, при этом разные целевые типы аварийных сигналов имеют разные отметки; илиafter repeating the determination procedure, if there is an alarm type that is not checked in the first set of alarm types, defining any alarm type that is not checked at all as a new target alarm type, marking the new target alarm type and repeatedly performing the clustering operation, with different target types of alarms having different marks; or
после многократного выполнения процедуры определения, при отсутствии типа аварийного сигнала, для которого не установлена отметка в первом наборе типов аварийных сигналов, прекращение выполнения операции кластеризации и генерирование, по меньшей мере, одного правила ассоциации на основании первого набора типов аварийных сигналов, где одинаковая отметка устанавливается для всех типов аварийных сигналов в каждом правиле ассоциации.after repeatedly executing the determination procedure, in the absence of an alarm type that is not checked in the first set of alarm types, terminating the clustering operation and generating at least one association rule based on the first set of alarm types, where the same mark is set for all alarm types in each association rule.
Процедура определения включает в себя:The determination procedure includes:
определение, в качестве целевого набора типов аварийных сигналов, набора, включающего в себя все типы аварийных сигналов в первом наборе типов аварийных сигналов, которые имеют ту же отметку, что и целевой тип аварийных сигналов;determining, as the target alarm type set, a set including all alarm types in the first alarm type set that have the same mark as the target alarm type;
вычисление корреляции между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов на основании вектора временной последовательности типа аварийных сигналов, подлежащего обработке, и векторов временной последовательности всех типов аварийных сигналов в целевом наборе типов аварийных сигналов, где тип аварийных сигналов, подлежащего обработке, является любым типом аварийных сигналов в первом наборе типов аварийных сигналов, кроме типов аварийных сигналов в целевом наборе типов аварийных сигналов; иcalculating the correlation between the alarm type to be processed and the target alarm type set based on the time sequence vector of the alarm type to be processed and the time sequence vectors of all alarm types in the target alarm type set, where the alarm type, to be processed is any alarm type in the first alarm type set other than the alarm types in the target alarm type set; and
отметку типа аварийных сигналов, который должен быть обработан, когда корреляция больше, чем заданное пороговое значение корреляции, где отметка типа аварийных сигналов, подлежащего обработке, является такой же, как отметка целевого типа аварийных сигналов.a flag of the type of alarms to be processed when the correlation is greater than a predetermined correlation threshold, where the flag of the type of alarms to be processed is the same as the flag of the target alarm type.
В качестве варианта, вычисление корреляции между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов, на основании вектора временной последовательности типа аварийных сигналов, который должен быть обработан, и векторов временной последовательности всех типов аварийных сигналов в целевом наборе типов аварийных сигналов включает в себя:Alternatively, calculating the correlation between the alarm type to be handled and the target alarm type set, based on the time sequence vector of the alarm type to be processed and the time sequence vectors of all alarm types in the target alarm type set signals include:
вычисление корреляции между типом аварийных сигналов, который должен быть обработан, и каждым типом аварийных сигналов в целевом наборе типов аварийных сигналов в соответствии с формулой коэффициента корреляции Пирсона, где формула коэффициента корреляции Пирсона имеет следующий вид:calculating the correlation between the alarm type to be handled and each alarm type in the target alarm type set according to the Pearson correlation coefficient formula, where the Pearson correlation coefficient formula is:
вычисление корреляции между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов на основании корреляции между типом аварийных сигналов, подлежащего обработке, и каждым типом аварийных сигналов в целевом наборе типов аварийных сигналов в соответствии с формулой вычисления средней корреляции, где формула вычисления средней корреляции:calculating the correlation between the alarm type to be handled and the target alarm type set based on the correlation between the alarm type to be processed and each alarm type in the target alarm type set according to the average correlation calculation formula, where the formula is mean correlation calculations:
В качестве варианта, получение набора статистических данных журнала регистрации аварийных сигналов, сгенерированного первым сетевым устройством в сети связи, включает в себя:Alternatively, obtaining a set of alarm log statistics generated by the first network device in the communication network includes:
предварительную обработку статистических данных журнала регистрации аварийных сигналов, сгенерированного первым сетевым устройством в первом заданном периоде времени, для удаления избыточной информации из статистических данных каждого журнала регистрации аварийных сигналов для получения набора статистических данных журналов регистрации аварийных сигналов.pre-processing the statistics of the alarm log generated by the first network device in the first predetermined time period to remove redundant information from the statistics of each alarm log to obtain a set of statistics of the alarm logs.
В качестве варианта, статистические данные каждого журнала регистрации аварийных сигналов представлен в формате двух кортежей (M, t), M представляет информацию журнала регистрации аварийных сигналов, t представляет временную метку генерирования, и информация журнала регистрации аварийных сигналов включает в себя, по меньшей мере, поле типа аварийного сигнала и поле идентификатора первого сетевого устройства.Alternatively, the statistics of each alarm log is represented in the format of two (M, t) tuples, M represents the alarm log information, t represents the generation timestamp, and the alarm log information includes at least an alarm type field; and a first network device identifier field.
В качестве варианта, статистические данные журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов имеют отношение отклонения по времени, и разделение набора статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных журнала аварийных сигналов на основании отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журнала регистрации аварийных сигналов с использованием способа скользящего окна, включает в себя:Alternatively, the alarm log statistics in the alarm log statistics set have a time variance relationship, and splitting the alarm log statistics set into a plurality of alarm log statistics subsets based on the timestamps of the generation of the alarm log statistics of alarms in the alarm log statistics set using the sliding window method includes:
получение набора отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов; иobtaining a set of alarm log statistics generation timestamps in the alarm log statistics set; and
классификацию статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов на основании набора отметок времени генерирования, заданной длительности временного окна и шага скользящего окна с использованием способа скользящего окна, где шаг скользящего окна не превышает длительность временного окна.classifying the alarm log statistics into a plurality of subsets of the alarm log statistics based on a set of generation timestamps, a predetermined time window length, and a sliding window step using a sliding window method where the sliding window step does not exceed the time window length.
Кроме того, способ дополнительно включает в себя:In addition, the method further includes:
получение подлежащего обработке набора журналов регистрации аварийных сигналов, сгенерированного вторым сетевым устройством в сети связи во втором заданном периоде времени, где подлежащий обработке набор журналов регистрации аварийных сигналов включает в себя множество подлежащих обработке журналов регистрации аварийных сигналов, и каждый журнал регистрации аварийных сигналов, который должен быть обработан, включает в себя тип аварийного сигнала и отметку времени генерирования; иobtaining a set of alarm logs to be processed generated by a second network device in the communication network in a second predetermined time period, where the set of alarm logs to be processed includes a plurality of alarm logs to be processed, and each alarm log to be be processed, includes the type of alarm and the timestamp of the generation; and
генерирование по меньшей мере одного события аварийных сигналов на основании набора журналов регистрации аварийных сигналов, который должен быть обработан, где каждое событие аварийных сигналов используется для указания журналов регистрации аварийных сигналов того же типа аварийных сигналов, которые генерируются вторым сетевым устройством.generating at least one alarm event based on the set of alarm logs to be processed, where each alarm event is used to indicate alarm logs of the same alarm type that are generated by the second network device.
Следует отметить, что, когда событие аварийных сигналов восстанавливается, статистические данные информации журнала регистрации аварийных сигналов могут быть получены на уровне детализации события аварийных сигналов, тем самым, повышая точность и надежность информации журнала регистрации аварийных сигналов, полученной посредством сбора статистических данных.It should be noted that when the alarm event is recovered, statistics of the alarm log information can be obtained at the level of detail of the alarm event, thereby improving the accuracy and reliability of the alarm log information obtained by collecting the statistics.
В качестве варианта, генерирование по меньшей мере одного события аварийных сигналов на основании набора журналов регистрации аварийных сигналов, который должен быть обработан, включает в себя:Alternatively, generating at least one alarm event based on the set of alarm logs to be processed includes:
для каждого типа аварийных сигналов в наборе журналов регистрации аварийных сигналов, подлежащих обработке, получение целевого журнала регистрации аварийных сигналов, который находится в наборе журналов регистрации аварийных сигналов, подлежащих обработке, и который относится к типу аварийных сигналов; раздельное вычисление интервала времени возникновения между каждыми двумя целевыми журналами регистрации аварийных сигналов в наборе журналов регистрации аварийных сигналов, которые должны быть обработаны, которые являются смежными во временной последовательности; и восстановление в одно событие аварийных сигналов на основании интервала времени возникновения между каждыми двумя целевыми журналами регистрации аварийных сигналов, целевых журналов регистрации аварийных сигналов в наборе журналов регистрации аварийных сигналов, которые должны быть обработаны, которые принадлежат одному и тому же событию аварийных сигналов.for each type of alarms in the set of alarm logs to be processed, obtaining a target alarm log that is in the set of alarm logs to be processed and which belongs to the alarm type; separately calculating an occurrence time interval between each two target alarm logs in the set of alarm logs to be processed that are adjacent in time sequence; and restoring into one alarm event based on the time interval of occurrence between each two target alarm logs, the target alarm logs in the set of alarm logs to be processed that belong to the same alarm event.
В качестве варианта, восстановление в одно событие аварийных сигналов, на основании интервала времени возникновения между каждыми двумя целевыми журналами регистрации аварийных сигналов, целевых журналов регистрации аварийных сигналов в подлежащим обработке наборе журналов регистрации аварийных сигналов, которые принадлежат одному и тому же событию аварийных сигналов, включает в себя:Alternatively, restoring into a single alarm event, based on the time interval of occurrence between every two target alarm logs, the target alarm logs in the set of alarm logs to be processed that belong to the same alarm event, includes into yourself:
вычисление оценочного интервала времени между двумя целевыми журналами регистрации аварийных сигналов с использованием способа экспоненциального скользящего среднего, где два целевых журнала регистрации аварийных сигналов представляют собой любые два целевых журнала регистрации аварийных сигналов, которые находятся рядом во временной последовательности, два целевых журнала регистрации аварийных сигналов включают в себя первый журнал регистрации аварийных сигналов и второй журнал регистрации аварийных сигналов, и первый журнал регистрации аварийных сигналов генерируется перед вторым журналом регистрации аварийных сигналов;calculating an estimated time interval between two target alarm logs using an exponential moving average method, where the two target alarm logs are any two target alarm logs that are adjacent in time sequence, the two target alarm logs include in a first alarm log and a second alarm log itself, and the first alarm log is generated before the second alarm log;
определение, удовлетворяет ли интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оцененный интервал времени заданному условию; иdetermining whether a time interval of occurrence between the two target alarm logs and the estimated time interval satisfies a predetermined condition; and
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оценочный временной интервал удовлетворяет заданному условию, определение, что второй журнал регистрации аварийных сигналов принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, и агрегирование второго журнала регистрации аварийных сигналов в событие аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов; илиwhen the occurrence time interval between the two target alarm logs and the estimated time interval satisfies the predetermined condition, determining that the second alarm log belongs to the alarm event to which the first alarm log belongs, and aggregating the second alarm log into an alarm event which owns the first alarm log; or
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оценочный временной интервал не удовлетворяет заданному условию, определение, что второй журнал регистрации аварийных сигналов не принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов.when the occurrence time interval between the two target alarm logs and the estimated time interval does not satisfy the predetermined condition, determining that the second alarm log does not belong to the alarm event to which the first alarm log belongs.
В качестве варианта, интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов составляет 
Следует отметить, что перед определением, удовлетворяет ли интервал времени возникновения между двумя целевыми журналами аварийных сигналов и оцененный интервал времени заданному условию, способ дополнительно включает в себя:It should be noted that before determining whether the time interval of occurrence between the two target alarm logs and the estimated time interval satisfies a predetermined condition, the method further includes:
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов меньше или равен заданному минимальному пороговому значению временного интервала, определение, что второй журнал регистрации аварийных сигналов принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов; илиwhen the occurrence time interval between the two target alarm logs is less than or equal to the predetermined minimum time interval threshold, determining that the second alarm log belongs to the alarm event to which the first alarm log belongs; or
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов превышает заданное максимальное пороговое значение временного интервала, определение, что второй журнал регистрации аварийных сигналов не принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, гдеwhen the time interval of occurrence between the two target alarm logs exceeds the predetermined maximum time interval threshold, determining that the second alarm log does not belong to the alarm event that the first alarm log belongs to, where
Кроме того, после определения, что второй журнал регистрации аварийных сигналов не принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, способ дополнительно включает в себя:In addition, after determining that the second alarm log does not belong to the alarm event that owns the first alarm log, the method further includes:
завершение восстановления события аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, и инициализация нового события аварийных сигналов; иcompleting the recovery of the alarm event to which the first alarm log belongs, and initializing a new alarm event; and
агрегирование второго журнала аварийных сигналов в новое событие аварийных сигналов.aggregating the second alarm log into a new alarm event.
В качестве варианта, событие аварийных сигналов включает в себя тип аварийных сигналов и по меньшей мере одно из момента начала возникновения, момента окончания возникновения, среднего интервала времени возникновения и количества раз появления журнала аварийных сигналов в событии аварийных сигналов.Optionally, the alarm event includes an alarm type and at least one of an occurrence start time, an occurrence end time, an average time interval of occurrence, and the number of times the alarm log occurred in the alarm event.
Сжатие множества подлежащих обработке журналов регистрации аварийных сигналов на основании по меньшей мере одного правила ассоциации для получения журнала регистрации аварийных сигналов, тип аварийного сигнала которого является типом аварийных сигналов основной причины, включает в себя:Compressing a plurality of alarm logs to be processed based on at least one association rule to obtain an alarm log whose alarm type is a root cause alarm type includes:
сжатие по меньшей мере одного события аварийных сигналов на основании по меньшей мере одного правила ассоциации для получения по меньшей мере одного целевого события аварийных сигналов, где каждое целевое событие аварийных сигналов используется для указания журнала регистрации аварийных сигналов, тип аварийного сигнала которого является типом аварийных сигналов основной причины.compressing at least one alarm event based on at least one association rule to obtain at least one target alarm event, where each target alarm event is used to specify an alarm log whose alarm type is the alarm type main the reasons.
Соответственно, после сжатия по меньшей мере одного события аварийных сигналов, чтобы получить по меньшей мере одно целевое событие аварийных сигналов, способ дополнительно включает в себя:Accordingly, after compressing at least one alarm event to obtain at least one target alarm event, the method further includes:
вывод по меньшей мере одного целевого события аварийных сигналов для отображения по меньшей мере одного целевого события аварийных сигналов инженеру мониторинга сети.outputting at least one alarm target event for displaying at least one alarm target event to a network monitoring engineer.
Согласно второму аспекту, настоящее раскрытие обеспечивает устройство для сжатия журнала регистрации аварийных сигналов, применяемое к устройству сжатия, и устройство включает в себя:According to a second aspect, the present disclosure provides an alarm log compression apparatus applied to the compression apparatus, and the apparatus includes:
первый модуль получения, выполненный с возможностью получать набор статистических данных журналов регистрации аварийных сигналов, сгенерированного первым сетевым устройством в сети связи, где набор статистических данных журналов регистрации аварийных сигналов включает в себя множество статистических данных журналов регистрации аварийных сигналов, и каждый журнал статистических данных аварийных сигналов включает в себя тип аварийного сигнала и отметку времени генерирования;a first obtaining module, configured to obtain a set of alarm log statistics generated by a first network device in the communication network, where the set of alarm log statistics includes a plurality of alarm log statistics, and each alarm history log includes alarm type and generation time stamp;
модуль разделения, выполненный с возможностью разделять набор статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов на основании отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов, где все статистические данные журналов регистрации аварийных сигналов в каждом поднаборе статистических данных журналов регистрации аварийных сигналов являются последовательными во временной последовательности, и объединенный набор множества поднаборов статистических данных журналов регистрации аварийных сигналов включает в себя все статистические данные журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов;a partitioning module, configured to divide the set of alarm log statistics into a plurality of subsets of alarm log statistics based on the time stamps of generating the alarm log statistics in the set of alarm log statistics, where all the alarm log statistics the alarms in each alarm log statistics subset are consecutive in time sequence, and the combined set of the plurality of alarm log statistics subsets includes all of the alarm log statistics in the alarm log statistics set;
модуль определения, выполненный с возможностью определять соответствие между типом аварийного сигнала в наборе статистических данных журнала регистрации аварийных сигналов и множеством поднаборов статистических данных журнала регистрации аварийных сигналов;a determining module, configured to determine a correspondence between an alarm type in the set of alarm log statistics and a plurality of subsets of alarm log statistics;
модуль кластеризации, выполненный с возможностью выполнять обработку кластеризации по типам аварийных сигналов в наборе статистических данных журнала регистрации аварийных сигналов на основании соответствия, для генерирования, по меньшей мере, одного правила ассоциации, где каждое правило ассоциации включает в себя основной тип аварийных сигналов и, по меньшей мере, один второстепенный тип аварийных сигналов, которые ассоциированы друг с другом; иa clustering module, configured to perform clustering processing on alarm types in the alarm log statistics set based on a match, to generate at least one association rule, where each association rule includes a main alarm type and, by at least one minor type of alarms that are associated with each other; and
модуль сжатия, выполненный с возможностью сжатия множества подлежащих обработке журналов регистрации аварийных сигналов на основании, по меньшей мере, одного правила ассоциации, чтобы получить журнал регистрации аварийных сигналов, тип аварийного сигнала которого является типом аварийных сигналов основной причины.a compressor configured to compress a plurality of alarm logs to be processed based on at least one association rule to obtain an alarm log whose alarm type is a root cause alarm type.
В качестве варианта, модуль определения включает в себя:Alternatively, the definition module includes:
подмодуль получения, выполненный с возможностью получать все типы аварийных сигналов в наборе статистических данных журнала регистрации аварийных сигналов, чтобы получить первый набор типов аварийных сигналов; иan acquisition sub-module configured to acquire all types of alarms in the set of alarm log statistics to obtain a first set of alarm types; and
подмодуль определения, выполненный с возможностью определять вектор временной последовательности каждого типа аварийных сигналов в первом наборе типов аварийных сигналов, где каждый вектор временной последовательности используется для отражения соответствия между соответствующим типом аварийных сигналов и множеством поднаборов статистических данных журналов регистрации аварийных сигналов.a determination sub-module configured to determine a time sequence vector of each alarm type in the first set of alarm types, where each time sequence vector is used to reflect the correspondence between the corresponding alarm type and a plurality of alarm log statistics subsets.
Для вектора временной последовательности, соответствующего каждому типу аварийных сигналов, значения в векторе временной последовательности находятся во взаимно-однозначном соответствии с множеством поднаборов статистических данных журнала регистрации аварийных сигналов, значения в векторе временной последовательности включают в себя, по меньшей мере, одно из первое значение и второе значение, первое значение используется для указания, что тип аварийных сигналов присутствует в соответствующем поднаборе статистических данных журнала регистрации аварийных сигналов, второе значение используется для указания, что тип аварийных сигналов отсутствует в соответствующем поднаборе статистических данных журнала регистрации аварийных сигналов, и первое значение отличается от второго значения.For the time sequence vector corresponding to each alarm type, the values in the time sequence vector are in a one-to-one correspondence with a plurality of alarm log statistics subsets, the values in the time sequence vector include at least one of the first value and second value, the first value is used to indicate that the alarm type is present in the corresponding alarm log statistics subset, the second value is used to indicate that the alarm type is not present in the corresponding alarm log statistics subset, and the first value is different from second meaning.
В качестве варианта, подмодуль определения выполнен с возможностью:Alternatively, the determination submodule is configured to:
выполнить процедуру определения вектора временной последовательности для каждого типа аварийных сигналов в первом наборе типов аварийных сигналов.perform the time sequence vector determination procedure for each alarm type in the first set of alarm types.
Процедура определения вектора временной последовательности включает в себя:The procedure for determining the time sequence vector includes:
последовательное определение наличия типа аварийных сигналов во множестве поднаборов статистических данных журнала регистрации аварийных сигналов; иsequentially determining the presence of an alarm type in a plurality of subsets of alarm log statistics; and
определение вектора временной последовательности типа аварийных сигналов на основании результата обнаружения.determining a time sequence vector of the alarm type based on the detection result.
В качестве варианта, модуль кластеризации выполнен с возможностью:Alternatively, the clustering module is configured to:
выполнить обработку кластеризации для всех типов аварийных сигналов в первом наборе типов аварийных сигналов на основании векторов временной последовательности всех типов аварийных сигналов, чтобы сгенерировать по меньшей мере одно правило ассоциации.perform clustering processing on all alarm types in the first alarm type set based on the time sequence vectors of all alarm types to generate at least one association rule.
В качестве варианта, модуль кластеризации дополнительно выполнен с возможностью:Alternatively, the clustering module is further configured to:
выполнить операцию кластеризации на первом наборе типов аварийных сигналов, при этом операция кластеризации включает в себя:perform a clustering operation on the first set of alarm types, wherein the clustering operation includes:
установку целевого набора типов аварийных сигналов и второго набора типов аварийных сигналов, где как целевой набор типов аварийных сигналов, так и второй набор типов аварийных сигналов являются пустыми наборами;setting a target alarm type set and a second alarm type set, where both the target alarm type set and the second alarm type set are empty sets;
добавление любого типа аварийных сигналов в первый набор типов аварийных сигналов к целевому набору типов аварийных сигналов и удаление из первого набора типов аварийных сигналов типа сигнала, добавленного к целевому набору типов аварийных сигналов;adding any alarm type in the first alarm type set to the target alarm type set and deleting from the first alarm type set the signal type added to the target alarm type set;
многократное выполнение процедуры определения до тех пор, пока первый набор типов аварийных сигналов не станет пустым, и определение целевого набора типов аварийных сигналов в качестве правила ассоциации; иrepeatedly executing the determination procedure until the first alarm type set is empty, and determining the target alarm type set as an association rule; and
после многократного выполнения процедуры определения, когда второй набор типов аварийных сигналов не является пустым, многократное выполнение операции кластеризации с использованием второго набора типов аварийных сигналов в качестве нового первого набора типов аварийных сигналов; илиafter repeatedly executing the determination procedure when the second set of alarm types is not empty, repeatedly performing a clustering operation using the second set of alarm types as a new first set of alarm types; or
после многократного выполнения процедуры определения, когда второй набор типов аварийных сигналов является пустым набором, прекращение выполнения операции кластеризации.after repeatedly executing the determination procedure when the second set of alarm types is an empty set, terminating the execution of the clustering operation.
Процедура определения включает в себя:The determination procedure includes:
вычисление корреляции между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов на основании вектора временной последовательности типа аварийных сигналов, подлежащего обработке, и векторов временной последовательности всех типов аварийных сигналов в целевом наборе типов аварийных сигналов, где подлежащий обработке тип аварийных сигналов является любым типом аварийных сигналов в первом наборе типов аварийных сигналов, кроме типов аварийных сигналов в целевом наборе типов аварийных сигналов; иcalculating the correlation between the alarm type to be processed and the target alarm type set, based on the time sequence vector of the alarm type to be processed and the time sequence vectors of all alarm types in the target alarm type set, where the alarm type to be processed is alarm type is any alarm type in the first alarm type set other than the alarm types in the target alarm type set; and
когда корреляция превышает заданное пороговое значение корреляции, добавление типа аварийных сигналов, подлежащего обработке, к целевому набору типов аварийных сигналов, для получения обновленного целевого набора типов аварийных сигналов и удаление типа аварийных сигналов, подлежащего обработке, из первого набора типов аварийных сигналов; илиwhen the correlation exceeds a predetermined correlation threshold, adding an alarm type to be processed to the target alarm type set to obtain an updated target alarm type set, and deleting the alarm type to be processed from the first alarm type set; or
когда корреляция не превышает заданное пороговое значение корреляции, добавление типа аварийных сигналов, подлежащего обработке, ко второму набору типов аварийных сигналов и удаление типа аварийных сигналов, подлежащего обработке, из первого набора типов аварийных сигналов.when the correlation does not exceed the predetermined correlation threshold, adding the type of alarms to be processed to the second set of alarm types, and deleting the type of alarms to be processed from the first set of alarm types.
В качестве варианта, модуль кластеризации дополнительно выполнен с возможностью:Alternatively, the clustering module is further configured to:
отмечать целевой тип аварийных сигналов в первом наборе типов аварийных сигналов, где целевым типом аварийных сигналов является любой тип аварийных сигналов в первом наборе типов аварийных сигналов; иmark the target alarm type in the first alarm type set, where the target alarm type is any alarm type in the first alarm type set; and
выполнять операцию кластеризации на первом наборе типов аварийных сигналов, при этом операция кластеризации включает в себя:perform a clustering operation on the first set of alarm types, wherein the clustering operation includes:
многократное выполнение процедуры определения, пока не будут просмотрены все типы аварийных сигналов в первом наборе типов аварийных сигналов; иexecuting the determination procedure repeatedly until all alarm types in the first set of alarm types have been viewed; and
после многократного выполнения процедуры определения, при наличии типа аварийных сигналов, для которого не установлена отметка в первом наборе типов аварийных сигналов, определять в качестве нового целевого типа аварийных сигналов любой тип аварийных сигналов, для которого не установлена отметка, как новый целевой тип аварийных сигналов и многократно выполнять операцию кластеризации, при этом разные целевые типы аварийных сигналов имеют разные отметки; илиafter performing the determination procedure repeatedly, if there is an alarm type that is not checked in the first set of alarm types, define as the new target alarm type any unchecked alarm type as the new target alarm type, and repeatedly perform the clustering operation, while different target types of alarms have different marks; or
после многократного выполнения процедуры определения, при отсутствии типа аварийного сигнала, для которого не установлена отметка в первом наборе типов аварийных сигналов, прекратить выполнение операции кластеризации и сгенерировать, по меньшей мере, одно правило ассоциации на основании первого набора типов аварийных сигналов, где одна и та же отметка устанавливается для всех типов аварийных сигналов в каждом правиле ассоциации.after repeatedly executing the determination procedure, in the absence of an alarm type that is not checked in the first set of alarm types, terminate the clustering operation and generate at least one association rule based on the first set of alarm types, where one and the same the same checkbox is set for all types of alarms in each association rule.
Процедура определения включает в себя:The determination procedure includes:
определение, в качестве целевого набора типов аварийных сигналов, набора, включающего в себя все типы аварийных сигналов в первом наборе типов аварийных сигналов, которые имеют ту же отметку, что и целевой тип аварийных сигналов;determining, as the target alarm type set, a set including all alarm types in the first alarm type set that have the same mark as the target alarm type;
вычисление корреляции между типом аварийных сигналов, который должен быть обработан, и набором целевых типов аварийных сигналов на основании вектора временной последовательности типа аварийных сигналов, подлежащего обработке, и векторов временной последовательности всех типов аварийных сигналов в целевом наборе типов аварийных сигналов, где тип аварийных сигналов, подлежащий обработке, является любым типом аварийных сигналов в первом наборе типов аварийных сигналов, кроме типов аварийных сигналов в целевом наборе типов аварийных сигналов; иcalculating the correlation between the type of alarms to be processed and the set of target alarm types, based on the time sequence vector of the alarm type to be processed and the time sequence vectors of all alarm types in the target alarm type set, where the alarm type, to be processed is any alarm type in the first alarm type set other than the alarm types in the target alarm type set; and
отметку типа аварийных сигналов, который должен быть обработан, когда корреляция больше, чем заданное пороговое значение корреляции, где отметка типа аварийных сигналов, подлежащего обработке, такая же, как отметка целевого типа аварийных сигналов.the flag of the type of alarms to be processed when the correlation is greater than the predetermined correlation threshold, where the flag of the type of alarms to be processed is the same as the flag of the target alarm type.
В качестве варианта, модуль кластеризации дополнительно выполнен с возможностью:Alternatively, the clustering module is further configured to:
вычислять корреляцию между типом аварийных сигналов, который должен быть обработан, и каждым типом аварийных сигналов в наборе целевых типов аварийных сигналов в соответствии с формулой коэффициента корреляции Пирсона, где формула коэффициента корреляции Пирсона имеет следующий вид:calculate the correlation between the alarm type to be handled and each alarm type in the set of target alarm types according to the Pearson correlation coefficient formula, where the Pearson correlation coefficient formula is:
вычислять корреляцию между типом аварийных сигналов, который должен быть обработан, и набором целевых типов аварийных сигналов на основании корреляции между типом аварийных сигналов, подлежащего обработке, и каждым типом аварийных сигналов в наборе целевых типов аварийных сигналов в соответствии с формулой вычисления средней корреляции, где формула вычисления средней корреляции:calculate the correlation between the type of alarms to be processed and the set of target alarm types based on the correlation between the type of alarms to be processed and each alarm type in the set of target alarm types according to the average correlation calculation formula, where the formula is average correlation calculations:
В качестве варианта, первый модуль получения выполнен с возможностью:Alternatively, the first acquisition module is configured to:
предварительно обработать статистические данные журнала регистрации аварийных сигналов, сгенерированного первым сетевым устройством в первом заданном периоде времени, для удаления избыточной информации из статистических данных каждого журнала регистрации аварийных сигналов для получения набора статистических данных журналов регистрации аварийных сигналов.preprocessing the statistics of the alarm log generated by the first network device in the first predetermined time period to remove redundant information from the statistics of each alarm log to obtain a set of statistics of the alarm logs.
В качестве варианта, статистические данные каждого журнала регистрации аварийных сигналов представлены в формате двух кортежей (M, t), M представляет информацию журнала регистрации аварийных сигналов, t представляет отметку времени генерирования, и информация журнала регистрации аварийных сигналов включает в себя, по меньшей мере, поле типа аварийного сигнала и поле идентификатора сетевого устройства аварийных сигналов.Alternatively, the statistics of each alarm log is in the format of two (M, t) tuples, M represents the alarm log information, t represents the generation time stamp, and the alarm log information includes at least an alarm type field; and an alarm network device ID field.
В качестве варианта, статистические данные журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов имеют отношение частичного временного порядка, и подмодуль разделения выполнен с возможностью:Alternatively, the alarm log statistics in the alarm log statistics set have a partial temporal order relationship, and the partitioning submodule is configured to:
получить набор отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов; иobtain a set of alarm log statistics generation time stamps in the alarm log statistics set; and
классифицировать статистические данные журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов на основании набора отметок времени генерирования, заданной длительности временного окна и шага скользящего окна, где шаг скользящего окна не превышает длительность временного окна.classifying the alarm log statistics into a plurality of subsets of the alarm log statistics based on the set of generation timestamps, a predetermined time window length, and a sliding window step, where the sliding window step does not exceed the time window length.
В качестве варианта, устройство дополнительно включает в себя:Alternatively, the device further includes:
второй модуль получения, выполненный с возможностью получать подлежащий обработке набор журнала регистрации аварийных сигналов, сгенерированного вторым сетевым устройством в сети связи во втором заданном периоде времени, где набор подлежащих обработке журналов регистрации аварийных сигналов включает в себя множество подлежащих обработке журналов регистрации аварийных сигналов и каждый журнал регистрации аварийных сигналов, который должен быть обработан, включает в себя тип аварийного сигнала и отметку времени генерирования; иa second obtaining module configured to obtain a set of alarm logs to be processed generated by a second network device in the communication network in a second predetermined time period, where the set of alarm logs to be processed includes a plurality of alarm logs to be processed and each log the alarm log to be processed includes the type of alarm and the timestamp of the generation; and
модуль генерирования, выполненный с возможностью генерировать, по меньшей мере, одно событие аварийных сигналов на основании набора журналов регистрации аварийных сигналов, который должен быть обработан, где каждое событие аварийных сигналов используется для указания журналов регистрации аварийных сигналов того же типа аварийных сигналов, которые генерируются вторым сетевым устройством.a generating module configured to generate at least one alarm event based on the set of alarm logs to be processed, where each alarm event is used to indicate alarm logs of the same alarm type that are generated second network device.
В качестве варианта, модуль генерирования включает в себя:Alternatively, the generation module includes:
подмодуль восстановления, выполненный с возможностью выполнять процедуру восстановления события аварийных сигналов для каждого набора журналов регистрации аварийных сигналов, который должен быть обработан, где процесс восстановления события аварийных сигналов включает в себя:a recovery sub-module configured to perform an alarm event recovery procedure for each set of alarm logs to be processed, wherein the alarm event recovery process includes:
блок получения, выполненный с возможностью: для каждого типа аварийных сигналов в наборе журналов регистрации аварийных сигналов, который должен быть обработан, получать целевой журнал регистрации аварийных сигналов, который находится в наборе журналов регистрации аварийных сигналов, подлежащий обработке, и который относится к типу аварийных сигналов;a receiving unit configured to: for each type of alarms in the alarm log set to be processed, obtain the target alarm log that is in the alarm log set to be processed and which belongs to the alarm type ;
блок вычисления, выполненный с возможностью отдельно вычислять интервал времени возникновения между каждыми двумя целевыми журналами регистрации аварийных сигналов в подлежащим обработке наборе журналов регистрации аварийных сигналов, которые являются смежными во временной последовательности; иa calculation unit configured to separately calculate an occurrence time interval between each two target alarm logs in the set of alarm logs to be processed that are contiguous in time sequence; and
блок восстановления, выполненный с возможностью восстанавливать в одно событие аварийных сигналов на основании интервала времени возникновения между каждыми двумя целевыми журналами регистрации аварийных сигналов, целевые журналы регистрации аварийных сигналов в наборе журналов регистрации аварийных сигналов, которые должны быть обработаны, которые принадлежат одному и тому же событию аварийных сигналов.a recovery unit configured to recover into one alarm event based on the time interval of occurrence between each two target alarm logs, the target alarm logs in the set of alarm logs to be processed that belong to the same event alarms.
В качестве варианта, блок восстановления выполнен с возможностью:Alternatively, the recovery unit is configured to:
вычислять оценочный временной интервал между двумя целевыми журналами регистрации аварийных сигналов с помощью способа экспоненциального скользящего среднего, где два целевых журнала регистрации аварийных сигналов являются любыми двумя целевыми журналами регистрации аварийных сигналов, которые находятся рядом во временной последовательности, два целевых журнала регистрации аварийных сигналов включают в себя первый журнал регистрации аварийных сигналов и второй журнал регистрации аварийных сигналов, и первый журнал регистрации аварийных сигналов генерируется перед вторым журналом регистрации аварийных сигналов;compute an estimated time interval between two target alarm logs using an exponential moving average method, where the two target alarm logs are any two target alarm logs that are adjacent in time sequence, the two target alarm logs include a first alarm log and a second alarm log, and the first alarm log is generated before the second alarm log;
определять, удовлетворяет ли интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оценочный интервал времени заданному условию; иdetermine whether a time interval of occurrence between the two target alarm logs and the estimated time interval satisfies a predetermined condition; and
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оценочный интервал времени удовлетворяет заданному условию, определять, что второй журнал регистрации аварийных сигналов принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, и агрегировать второй журнал регистрации аварийных сигналов в событие аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов; илиwhen the occurrence time interval between the two target alarm logs and the estimated time interval satisfies the predetermined condition, determine that the second alarm log belongs to the alarm event to which the first alarm log belongs, and aggregate the second alarm log into an alarm event which owns the first alarm log; or
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оценочный интервал времени не удовлетворяет заданному условию, определять, что второй журнал регистрации аварийных сигналов не принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов.when the occurrence time interval between the two target alarm logs and the estimated time interval does not satisfy the predetermined condition, determine that the second alarm log does not belong to the alarm event to which the first alarm log belongs.
В качестве варианта, интервал 
В качестве варианта, блок восстановления дополнительно выполнен с возможностью:Alternatively, the recovery unit is further configured to:
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов меньше или равен заданному минимальному пороговому значению временного интервала, определять, что второй журнал регистрации аварийных сигналов принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов; илиwhen the occurrence time interval between the two target alarm logs is less than or equal to the predetermined minimum time interval threshold value, determining that the second alarm log belongs to the alarm event to which the first alarm log belongs; or
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов превышает заданное максимальное пороговое значение временного интервала, определять, что второй журнал регистрации аварийных сигналов не принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, гдеwhen the time interval of occurrence between two target alarm logs exceeds the specified maximum time interval threshold, determine that the second alarm log does not belong to the alarm event that the first alarm log belongs to, where
В качестве варианта, блок восстановления дополнительно выполнен с возможностью:Alternatively, the recovery unit is further configured to:
завершить восстановление события аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, и инициализировать новое событие аварийных сигналов; иfinish restoring the alarm event to which the first alarm log belongs, and initialize a new alarm event; and
агрегировать второй журнал аварийных сигналов в новое событие аварийных сигналов.aggregate the second alarm log into a new alarm event.
В качестве варианта, событие аварийных сигналов включает в себя тип аварийных сигналов и, по меньшей мере, одно из момент начала возникновения, момент окончания возникновения, средний интервал времени возникновения и количества раз возникновения журнала аварийных сигналов в событии аварийных сигналов.Optionally, the alarm event includes an alarm type and at least one of an occurrence start time, an occurrence end time, an average occurrence time interval, and the number of times the alarm log occurred in the alarm event.
В качестве варианта, модуль сжатия выполнен с возможностью:Alternatively, the compression module is configured to:
сжимать, по меньшей мере, одно событие аварийных сигналов на основании, по меньшей мере, одного правила ассоциации для получения, по меньшей мере, одного целевого события аварийных сигналов, где каждое целевое событие аварийных сигналов используется для указания журнала аварийных сигналов, тип аварийных сигналов которого является типом аварийных сигналов основной причины.compress at least one alarm event based on at least one association rule to obtain at least one alarm target event, where each alarm target event is used to specify an alarm log whose alarm type is is the root cause alarm type.
В качестве варианта, устройство дополнительно включает в себя:Alternatively, the device further includes:
модуль вывода, выполненный с возможностью выводить, по меньшей мере, одно целевое событие аварийных сигналов для отображения, по меньшей мере, одного целевого события аварийных сигналов инженеру мониторинга сети.an output module configured to output the at least one alarm target event for displaying the at least one alarm target event to a network monitoring engineer.
В качестве варианта, второе сетевое устройство и первое сетевое устройство являются одним и тем же сетевым устройством; или второе сетевое устройство и первое сетевое устройство являются разными сетевыми устройствами одного типа.Alternatively, the second network device and the first network device are the same network device; or the second network device and the first network device are different network devices of the same type.
Согласно третьему аспекту, настоящее изобретение обеспечивает систему сжатия журнала регистрации аварийных сигналов, где система включает в себя устройство для сжатия, и устройство для сжатия включает в себя устройство в соответствии со вторым аспектом; иAccording to a third aspect, the present invention provides an alarm log compression system, where the system includes a compressor, and the compressor includes an apparatus according to the second aspect; and
устройство для сжатия выполнено с возможностью сжимать множество журналов регистрации аварийных сигналов, сгенерированных, по меньшей мере, одним сетевым устройством в сети связи.the compressing device is configured to compress a plurality of alarm logs generated by at least one network device in the communication network.
В качестве варианта, устройство для сжатия дополнительно выполнено с возможностью отображать информацию аварийных сигналов, полученную после сжатия множества журналов регистрации аварийных сигналов.Alternatively, the compressor is further configured to display alarm information obtained after compression of the plurality of alarm logs.
В качестве варианта, система дополнительно включает в себя устройство управления сетью;Alternatively, the system further includes a network manager;
устройство сжатия дополнительно выполнено с возможностью выводить в устройство управления сетью информацию аварийных сигналов, полученную после сжатия множества журналов регистрации аварийных сигналов; иthe compressing device is further configured to output, to the network management device, alarm information obtained after compressing the plurality of alarm logs; and
устройство управления сетью выполнено с возможностью отображать информацию аварийных сигналов.the network manager is configured to display alarm information.
В качестве варианта, информация аварийных сигналов отображается в виде графика.Alternatively, the alarm information is displayed as a graph.
Согласно четвертому аспекту настоящее раскрытие обеспечивает устройство сжатия журнала регистрации аварийных сигналов, в котором устройство включает в себя память, процессор и компьютерную программу, которая хранится в памяти и которая может выполняться на процессоре, и когда процессор выполняет компьютерную программу, реализуется способ сжатия журнала регистрации аварийных сигналов согласно первому аспекту.According to a fourth aspect, the present disclosure provides an alarm log compression apparatus, in which the apparatus includes a memory, a processor, and a computer program stored in the memory that can be executed on the processor, and when the processor executes the computer program, an alarm log compression method is implemented. signals according to the first aspect.
Согласно пятому аспекту, настоящее раскрытие обеспечивает машиночитаемый носитель данных, где машиночитаемый носитель данных хранит инструкцию и, когда инструкция выполняется процессором, реализуется способ сжатия журнала регистрации аварийных сигналов согласно первому аспекту.According to a fifth aspect, the present disclosure provides a computer-readable storage medium, where the computer-readable storage medium stores an instruction, and when the instruction is executed by the processor, the alarm log compression method according to the first aspect is implemented.
Положительные эффекты, полученные из технических решений, представленных в вариантах осуществления настоящего изобретения, включают в себя, по меньшей мере, следующее:Beneficial effects obtained from the technical solutions presented in the embodiments of the present invention include at least the following:
В заключение, согласно способу, устройству и системе сжатия журнала регистрации аварийных сигналов, и носителю данных, обеспечиваемым в вариантах осуществления настоящего изобретения, получают правило ассоциации на основании временной корреляции между типами аварийных сигналов. В процессе получения данных необходимо просмотреть только типы аварийных сигналов во множестве поднаборов статистических данных журнала регистрации аварийных сигналов, полученных путем разделения, выполненного на основании отметки времени генерирования, и затем определяется соответствие между каждым типом аварийного сигнала и множеством поднаборов статистических данных журнала регистрации аварийных сигналов, например, после определения вектора временной последовательности каждого типа аварийного сигнала, может выполняться обработка кластеризации для типа аварийного сигнала на основании соответствия, чтобы сгенерировать правило ассоциации. По сравнению с родственной технологией в настоящем изобретении не требуется многократный просмотр статистических данных журналов регистрации аварийных сигналов, и эффективность получения правила ассоциации повышается. Дополнительно, в настоящем изобретении количество правил ассоциации, полученных на основании временной корреляции между типами аварийных сигналов, намного меньше, чем количество правил ассоциации, полученных на основании набора часто используемых элементов в соответствующей технологии. Следовательно, сокращаются временные затраты в процессе определения точности правила ассоциации и процессе определения основного типа аварийных сигналов в правиле ассоциации. Дополнительно, событие аварийных сигналов восстанавливается на основании интервала времени возникновения журнала аварийных сигналов и, наконец, целевое событие аварийных сигналов, используемое для указания журнала аварийных сигналов, тип аварийных сигналов которого является типом аварийных сигналов основной причины, отображается инженеру мониторинга сети. Это значительно сокращает объем информации журнала регистрации аварийных сигналов, предоставляемой инженеру мониторинга сети, и обеспечивает точность и достоверность информации.Finally, according to the alarm log compression method, apparatus and system, and storage medium provided in the embodiments of the present invention, an association rule is obtained based on a temporal correlation between alarm types. In the data acquisition process, it is only necessary to look at the alarm types in the set of alarm log statistics subsets obtained by splitting based on the generation timestamp, and then determine the correspondence between each alarm type and the set of alarm log statistics subsets, for example, after determining the time sequence vector of each alarm type, clustering processing for the alarm type based on the match may be performed to generate an association rule. Compared with the related technology, the present invention does not require multiple viewing of alarm log statistics, and the efficiency of obtaining an association rule is improved. Further, in the present invention, the number of association rules derived from the temporal correlation between alarm types is much smaller than the number of association rules derived from the set of commonly used elements in the related technology. Therefore, the time spent in the process of determining the accuracy of the association rule and the process of determining the main type of alarms in the association rule is reduced. Additionally, the alarm event is recovered based on the time interval of the alarm log occurrence, and finally the target alarm event used to specify the alarm log whose alarm type is the root cause alarm type is displayed to the network monitoring engineer. This greatly reduces the amount of alarm log information provided to the network monitoring engineer and ensures the accuracy and reliability of the information.
Краткое описание чертежейBrief description of the drawings
Фиг.1 является схемой системы сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения;1 is a diagram of an alarm log compression system according to an embodiment of the present invention;
Фиг.2 является блок-схемой алгоритма способа сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения;2 is a flowchart of a method for compressing an alarm log according to an embodiment of the present invention;
Фиг.3 является схемой разделения набора статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения;3 is a diagram of dividing a set of alarm log statistics into a plurality of subsets of alarm log statistics according to an embodiment of the present invention;
Фиг.4 является блок-схемой алгоритма другого способа сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения;4 is a flowchart of another alarm log compression method according to an embodiment of the present invention;
Фиг.5A является блок-схемой алгоритма способа восстановления события аварийных сигналов согласно варианту осуществления настоящего изобретения;Fig. 5A is a flowchart of an alarm event recovery method according to an embodiment of the present invention;
Фиг.5B является схемой интерфейса целевого события аварийных сигналов согласно варианту осуществления настоящего изобретения;5B is an alarm target event interface diagram according to an embodiment of the present invention;
Фиг.6 является блок-схемой алгоритма еще одного способа сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения;6 is a flowchart of yet another alarm log compression method according to an embodiment of the present invention;
Фиг.7A является схемой устройства сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения;Fig. 7A is a diagram of an alarm log compressor according to an embodiment of the present invention;
Фиг.7B является схемой модуля определения согласно варианту осуществления настоящего изобретения;Fig. 7B is a diagram of a determination module according to an embodiment of the present invention;
Фиг.7С является схемой другого устройства сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения;FIG. 7C is a diagram of another alarm log compressor according to an embodiment of the present invention;
Фиг.7D является схемой модуля генерирования согласно варианту осуществления настоящего изобретения;Fig.7D is a diagram of a generating unit according to an embodiment of the present invention;
Фиг.7E является схемой еще одного устройства сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения; и7E is a diagram of another alarm log compressor according to an embodiment of the present invention; and
Фиг.8 является схемой объекта устройства сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения.8 is an object diagram of an alarm log compressor according to an embodiment of the present invention.
Осуществление изобретенияImplementation of the invention
С целью подробного изложения задач, технических решений и преимуществ настоящего изобретения, ниже подробно описаны реализации настоящего изобретения со ссылкой на сопроводительные чертежи.For the purpose of explaining in detail the objectives, technical solutions and advantages of the present invention, implementations of the present invention are described in detail below with reference to the accompanying drawings.
В соответствующей технологии для уменьшения количества журналов регистрации аварийных сигналов, представляемых инженеру мониторинга сети, предусмотрены три способа сжатия журналов регистрации аварийных сигналов, которые, соответственно, включают в себя следующее: во-первых, когда количество журналов регистрации аварийных сигналов, генерируемых сетевым устройством в заданном периоде времени, превышает заданное пороговое значение, определяется, что в этот период времени происходит значительное увеличение количества аварийных сигналов, и устройство для обработки журнала регистрации аварийных сигналов напрямую отбрасывает журнал регистрации аварийных сигналов, сгенерированный после того, как количество журналов регистрации аварийных сигналов, сгенерированных сетевым устройством, достигает заданного порогового значения. Во-вторых, журналы регистрации аварийных сигналов одного и того же типа, которые генерируются в заданный период времени, суммируются и подсчитываются, и информация, полученная после сбора статистических данных, представляется инженеру мониторинга сети. Например, журналы регистрации аварийных сигналов, сгенерированные в течение 12 часов, суммируются и подсчитываются, собираются статистические данные о такой информации, как количество случаев возникновения журналов регистрации аварийных сигналов одного типа и средний интервал времени возникновения, и такая информация, как количество случаев возникновения журналов регистрации аварийных сигналов, соответствующих каждому типу аварийных сигналов и генерируемых в течение 12 часов и среднего интервала возникновения, обеспечивается инженеру мониторинга сети. В-третьих, статистические данные журнала регистрации аварийных сигналов получают заранее в соответствии с способом автоматического получения часто используемых элементов для установления правила ассоциации между различными типами аварийных сигналов, затем журнал регистрации аварийных сигналов, тип которого является типом аварийных сигналов основной причины, обеспечивается инженеру мониторинга сети на основании заранее определенного правила ассоциации, и журнал регистрации аварийных сигналов второстепенного типа аварийных сигналов фильтруется, чтобы сжать журналы аварийных сигналов.In related technology, in order to reduce the number of alarm logs presented to a network monitoring engineer, three methods of compressing alarm logs are provided, which respectively include the following: first, when the number of alarm logs generated by a network device in a given exceeds the set threshold value, it is determined that a significant increase in the number of alarms occurs during this period of time, and the alarm log processing device directly discards the alarm log generated after the number of alarm logs generated by the network device reaches a predetermined threshold. Secondly, the alarm logs of the same type that are generated in a given period of time are summed and counted, and the information obtained after collecting the statistics is presented to the network monitoring engineer. For example, alarm logs generated within 12 hours are summarized and counted, statistics are collected on information such as the number of occurrences of alarm logs of the same type and the average interval of occurrence, and information such as the number of occurrences of alarm logs of alarms corresponding to each alarm type and generated within 12 hours and the average interval of occurrence, is provided to the network monitoring engineer. Third, alarm log statistics are obtained in advance according to a method of automatically obtaining frequently used items to establish an association rule between different types of alarms, then an alarm log whose type is the root cause alarm type is provided to the network monitoring engineer. based on a predetermined association rule, and the alarm log of the minor alarm type is filtered to compress the alarm logs.
Однако в первом способе сокращается только количество журналов регистрации аварийных сигналов, и отброшенный журнал регистрации аварийных сигналов может включать в себя действительную информацию аварийных сигналов. Следовательно, действительная информация аварийных сигналов теряется. Дополнительно, информация аварийных сигналов, представляемая инженеру мониторинга сети, по-прежнему включает в себя большое количество избыточных журналов регистрации аварийных сигналов и надежность сжатия журнала регистрации аварийных сигналов является относительно низкой. Во втором способе может происходить множество независимых событий аварийных сигналов (каждое событие аварийных сигналов включает в себя множество журналов регистрации аварийных сигналов одного и того же типа аварийных сигналов, интервал времени возникновения которых меньше заданного порогового значения времени) в заданный период времени, и когда журналы аварийных сигналов одного и того же типа, которые генерируются в заданный период времени, суммируются и подсчитываются, информация о каждом событии аварийных сигналов не может быть получена. Следовательно, информация, предоставляемая инженеру мониторинга сети, искажается. В третьем способе относительно велики временные затраты на процесс определения точности правила ассоциации и процесс определения основного типа аварийных сигналов в правиле ассоциации.However, in the first method, only the number of alarm logs is reduced, and the discarded alarm log may include valid alarm information. Therefore, the actual alarm information is lost. Additionally, the alarm information presented to the network monitoring engineer still includes a large number of redundant alarm logs, and the reliability of alarm log compression is relatively low. In the second method, multiple independent alarm events can occur (each alarm event includes multiple alarm logs of the same alarm type whose time interval is less than a predetermined time threshold) in a given time period, and when the alarm logs alarms of the same type that are generated in a given period of time are summed and counted, information about each alarm event cannot be obtained. Consequently, the information provided to the network monitoring engineer is distorted. In the third method, the time spent on the process of determining the accuracy of the association rule and the process of determining the main type of alarms in the association rule is relatively large.
Вариант осуществления настоящего изобретения обеспечивает систему сжатия журнала регистрации аварийных сигналов для решения технической задачи в соответствующей технологии. Как показано на фиг.1, система сжатия журнала регистрации аварийных сигналов включает в себя устройство 01 сжатия. Устройство 01 сжатия выполнено с возможностью сжимать множество журналов регистрации аварийных сигналов, сгенерированных, по меньшей мере, одним сетевым устройством в сети связи.An embodiment of the present invention provides an alarm log compression system to solve a technical problem in related technology. As shown in FIG. 1, the alarm log compression system includes a
Устройство 01 сжатия может быть одним сервера, кластера серверов, включающего в себя несколько серверов, или центром обслуживания облачных вычислений. По меньшей мере, одно сетевое устройство может включать в себя маршрутизатор, коммутатор, защитную систему, устройство балансировки нагрузки, устройство шлюза доступа и т.п. Это не ограничено в настоящем изобретении. Устройство 01 сжатия устанавливает соединение по меньшей мере с одним сетевым устройством, используя беспроводную или проводную сеть, и все журналы регистрации аварийных сигналов, сгенерированные по меньшей мере одним сетевым устройством в рабочем процессе, передаются в устройство 01 сжатия.The
В качестве варианта, как показано на фиг.1, система сжатия журнала регистрации аварийных сигналов может дополнительно включать в себя устройство 02 управления сетью. Устройство 02 управления сетью устанавливает соединение с устройством 01 сжатия, используя беспроводную или проводную сеть. Устройство 01 сжатия дополнительно выполнено с возможностью выводить в устройство 02 управления сетью информацию аварийных сигналов, полученную путем сжатия множества журналов регистрации аварийных сигналов, сгенерированных, по меньшей мере, одним сетевым устройством. Устройство 02 управления сетью выполнено с возможностью отображать информацию аварийных сигналов, так что инженер мониторинга сети просматривает информацию аварийных сигналов. Кроме того, устройство 02 управления сетью может быть дополнительно выполнено с возможностью: генерировать соответствующую таблицу сброса аварийных сигналов после того, как инженер мониторинга сети определит действительную информацию аварийного сигнала, где таблица сброса аварийных сигналов включает в себя соответствие между информацией аварийных сигналов и инженером по обслуживанию сети, и обратную связь информации аварийных сигналов для соответствующего инженера по обслуживанию сети для обслуживания соответствующего сетевого устройства. Устройство 02 управления сетью может быть одним сервером, кластером серверов, включающим в себя несколько серверов, или центром обслуживания облачных вычислений.Alternatively, as shown in FIG. 1, the alarm log compression system may further include a
В реальном использовании устройство 01 сжатия и устройство 02 управления сетью могут быть устройствами, независимыми друг от друга, или устройство 02 управления сетью может быть интегрировано в устройство 01 сжатия. В этом случае устройство 01 сжатия может быть дополнительно выполнено с возможностью отображать информацию аварийных сигналов, полученную после сжатия множества журналов регистрации аварийных сигналов, сгенерированных, по меньшей мере, одним сетевым устройством.In actual use, the
Согласно способам сжатия журнала регистрации аварийных сигналов, предоставленным в вариантах осуществления настоящего изобретения, журнал регистрации аварийных сигналов основного типа аварийного сигнала может быть отображен инженеру мониторингу сети, и событие аварийных сигналов может быть дополнительно восстановлено для отображения события аварийных сигналов основного типа аварийных сигналов для инженера мониторинга сети. Фиг.2, фиг.4 и фиг.6 используются в качестве примеров для описания в вариантах осуществления настоящего изобретения. В способе сжатия журнала регистрации аварийных сигналов, показанном на фиг.2, после определения правила ассоциации между типами аварийных сигналов в способе получения правила ассоциации, журнал регистрации аварийных сигналов сжимается на основании правила ассоциации и, наконец, журнал регистрации аварийных сигналов основного типа аварийных сигналов отображается инженеру мониторинга сети. В способе сжатия журнала регистрации аварийных сигналов, показанном на фиг.4, правило ассоциации между типами аварийных сигналов определяется способом получения правила ассоциации, после того, как событие аварийных сигналов восстановлено с помощью способа восстановления события аварийных сигналов, событие аварийных сигналов сжимается на основании правила ассоциации и, наконец, событие аварийных сигналов основного типа аварийных сигналов отображается инженеру мониторинга сети. В способе сжатия журнала регистрации аварийных сигналов, показанном на фиг.6, после того, как правило ассоциации между типами аварийных сигналов определено в способе получения правила ассоциации, журнал регистрации аварийных сигналов второстепенного типа аварийных сигналов в журнале аварийных сигналов, который должен быть обработан, сначала фильтруется на основании правила ассоциации, затем событие аварийных сигналов восстанавливается с использованием журнала регистрации аварийных сигналов основного типа аварийного сигнала в способе восстановления события аварийных сигналов и, наконец, событие аварийных сигналов основного типа аварийного сигнала отображается инженеру мониторинга сети. По сравнению со способом сжатия журнала регистрации аварийных сигналов, показанным на фиг.2, в способах сжатия журнала регистрации аварийных сигналов, показанных на фиг.4 и фиг.6, журналы регистрации аварийных сигналов подсчитываются на уровне детализации события аварийных сигналов, чтобы дополнительно уменьшить объем информации, относящейся к журналу аварийных сигналов, отображаемую инженеру мониторинга сети. В реальном исполнении после того, как событие аварийных сигналов восстановлено с помощью способа восстановления события аварийных сигналов, предусмотренного в настоящем изобретении, все события аварийных сигналов напрямую отображаются инженеру мониторинга сети. Подробности не описаны в настоящем документе. Далее описываются способы сжатия журнала регистрации аварийных сигналов с использованием фиг.2, фиг.4 и фиг.6 в качестве примеров.According to the alarm log compression methods provided in the embodiments of the present invention, the main alarm type alarm log can be displayed to the network monitoring engineer, and the alarm event can be further recovered to display the main alarm type alarm event to the monitoring engineer. networks. Fig. 2, Fig. 4 and Fig. 6 are used as examples for description in embodiments of the present invention. In the alarm log compression method shown in FIG. 2, after determining the association rule between alarm types in the association rule acquisition method, the alarm log is compressed based on the association rule, and finally the alarm log of the main alarm type is displayed. network monitoring engineer. In the alarm log compression method shown in FIG. 4, the association rule between alarm types is determined by the association rule acquisition method, after the alarm event is recovered by the alarm event recovery method, the alarm event is compressed based on the association rule. and finally, the alarm event of the main alarm type is displayed to the network monitoring engineer. In the alarm log compression method shown in FIG. 6, after the association rule between alarm types is determined in the association rule acquisition method, the alarm log of the minor alarm type in the alarm log to be processed first is filtered based on the association rule, then the alarm event is recovered using the alarm log of the main alarm type in the alarm event recovery method, and finally the alarm event of the main alarm type is displayed to the network monitoring engineer. Compared with the alarm log compression method shown in FIG. 2, in the alarm log compression methods shown in FIG. 4 and FIG. 6, the alarm logs are counted at the alarm event detail level to further reduce information related to the alarm log displayed to the network monitoring engineer. In a real implementation, after an alarm event is recovered by the alarm event recovery method of the present invention, all alarm events are directly displayed to the network monitoring engineer. Details are not described in this document. The following describes methods for compressing the alarm log using FIG. 2, FIG. 4, and FIG. 6 as examples.
Фиг.2 является блок-схемой алгоритма способа сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения. Способ применяется к устройству для сжатия. Устройство для сжатия может быть устройством 01 сжатия, показанным на фиг.1. Как показано на фиг.2, способ может включать в себя следующие этапы.2 is a flowchart of a method for compressing an alarm log according to an embodiment of the present invention. The method is applied to a compression device. The compression device may be the
Этап 201: получить набор статистических данных журналов регистрации аварийных сигналов, сгенерированный первым сетевым устройством в сети связи, где набор статистических данных журналов регистрации аварийных сигналов включает в себя множество статистических данных журналов регистрации аварийных сигналов, и каждый журнал статистических данных регистрации аварийных сигналов включает в себя тип аварийных сигналов и отметку времени генерирования. Step 201: Obtain an alarm log history set generated by the first network device in the communication network, where the alarm history history set includes a plurality of alarm history statistics, and each alarm history log includes type of alarms and timestamp of generation.
Сеть связи включает в себя, по меньшей мере, одно сетевое устройство, и первое сетевое устройство может быть любым сетевым устройством в сети связи. В реальном исполнении устройство для сжатия может получать множество наборов статистических данных журналов регистрации аварийных сигналов, сгенерированных множеством сетевых устройств в сети связи, и отдельно выполнять следующие этапы с 202 по 204 для каждого набора статистических данных журналов регистрации аварийных сигналов. Каждому сетевому устройству соответствует один набор статистических данных журналов регистрации аварийных сигналов. Это не ограничивается данным вариантом выполнения настоящего изобретения.The communication network includes at least one network device, and the first network device may be any network device in the communication network. In an actual implementation, the compressor may receive a plurality of alarm log statistics generated by a plurality of network devices in a communication network, and separately perform the following
В качестве варианта, способ получения набора статистических данных журнала регистрации аварийных сигналов, сгенерированного каждым сетевым устройством в сети связи, может включать в себя:Alternatively, a method for obtaining a set of alarm log statistics generated by each network device in a communication network may include:
предварительную обработку статистических данных журнала регистрации аварийных сигналов, сгенерированного первым сетевым устройством в первом заданном периоде времени, для удаления избыточной информации из каждого журнала статистических данных регистрации аварийных сигналов для получения набора статистических данных журналов регистрации аварийных сигналов, соответствующего каждому сетевому устройству.preprocessing the alarm log statistics generated by the first network device in the first predetermined time period to remove redundant information from each alarm log history to obtain a set of alarm log statistics corresponding to each network device.
Следует отметить, что исходный журнал регистрации аварийных сигналов, сгенерированный сетевым устройством, обычно содержит тип аварийного сигнала, отметку времени генерирования, идентификатор (Identifier, ID) сетевого устройства аварийных сигналов и некоторую избыточную информацию. Предварительно обрабатывают статистические данные журнала регистрации аварийных сигналов, сгенерированные сетевым устройством, так что каждые статистические данные журнала регистрации аварийных сигналов включает в себя только тип аварийного сигнала, отметку времени генерирования и идентификатор сетевого устройства аварийных сигналов, чтобы облегчить последующую обработку статистических данных журнала регистрации аварийных сигналов. Следовательно, эксплуатационные расходы снижаются и эффективность работы повышается.It should be noted that the original alarm log generated by the network device typically contains the type of alarm, the timestamp of generation, the Identifier (ID) of the alarm network device, and some redundant information. The alarm log statistics generated by the network device are pre-processed so that each alarm log statistics only includes the alarm type, generation time stamp, and alarm network device ID to facilitate subsequent processing of the alarm log statistics . Consequently, operating costs are reduced and work efficiency is improved.
В качестве варианта, каждые статистические данные журнала регистрации аварийных сигналов может быть представлен в формате 2 кортежей (M, t), M представляет информацию журнала регистрации аварийных сигналов, t представляет отметку времени генерирования, и информация журнала регистрации аварийных сигналов включает в себя в себя, по меньшей мере, поле типа аварийного сигнала и поле идентификатора первого сетевого устройства. Например, предполагается, что статистические данные журнала регистрации аварийных сигналов, сгенерированные первым сетевым устройством, может быть представлен как (dgd437slhw3m: сбой TCP аутентификации, 14:22:08) после предварительной обработки, где dgd437slhw3m является полем идентификатора первого сетевого устройства, сбой TCP аутентификации является типом аварийных сигналов и 14:22:08 является отметкой времени генерирования. Этот журнал регистрации аварийных сигналов указывает, что в 14:22:08 происходит «сбой TCP аутентификации» на сетевом устройстве с идентификатором dgd437slhw3m.Alternatively, each alarm log statistics may be represented in the format of 2 tuples (M, t), M represents alarm log information, t represents a generation time stamp, and alarm log information includes, at least an alarm type field and a first network device identifier field. For example, it is assumed that the alarm log statistics generated by the first network device can be represented as (dgd437slhw3m: TCP authentication failed, 14:22:08) after preprocessing, where dgd437slhw3m is the ID field of the first network device, TCP authentication failed is the alarm type and 14:22:08 is the timestamp of the generation. This alarm log indicates that at 14:22:08 a "TCP Authentication Failed" occurs on network device ID dgd437slhw3m.
В этом варианте осуществления настоящего изобретения первый заданный период времени является прошедшим периодом времени (а именно, статистическим периодом времени). Например, предварительная обработка статистических данных журнала регистрации аварийных сигналов, сгенерированного первым сетевым устройством в первом заданном периоде времени, может быть предварительной обработкой набора статистических данных журнала регистрации аварийных сигналов, сгенерированного первым сетевым устройством за последний месяц.In this embodiment of the present invention, the first predetermined time period is the elapsed time period (namely, the statistical time period). For example, the pre-processing of the statistics of the alarm log generated by the first network device in the first given time period may be the pre-processing of the set of statistics of the alarm log generated by the first network device in the last month.
Этап 202: разделить набор статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов на основании отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов.Step 202: Divide the set of alarm log statistics into a plurality of alarm log statistics subsets based on the alarm log statistics generation timestamps in the alarm log statistics set.
Все статистические данные журналов регистрации аварийных сигналов в каждом поднаборе статистических данных журналов регистрации аварийных сигналов являются последовательными во временной последовательности. Чтобы быть конкретным, каждый поднабор статистических данных журналов регистрации аварийных сигналов включает в себя множество статистических данных журналов регистрации аварийных сигналов, сгенерированных в пределах заданного периода времени. Дополнительно, объединенный набор множества поднаборов статистических данных журналов регистрации аварийных сигналов включает в себя все статистические данные журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов.All alarm log statistics in each subset of alarm log statistics are sequential in time sequence. To be specific, each alarm log statistics subset includes a plurality of alarm log statistics generated within a given time period. Further, the combined set of the plurality of alarm log statistics subsets includes all of the alarm log statistics in the alarm log statistics set.
В качестве варианта, статистические данные журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов могут иметь отношение частичного временного порядка. Конкретно, набор статистических данных журналов регистрации аварийных сигналов может представлять собой последовательность статистических данных аварийных сигналов, включающую в себя последовательность статистических данных журналов регистрации аварийных сигналов, которые имеют отношение частичного временного порядка. Временной диапазон последовательности статистических данных аварийных сигналов может быть [Ts, Te], где Ts представляет время начала последовательности статистических данных журналов регистрации аварийных сигналов, и Te указывает время окончания последовательности статистических данных журналов регистрации аварийных сигналов. То, что статистические данные журналов регистрации аварийных сигналов в наборе журналов регистрации аварийных сигналов имеют отношение частичного временного порядка означает, что время генерирования статистических данных журнала регистрации аварийных сигналов, которое находится в наборе статистических данных журнала регистрации аварийных сигналов и которое находится после любого журнала статистических данных регистрации аварийных сигналов, после времени генерирования любых статистических данных журнала регистрации аварийных сигналов или времени генерирования любого журнала статистических данных регистрации аварийных сигналов.Alternatively, the alarm log statistics in the alarm log statistics set may have a partial temporal order relationship. Specifically, the set of alarm log statistics may be a series of alarm statistics including a series of alarm log statistics that have a partial temporal order relationship. The time range of the alarm statistics sequence may be [T s , T e ], where T s represents the start time of the alarm log statistics sequence, and T e indicates the end time of the alarm log statistics sequence. The fact that the alarm log statistics in the alarm log set have a partial temporal order relationship means that the generation time of the alarm log statistics that is in the alarm log statistics set and that is after any of the alarm log statistics alarm log, after the time any alarm log statistics are generated, or the time any alarm log statistics are generated.
Соответственно, способ разделения набора статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов на основании отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов может включать в себя:Accordingly, a method for dividing a set of alarm log statistics into a plurality of subsets of alarm log statistics based on the time stamps of generating the alarm log statistics in the alarm log statistics set may include:
получение набора отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов; и классификацию статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов на основании набора отметок времени генерирования, заданной длительности временного окна и шага скольжения окна с использованием технологии скользящего окна, где шаг скольжения окна не превышает длительность временного окна.obtaining a set of alarm log statistics generation timestamps in the alarm log statistics set; and classifying the alarm log statistics into a plurality of subsets of the alarm log statistics based on a set of generation timestamps, a predetermined time window length, and a window sliding step using a sliding window technique where the window sliding step does not exceed the time window length.
В качестве варианта, набор отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов равен {tk; k является положительным целым числом}, длительность временного окна равна win и шаг скольжения окна является step. В этом случае статистические данные журналов регистрации аварийных сигналов классифицируются по времени t1 начала набора статистических данных аварийных сигналов, так что временное окно первого поднабора статистических данных журнала регистрации аварийных сигналов составляет [t1, win), временное окно второго поднабора статистических данных журнала регистрации аварийных сигналов равно [t1 + step, win + step), и по аналогии до тех пор, пока время окончания временного окна последнего поднабора статистических данных журнала регистрации аварийных сигналов не станет больше или равно времени tn окончания набора статистических данных журналов регистрации аварийных сигналов.Alternatively, the alarm log statistics generation time stamp set in the alarm log statistics set is {tk; k is a positive integer}, the time window duration is win and the window sliding step is step. In this case, the alarm log statistics are classified by the start time t 1 of the alarm statistics set, so that the time window of the first alarm log statistics subset is [t 1 , win), the time window of the second alarm log statistics subset of alarms is [t 1 + step, win + step), and by analogy until the time window end time of the last subset of alarm log statistics is greater than or equal to the end time t n of the alarm log statistics set.
Например, фиг.3 является схемой разделения набора статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения. Как показано на фиг.3, длительность win = 3 временного окна, шаг = 2 скольжения окна, набор временных отметок генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов равен {tk; k является положительное целое число}, и типы аварийных сигналов являются A, B, C и D. Временные окна множества поднаборов статистических данных журналов регистрации аварийных сигналов, полученных путем деления набора статистических данных журналов регистрации аварийных сигналов последовательно равны w1 = {t1, t2, t3}, w2 = {t3, t4, t5}, … и wm = {…, tn}. Набор типов аварийных сигналов, соответствующий временному окну w1, равен {A, B, C}, набор типов аварийных сигналов, соответствующий временному окну w2, равен {C, A, D} и набор типов аварийных сигналов, соответствующий временному окну wm, равен {D, C, A}.For example, FIG. 3 is a diagram of dividing a set of alarm log statistics into a plurality of subsets of alarm log statistics according to an embodiment of the present invention. As shown in FIG. 3, duration win = 3 time windows, step = 2 window slips, the alarm log statistics generation timestamp set in the alarm log statistics set is {tk; k is a positive integer} and the alarm types are A, B, C, and D. The time windows of the set of alarm log statistics subsets obtained by dividing the set of alarm log statistics sequentially are w1 = {t1, t2, t3}, w2 = {t3, t4, t5}, … and wm = {…, tn}. The set of alarm types corresponding to time window w 1 is {A, B, C}, the set of alarm types corresponding to time window w 2 is {C, A, D} and the set of alarm types corresponding to time window w m , is equal to {D, C, A}.
В реальной реализации, после получения набора отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов, набор статистических данных журналов регистрации аварийных сигналов может быть непосредственно разделен на основании набора отметок времени генерирования. Например, если предположить, что набор отметок времени генерирования включает в себя 12 отметок времени генерирования, набор статистических данных журналов регистрации аварийных сигналов может быть разделен на четыре поднабора статистических данных журналов регистрации аварийных сигналов, каждый поднабор статистических данных журналов регистрации аварийных сигналов включает в себя журналы статистических данных аварийных сигналов, соответствующие трем отметкам времени генерирования и три отметки времени генерирования, соответствующие каждому поднабору журнала регистрации аварийных сигналов, расположены последовательно во временной последовательности.In a real implementation, after obtaining the set of alarm log statistics generation timestamps in the alarm log statistics set, the set of alarm log statistics can be directly partitioned based on the generation timestamp set. For example, assuming the generation timestamp set includes 12 generation timestamps, the set of alarm log statistics can be divided into four alarm log statistics subsets, each alarm log statistics subset includes alarm logs The alarm statistics corresponding to the three generation timestamps and the three generation timestamps corresponding to each alarm log subset are sequential in time sequence.
Этап 203: определить соответствие между типом аварийного сигнала в наборе статистических данных журнала регистрации аварийных сигналов и множеством поднаборов статистических данных журнала регистрации аварийных сигналов.Step 203: determine a correspondence between the type of alarm in the set of alarm log statistics and the plurality of subsets of alarm log statistics.
В качестве варианта, способ определения соответствия между типом аварийного сигнала в наборе статистических данных журнала регистрации аварийных сигналов и множеством поднаборов статистических данных журналов регистрации аварийных сигналов включает в себя:Alternatively, a method for determining a correspondence between an alarm type in a set of alarm log statistics and a plurality of subsets of alarm log statistics includes:
получение всех типов аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов для получения первого набора типов аварийных сигналов; и определение вектора временной последовательности каждого типа аварийных сигналов в первом наборе типов аварийных сигналов, где каждый вектор временной последовательности используется для отражения соответствия между соответствующим типом аварийных сигналов и множеством поднаборов статистических данных журналов регистрации аварийных сигналов, где для вектора временной последовательности, соответствующего для каждого типа аварийных сигналов, значения в векторе временной последовательности находятся во взаимно однозначном соответствии с множеством поднаборов статистических данных журналов регистрации аварийных сигналов, значения в векторе временной последовательности включают в себя, по меньшей мере, одно из первое значение и второе значение, первое значение используется для указания, что соответствующий тип аварийных сигналов находится в соответствующем поднаборе журнала статистических данных регистрации аварийных сигналов, второе значение используется для указания, что соответствующий тип аварийных сигналов отсутствует в соответствующем поднаборе журнала статистических данных регистрации сигналов аварийных сигналов, и первое значение отличается от второго значения.obtaining all types of alarms in the set of statistical data of the alarm logs to obtain the first set of types of alarms; and determining a time sequence vector of each alarm type in the first set of alarm types, where each time sequence vector is used to reflect the correspondence between the corresponding alarm type and a plurality of alarm log statistics subsets, where for the time sequence vector corresponding to each type alarms, the values in the time sequence vector are in a one-to-one correspondence with a plurality of alarm log statistics subsets, the values in the time sequence vector include at least one of a first value and a second value, the first value is used to indicate that the corresponding alarm type is in the corresponding subset of the alarm history log, the second value is used to indicate that the corresponding the alarm type is not in the corresponding alarm history log subset and the first value is different from the second value.
В качестве варианта, процесс определения вектора временной последовательности каждого типа аварийных сигналов в первом наборе типов аварийных сигналов может включать в себя: выполнение процедуры определения вектора временной последовательности для каждого типа аварийных сигналов в первом наборе типов аварийных сигналов.Alternatively, the process of determining the time sequence vector of each alarm type in the first alarm type set may include: performing a time sequence vector determination procedure for each alarm type in the first alarm type set.
Процедура определения вектора временной последовательности включает в себя в себя: последовательное определение наличия типа аварийных сигналов во множестве поднаборов статистических данных журнала регистрации аварийных сигналов; и определение вектора временной последовательности типа аварийных сигналов на основании результата обнаружения.The procedure for determining the time sequence vector includes: successively determining the presence of an alarm type in a plurality of alarm log statistics subsets; and determining an alarm type time sequence vector based on the detection result.
Например, со ссылкой на пример на этапе 202 получены все типы аварийных сигналов в наборе статистических данных журнала регистрации аварийных сигналов, и полученный первый набор типов аварийных сигналов равен I = {A, B, C, D}. Предполагается, что первое значение равно 1 и второе значение равно 0. Для множества поднаборов статистических данных журналов регистрации аварийных сигналов, полученных в результате разделения, показанного на фиг.3, вектор временной последовательности типа А аварийного сигнала может быть представлен как vA = (1, 1, …, 1), вектор временной последовательности аварийного сигнала типа B может быть представлен как vB = (1, 0,. …, 0), вектор временной последовательности аварийного сигнала типа C может быть представлен как vC = (1, 1, …, 1) и вектор временной последовательности аварийного сигнала типа D может быть представлен как vD = ( 0, 1, …, 1).For example, with reference to the example, in
Этап 204: выполнить обработку кластеризации типов аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов на основании соответствия, чтобы сгенерировать, по меньшей мере, одно правило ассоциации, где каждое правило ассоциации включает в себя основной тип аварийного сигнала и, по меньшей мере, один второстепенный тип аварийного сигнала, которые ассоциированы друг с другом.Step 204: perform alarm type clustering processing in the alarm log statistics set based on the match to generate at least one association rule, where each association rule includes a main alarm type and at least one minor alarm type that are associated with each other.
В том же правиле ассоциации, сбой, который возникает на сетевом устройстве и который указывается второстепенным типом аварийного сигнала, вызван сбоем, который возникает на сетевом устройстве и указывается основным типом аварийного сигнала. В качестве варианта, после определения вектора временной последовательности каждого типа аварийных сигналов в первом наборе типов аварийных сигналов, обработка кластеризации может выполняться для всех типов аварийных сигналов на основании векторов временной последовательности для всех типов аварийных сигналов в первом наборе типов аварийных сигналов для генерирования, по меньшей мере, одного правила ассоциации.In the same association rule, a failure that occurs on a network device and is indicated by a minor alarm type is caused by a failure that occurs on a network device and is indicated by a major alarm type. Alternatively, after determining the time sequence vector of each alarm type in the first alarm type set, clustering processing may be performed for all alarm types based on the time sequence vectors for all alarm types in the first alarm type set to generate at least at least one association rule.
В качестве варианта, обработка кластеризации может выполняться для всех типов аварийных сигналов с использованием алгоритма кластеризации временной корреляции (Temporal Correlation Clustering, TCC), чтобы генерировать, по меньшей мере, одно правило ассоциации. В этом варианте осуществления настоящего изобретения следующие два способа для выполнения обработки кластеризации для всех типов аварийных сигналов с использованием TCC алгоритма для генерирования правила ассоциации используются в качестве примеров для описания. Способы включают в себя:Alternatively, clustering processing may be performed for all types of alarms using a Temporal Correlation Clustering (TCC) clustering algorithm to generate at least one association rule. In this embodiment of the present invention, the following two methods for performing clustering processing for all types of alarms using the TCC algorithm to generate an association rule are used as examples for description. Ways include:
Первый способ генерирования правила ассоциации включает в себя:The first way to generate an association rule involves:
выполнение операции кластеризации для первого набора типов аварийных сигналов, при этом операция кластеризации включает в себя:performing a clustering operation on the first set of alarm types, wherein the clustering operation includes:
S21a. Установить целевой набор типов аварийных сигналов и второй набор типов аварийных сигналов, при этом как целевой набор типов аварийных сигналов, так и второй набор типов аварийных сигналов являются пустыми наборами.S21a. Set the target alarm type set and the second alarm type set, with both the target alarm type set and the second alarm type set being empty sets.
S22a. Добавить любой тип аварийных сигналов в первом наборе типов аварийных сигналов в целевой набор типов аварийных сигналов и удалить из первого набора типов аварийных сигналов тип сигнала, добавленный к целевому набору типов аварийных сигналов.S22a. Add any alarm type in the first alarm type set to the target alarm type set and remove from the first alarm type set the alarm type added to the target alarm type set.
S23a. Многократно выполнить процедуру определения до тех пор, пока первый набор типов аварийных сигналов не станет пустым, и определить целевой набор типов аварийных сигналов в качестве правила ассоциации.S23a. Repeat the determination procedure until the first alarm type set is empty and define the target alarm type set as the association rule.
Процедура определения включает в себя:The determination procedure includes:
S231a. Вычислить корреляцию между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов на основании вектора временной последовательности для типа аварийных сигналов, подлежащего обработке, и векторов временной последовательности всех типов аварийных сигналов в целевом наборе типов аварийных сигналов, где подлежащий обработке тип аварийных сигналов является любым типом аварийных сигналов в первом наборе типов аварийных сигналов, кроме типов аварийных сигналов в целевом наборе типов аварийных сигналов.S231a. Compute the correlation between the alarm type to be handled and the target alarm type set, based on the time sequence vector for the alarm type to be processed and the time sequence vectors of all alarm types in the target alarm type set, where the type to be processed is alarm type is any alarm type in the first alarm type set other than the alarm types in the target alarm type set.
S232a. Когда корреляция превышает заданное пороговое значение корреляции, добавить тип аварийных сигналов, который должен быть обработан, в целевой набор типов аварийных сигналов, чтобы получить обновленный целевой набор типов аварийных сигналов, и удалить тип аварийных сигналов, который будет обработан, из первого набора типов аварийных сигналов. S232a. When the correlation exceeds the specified correlation threshold, add the alarm type to be handled to the target alarm type set to obtain an updated target alarm type set, and remove the alarm type to be handled from the first alarm type set .
S233a. Если корреляция не превышает заданное пороговое значение корреляции, добавить тип аварийных сигналов, который должен быть обработан, в второй набор типов аварийных сигналов и удалить тип аварийных сигналов, подлежащий обработке, из первого набора типов аварийных сигналов.S233a. If the correlation does not exceed the predefined correlation threshold, add the type of alarms to be processed to the second set of alarm types and remove the type of alarms to be processed from the first set of alarm types.
S24a. После многократного выполнения процедуры определения, когда второй набор типов аварийных сигналов не является пустым, многократно выполнять операцию кластеризации, используя второй набор типов аварийных сигналов в качестве нового первого первого набора типов аварийных сигналов.S24a. After repeatedly executing the determination procedure when the second set of alarm types is not empty, repeatedly perform the clustering operation using the second set of alarm types as the new first first set of alarm types.
S25a. После многократного выполнения процедуры определения, когда второй набор типов аварийных сигналов является пустым, прекратить выполнение операции кластеризации.S25a. After repeatedly executing the determination procedure when the second set of alarm types is empty, stop executing the clustering operation.
Например, алгоритм выполнения операции кластеризации для набора первого типа аварийного сигнала в вышеизложенном способе, выглядит следующим образом:For example, the clustering operation execution algorithm for the first alarm type set in the above method is as follows:
TCC (I) // I является набором первого типа аварийных сигналовTCC (I) // I is the set of the first type of alarms
{{
Произвольно выбрать один тип 
Установить набор 
Для всех типов 
{{
Если 
пороговым значением корреляцииcorrelation threshold
Добавить
ЕщеMore
Добавить 
}}
Возвратить 
}}
Второй способ генерирования правила ассоциации включает в себя:The second way to generate an association rule includes:
отметку целевого типа аварийных сигналов в первом наборе типов аварийных сигналов, где целевым типом аварийных сигналов является любой тип аварийных сигналов в первом наборе типов аварийных сигналов; и выполнение операции кластеризации для первого набора типов аварийных сигналов, при этом операция кластеризации включает в себя:marking a target alarm type in the first alarm type set, where the target alarm type is any alarm type in the first alarm type set; and performing a clustering operation on the first set of alarm types, wherein the clustering operation includes:
S21b. Многократное выполнение процедуры определения, пока не будут просмотрены все типы аварийных сигналов в первом наборе типов аварийных сигналов.S21b. Execute the definition procedure repeatedly until all alarm types in the first set of alarm types have been viewed.
Процедура определения включает в себя:The determination procedure includes:
S211b. Определить в качестве целевого набора типов аварийных сигналов набор, включающий в себя все типы аварийных сигналов в первом наборе типов аварийных сигналов, которые имеют ту же отметку, что и целевой тип аварийных сигналов.S211b. Define as the target alarm type set a set that includes all alarm types in the first alarm type set that have the same label as the target alarm type.
S212b. Вычислить корреляцию между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов на основании вектора временной последовательности типа аварийных сигналов, подлежащего обработке, и векторов временной последовательности всех типов аварийных сигналов в целевом наборе типов аварийных сигналов, где тип аварийных сигналов, подлежащий обработке, является любым типом аварийных сигналов в первом наборе типов аварийных сигналов, кроме типов аварийных сигналов в целевом наборе типов аварийных сигналов.S212b. Calculate the correlation between the alarm type to be handled and the target alarm type set, based on the time sequence vector of the alarm type to be processed and the time sequence vectors of all alarm types in the target alarm type set, where the alarm type, to be processed is any alarm type in the first alarm type set other than the alarm types in the target alarm type set.
S213b. Отметить тип аварийных сигналов, который должен быть обработан, если корреляция больше, чем заданное пороговое значение корреляции, где отметка типа аварийных сигналов, подлежащего обработке, такая же, как отметка целевого типа аварийных сигналов.S213b. Flag the type of alarms to be handled if the correlation is greater than the specified correlation threshold, where the flag of the alarm type to be processed is the same as the flag of the target alarm type.
S22b. После многократного выполнения процедуры определения, когда имеется тип аварийных сигналов, для которого не установлена отметка в первом наборе типов аварийных сигналов, определить в качестве нового целевого типа аварийных сигналов любой тип аварийных сигналов, для которого не установлена отметка, отметить новый целевой тип аварийных сигналов и многократно выполнять операцию кластеризации, при этом разные типы целевых аварийных сигналов имеют разные отметки.S22b. After repeating the procedure for determining when there is an unchecked alarm type in the first set of alarm types, define any unchecked alarm type as the new target alarm type, mark the new target alarm type, and repeatedly perform the clustering operation, with different types of target alarms having different marks.
S23b. После многократного выполнения процедуры определения, при отсутствии типа аварийного сигнала, для которого не установлена метка в первом наборе типов аварийных сигналов, прекратить выполнение операции кластеризации и генерировать, по меньшей мере, одно правило ассоциации на основании первого набора типов аварийных сигналов, где одинаковая отметка устанавливается для всех типов аварийных сигналов в каждом правиле ассоциации.S23b. After executing the determination procedure repeatedly, if there is no alarm type that is not flagged in the first alarm type set, stop executing the clustering operation and generate at least one association rule based on the first alarm type set where the same flag is set for all alarm types in each association rule.
В качестве варианта, на этапах S231a и S212b, вычисление корреляции между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов на основании вектора временной последовательности типа аварийных сигналов, подлежащего обработке, и векторов временной последовательности всех типов аварийных сигналов в наборе целевых типов аварийных сигналов включает в себя:Alternatively, in steps S231a and S212b, calculating the correlation between the type of alarms to be processed and the target set of alarm types based on the time sequence vector of the alarm type to be processed and the time sequence vectors of all alarm types in the set target alarm types includes:
1. Вычисление корреляции между типом аварийных сигналов, который должен быть обработан, и каждым типом аварийных сигналов в целевом наборе типов аварийных сигналов согласно формуле коэффициента корреляции Пирсона, где формула коэффициента корреляции Пирсона имеет следующий вид:1. Compute the correlation between the alarm type to be handled and each alarm type in the target alarm type set according to the Pearson correlation coefficient formula, where the Pearson correlation coefficient formula is:
2. Вычислить корреляцию между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов на основании корреляции между типом аварийных сигналов, который будет обработан, и каждым типом аварийных сигналов в целевом наборе типов аварийных сигналов в соответствии с формулой вычисления средней корреляции, где формула вычисления средней корреляции:2. Calculate the correlation between the alarm type to be handled and the target alarm type set based on the correlation between the alarm type to be handled and each alarm type in the target alarm type set according to the average correlation calculation formula , where the formula for calculating the average correlation is:
Например, на этапе S23a, когда первый набор типов аварийных сигналов является пустым набором, другими словами, после того, как пройдены все типы аварийных сигналов в первом наборе типов аварийных сигналов, и предполагается, что целевой набор типов аварийных сигналов равен Rk = { i1, i2, …, ik}, соответствующее правило ассоциации включает в себя набор из k элементов (а именно, Rk), что указывает на наличие сильной корреляции между журналами регистрации аварийных сигналов k типов аварийных сигналов в Rk. Каждый элемент ik представляет один тип аварийных сигналов.For example, in step S23a, when the first alarm type set is the empty set, in other words, after all alarm types in the first alarm type set have been passed, and it is assumed that the target alarm type set is Rk = { i1, i2, ..., ik}, the corresponding association rule includes a set of k elements (namely, Rk), indicating that there is a strong correlation between the alarm logs of the k alarm types in Rk. Each ik element represents one type of alarm.
Следует отметить, что объединенный набор всех правил ассоциации, полученных посредством кластеризации, выполняемой для первого набора типов аварийных сигналов, включает в себя все типы аварийных сигналов в первом наборе типов аварийных сигналов. Например, все правила ассоциации, полученные посредством кластеризации, выполненной для первого набора типов аварийных сигналов, включают в себя {R1, …, Rk}. В этом случае 
Этап 205: сжать множество подлежащих обработке журналов регистрации аварийных сигналов на основании, по меньшей мере, одного правила ассоциации, чтобы получить журнал регистрации аварийных сигналов, тип аварийного сигнала которого является типом аварийных сигналов основной причины.Step 205: Compress the plurality of alarm logs to be processed based on at least one association rule to obtain an alarm log whose alarm type is the root cause alarm type.
В качестве варианта, множество подлежащих обработке журналов регистрации аварийных сигналов могут быть журналами регистрации аварийных сигналов, сгенерированными вторым сетевым устройством. Второе сетевое устройство и первое сетевое устройство могут быть одним и тем же сетевым устройством, или второе сетевое устройство и первое сетевое устройство могут быть разными сетевыми устройствами одного типа. Это не ограничено. Эти типы одинаковы, включают в себя одинаковые модели и/или одинаковые типы. Например, и первое сетевое устройство, и второе сетевое устройство могут быть защитными системами, или и первое сетевое устройство, и второе сетевое устройство могут быть защитными системами модели A0.Alternatively, the plurality of alarm logs to be processed may be alarm logs generated by the second network device. The second network device and the first network device may be the same network device, or the second network device and the first network device may be different network devices of the same type. It's not limited. These types are the same, include the same models and/or the same types. For example, both the first network device and the second network device may be security systems, or both the first network device and the second network device may be model A0 security systems.
В качестве варианта, после того, как, по меньшей мере, одно правило ассоциации сгенерировано, специалист может проанализировать и определить основной тип аварийных сигналов и второстепенный тип аварийных сигналов в правиле ассоциации или может вычислить корреляцию между любым типом аварийных сигналов в правиле ассоциации и другим типом аварийных сигналов в правиле ассоциации, определить тип аварийных сигналов с наивысшей корреляцией с другим типом аварийных сигналов в качестве основного типа аварийных сигналов и определить тип аварийных сигналов, отличный от основного типа аварийных сигналов в правиле ассоциации как второстепенный тип аварийных сигналов. Способ определения основного типа аварийных сигналов и второстепенного типа аварийных сигналов в правиле ассоциации не ограничен в этом варианте осуществления настоящего изобретения.Alternatively, after at least one association rule has been generated, one skilled in the art may analyze and determine the major alarm type and the minor alarm type in the association rule, or may compute a correlation between any alarm type in the association rule and another type. association rule, define the alarm type with the highest correlation with another alarm type as the primary alarm type, and define an alarm type other than the primary alarm type in the association rule as a minor alarm type. The method for determining the major alarm type and the minor alarm type in the association rule is not limited in this embodiment of the present invention.
Например, предполагается, что правилом ассоциации является {LinkDown_Active, MSTP_PORT_STATE_FORWARDING, MSTP_PORT_STATE_LEARNING, MSTP_PROPORT_ROLE_CHANGE, MSTP_PORT_STATE_DISCARDING}. После того, как специалист проанализирует правило ассоциации, обнаруживается, что сбой порта (тип аварийных сигналов является LinkDown_Active) вызывает частое прерывистое отключение модуля протокола множественных связующих деревьев (Multiple Spanning Tree Protocol, MSTP). Следовательно, можно определить, что LinkDown_Active является основным типом аварийного сигнала, и другой тип аварийного сигнала в правиле ассоциации является типом аварийного сигнала соответствующего типа (второстепенный тип аварийного сигнала), который возникает одновременно с основным типом аварийного сигнала. На основании правила ассоциации сжимается только журнал регистрации аварийных сигналов с типом аварийного сигнала LinkDown_Active и журнал регистрации аварийных сигналов со второстепенным типом аварийного сигнала фильтруются, для журналов регистрации аварийных сигналов, подлежащих обработке.For example, the association rule is assumed to be {LinkDown_Active, MSTP_PORT_STATE_FORWARDING, MSTP_PORT_STATE_LEARNING, MSTP_PROPORT_ROLE_CHANGE, MSTP_PORT_STATE_DISCARDING}. After the expert analyzes the association rule, it is found that a port failure (alarm type is LinkDown_Active) causes the Multiple Spanning Tree Protocol (MSTP) module to intermittently shut down frequently. Therefore, it can be determined that LinkDown_Active is the primary alarm type, and the other alarm type in the association rule is an alarm type of the corresponding type (minor alarm type) that occurs at the same time as the primary alarm type. Based on the association rule, only the alarm log with the LinkDown_Active alarm type is compressed, and the alarm log with the minor alarm type is filtered for the alarm logs to be processed.
В реальном исполнении, поскольку сетевые устройства одного и того же типа могут сжимать, используя одно и то же правило ассоциации, журналы регистрации аварийных сигналов, генерируемые сетевыми устройствами, в процессе получения правила ассоциации, правило ассоциации не нужно получать для статистических данных журнала регистрации аварийных сигналов, генерируемого каждым сетевым устройством, несколько сетевых устройств выбираются из множества сетевых устройств одного и того же типа, и для статистических данных журнала регистрации аварийных сигналов, генерируемого сетевыми устройствами получают правило ассоциации. Следовательно, можно сократить временные затраты на получение правила ассоциации.In a real implementation, since network devices of the same type can compress, using the same association rule, alarm logs generated by network devices in the process of obtaining an association rule, the association rule does not need to be obtained for alarm log statistics generated by each network device, several network devices are selected from a plurality of network devices of the same type, and an association rule is obtained for the statistics of the alarm log generated by the network devices. Therefore, it is possible to reduce the time spent on obtaining the association rule.
В заключение, согласно способу сжатия журнала регистрации аварийных сигналов, предоставленному в этом варианте осуществления настоящего изобретения, получают правило ассоциации на основании временной корреляции между типами аварийных сигналов. В процессе получения данных необходимо просмотреть только типы аварийных сигналов во множестве поднаборов статистических данных журнала регистрации аварийных сигналов, полученных путем разделения, выполненного на основании временной отметки генерирования, и затем определяется соответствие между каждым типом аварийного сигнала и множеством поднаборов статистических данных журнала регистрации аварийных сигналов, например, после определения вектора временной последовательности каждого типа аварийного сигнала, и обработка кластеризации может выполняться для типа аварийного сигнала на основании соответствия для генерирования правила ассоциации. По сравнению с родственной технологией в настоящем изобретении не требуется многократный просмотр статистических данных журналов регистрации аварийных сигналов, и эффективность получения правил ассоциации повышается. Кроме того, в настоящем изобретении количество правил ассоциации, полученных на основании временной корреляции между типами аварийных сигналов, намного меньше, чем количество правил ассоциации, полученных на основании набора часто используемых элементов в соответствующей технологии. Следовательно, сокращаются временные затраты в процессе определения точности правила ассоциации и в процессе определения основного типа аварийных сигналов в правиле ассоциации.Finally, according to the alarm log compression method provided in this embodiment of the present invention, an association rule is obtained based on a temporal correlation between alarm types. In the data acquisition process, it is only necessary to look at the alarm types in the set of alarm log statistics subsets obtained by splitting based on the generation timestamp, and then determine the correspondence between each alarm type and the set of alarm log statistics subsets, for example, after determining the time sequence vector of each alarm type, and clustering processing may be performed on the alarm type based on the match to generate an association rule. Compared with the related technology, the present invention does not require multiple viewing of alarm log statistics, and the efficiency of obtaining association rules is improved. Moreover, in the present invention, the number of association rules derived from the temporal correlation between alarm types is much less than the number of association rules derived from the set of frequently used elements in the related technology. Therefore, the time spent in the process of determining the accuracy of the association rule and in the process of determining the basic type of alarms in the association rule is reduced.
Фиг.4 является блок-схемой алгоритма другого способа сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения. Способ применяется к устройству для сжатия. Устройство для сжатия может быть устройством 01 сжатия, показанным на фиг.1. Как показано на фиг.4, способ может включать в себя следующие этапы.4 is a flowchart of another alarm log compression method according to an embodiment of the present invention. The method is applied to a compression device. The compression device may be the
Этап 401: получить набор статистических данных журналов регистрации аварийных сигналов, сгенерированный первым сетевым устройством в сети связи, где набор статистических данных журналов регистрации аварийных сигналов включает в себя множество статистических данных журналов регистрации аварийных сигналов, и каждые статистические данные журнала регистрации аварийных сигналов включает в себя тип аварийных сигналов и отметку времени генерирования. Step 401: Obtain an alarm log history set generated by the first network device in the communication network, where the alarm history history set includes a plurality of alarm log statistics, and each alarm log history includes type of alarms and timestamp of generation.
Для процесса реализации этого этапа обратитесь к этапу 201. Подробности здесь снова не описываются.For the implementation process of this step, refer to step 201. Again, details are not described here.
Этап 402: разделить набор статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов на основании отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов.Step 402: Divide the set of alarm log statistics into a plurality of subsets of alarm log statistics based on the alarm log statistics generation timestamps in the alarm log statistics set.
Для процесса реализации этого этапа обратитесь к этапу 202. Подробности здесь снова не описываются.For the implementation process of this step, refer to step 202. Again, details are not described here.
Этап 403: определить соответствие между типом аварийного сигнала в наборе статистических данных журнала регистрации аварийных сигналов и множеством поднаборов статистических данных журналов регистрации аварийных сигналов.Step 403: determine a correspondence between the alarm type in the set of alarm log statistics and the plurality of alarm log statistics subsets.
Для процесса реализации этого этапа обратитесь к этапу 203. Подробности здесь снова не описываются.For the implementation process of this step, refer to step 203. Again, details are not described here.
Этап 404: выполнить обработку кластеризации типов аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов на основании соответствия, чтобы сгенерировать, по меньшей мере, одно правило ассоциации, где каждое правило ассоциации включает в себя основной тип аварийного сигнала и, по меньшей мере, один второстепенный тип аварийного сигнала, которые ассоциированы друг с другом.Step 404: perform alarm type clustering processing in the alarm log statistics set based on the match to generate at least one association rule, where each association rule includes a main alarm type and at least one minor alarm type that are associated with each other.
Для процесса реализации этого этапа обратитесь к этапу 204. Подробности здесь снова не описываются.For the implementation process of this step, refer to step 204. Again, details are not described here.
Этап 405: получить подлежащий обработке набор журналов регистрации аварийных сигналов, сгенерированный вторым сетевым устройством в сети связи во второй заданный период времени, где подлежащий обработке набор журналов регистрации аварийных сигналов включает в себя множество подлежащих обработке журналов регистрации аварийных сигналов, и каждый подлежащий обработке журнал регистрации аварийных сигналов включает в себя тип аварийного сигнала и отметку времени генерирования.Step 405: Obtain an alarm log set to be processed generated by a second network device in the communication network in a second predetermined time period, where the alarm log set to be processed includes a plurality of alarm logs to be processed, and each log to be processed alarms includes the type of alarm and the timestamp when it was generated.
В качестве варианта, второе сетевое устройство и первое сетевое устройство могут быть одним и тем же сетевым устройством; или второе сетевое устройство и первое сетевое устройство могут быть разными сетевыми устройствами одного типа.Alternatively, the second network device and the first network device may be the same network device; or the second network device and the first network device may be different network devices of the same type.
Исходный журнал регистрации аварийных сигналов, сгенерированный сетевым устройством, обычно содержит тип аварийного сигнала, отметку времени генерирования, идентификатор (идентификатор, ID) сетевого устройства аварийных сигналов и некоторую избыточную информацию. В этом варианте осуществления настоящего изобретения полученный журнал регистрации аварийных сигналов, который должен быть обработан, может быть предварительно обработан для удаления избыточной информации из исходного журнала регистрации аварийных сигналов, чтобы получить набор журналов регистрации аварийных сигналов, подлежащий обработке, чтобы облегчить последующую обработку обрабатываемого журнала регистрации аварийных сигналов. Следовательно, эксплуатационные расходы снижаются и эффективность работы повышается.The original alarm log generated by the network device typically contains the type of alarm, the timestamp of generation, the identifier (identifier, ID) of the alarm network device, and some redundant information. In this embodiment of the present invention, the received alarm log to be processed can be pre-processed to remove redundant information from the original alarm log to obtain a set of alarm logs to be processed to facilitate subsequent processing of the processed log. alarms. Consequently, operating costs are reduced and work efficiency is improved.
Например, предполагается, что подлежащие обработке журналы регистрации аварийных сигналов, сгенерированные вторым сетевым устройством во второй заданный период времени, могут включать в себя: {(сбой TCP аутентификации, 14:22:08), (сбой TCP аутентификации, 14:22:38), (сбой TCP аутентификации, 14:23:25), (сбой TCP аутентификации, 21:18:20), (сбой TCP аутентификации, 21:19:18), (сбой TCP аутентификации, 21 : 19: 55)}. Эти подлежащие обработке журналы регистрации аварийных сигналов указывают журналы регистрации аварийных сигналов, типы аварийных сигналов которых ассоциированы со сбоем TCP аутентификации.For example, it is contemplated that the alarm logs to be processed generated by the second network device in the second predetermined time period may include: {(TCP authentication failed, 14:22:08), (TCP authentication failed, 14:22:38 ), (TCP authentication failed, 14:23:25), (TCP authentication failed, 21:18:20), (TCP authentication failed, 21:19:18), (TCP authentication failed, 21:19:55)} . These alarm logs to be processed indicate the alarm logs whose alarm types are associated with TCP authentication failure.
В этом варианте осуществления настоящего изобретения второй заданный период времени является прошедшим периодом времени. Например, предварительная обработка подлежащего обработке журнала регистрации аварийных сигналов, сгенерированного каждым сетевым устройством во втором заданном периоде времени, может представлять собой предварительную обработку каждые 12 часов журнала регистрации аварийных сигналов, который должен быть обработан, сгенерированный каждым сетевым устройством в течение 12 часов.In this embodiment of the present invention, the second predetermined time period is the elapsed time period. For example, the pre-processing of the alarm log to be processed generated by each network device in the second predetermined time period may be pre-processing every 12 hours of the alarm log to be processed generated by each network device within 12 hours.
Этап 406: сгенерировать, по меньшей мере, одно событие аварийных сигналов на основании набора журналов регистрации аварийных сигналов, который должен быть обработан, где каждое событие аварийных сигналов используется для указания журналов регистрации аварийных сигналов того же типа, которые генерируются вторым сетевым устройством.Step 406: Generate at least one alarm event based on the set of alarm logs to be processed, where each alarm event is used to indicate alarm logs of the same type that are generated by the second network device.
В качестве варианта, способ генерирования, по меньшей мере, одного события аварийных сигналов на основании набора журналов регистрации аварийных сигналов, который должен быть обработан, может включать в себя:Alternatively, a method for generating at least one alarm event based on a set of alarm logs to be processed may include:
для каждого типа аварийных сигналов в наборе журналов регистрации аварийных сигналов, подлежащих обработке, получение целевого журнала регистрации аварийных сигналов, который находится в наборе журналов регистрации аварийных сигналов, подлежащих обработке, и который относится к типу аварийных сигналов; раздельное вычисление интервала времени возникновения между каждыми двумя целевыми журналами регистрации аварийных сигналов в наборе журналов регистрации аварийных сигналов, которые должны быть обработаны, которые являются смежными во временной последовательности; и восстановление в одно событие аварийных сигналов на основании интервала времени возникновения между каждыми двумя целевыми журналами регистрации аварийных сигналов, целевые журналы регистрации аварийных сигналов в наборе журналов регистрации аварийных сигналов, которые должны быть обработаны, которые принадлежат одному и тому же событию аварийных сигналов.for each type of alarms in the set of alarm logs to be processed, obtaining a target alarm log that is in the set of alarm logs to be processed and which belongs to the alarm type; separately calculating an occurrence time interval between each two target alarm logs in the set of alarm logs to be processed that are adjacent in time sequence; and recovering into one alarm event based on the time interval of occurrence between each two target alarm logs, the target alarm logs in the set of alarm logs to be processed that belong to the same alarm event.
В качестве варианта, событие аварийных сигналов может включать в себя тип аварийных сигналов и, по меньшей мере, одно из момент начала возникновения, момент окончания возникновения, средний интервал времени возникновения и количество раз возникновения журнала аварийных сигналов в событии аварийных сигналов. В реальной реализации событие аварийных сигналов может дополнительно включать в себя отметки времени генерирования (включающие в себя моменты начала и окончания возникновения) всех журналов регистрации аварийных сигналов. Это не ограничено.Optionally, the alarm event may include an alarm type and at least one of an occurrence start time, an occurrence end time, an average occurrence time interval, and the number of times the alarm log occurred in the alarm event. In a real implementation, the alarm event may further include generation timestamps (including start and end times of occurrence) of all alarm logs. It's not limited.
Например, на этапе 405 множество подлежащих обработке журналов регистрации аварийных сигналов, сгенерированных вторым сетевым устройством во втором заданным периоде времени, включают в себя два независимых события, в которых происходят сбой TCP аутентификация и которые, соответственно, в двух периодах времени: {14: 22: 08-14: 23: 25} и {21: 18: 20-21: 19: 55}. Множество подлежащих обработке журналов регистрации аварийных сигналов можно восстановить в два события аварийных сигналов: {сбой TCP аутентификации, 14:22:08, 14:22:38, 14:23:25} и {сбой TCP аутентификации, 21:18: 20, 21:19:18, 21:19:55}. Каждое событие аварийных сигналов включает в себя тип аварийных сигналов и отметку времени генерирования каждого журнала аварийных сигналов.For example, at
В качестве варианта, отметки времени генерирования журналов регистрации аварийных сигналов, которые должны быть обработаны, которые генерируются вторым сетевым устройством во втором заданном периоде времени и которые имеют отношение частичного порядка времени, соответственно, t0, t1, … и tn, и интервалы времени возникновения между подлежащим обработке журналами регистрации аварийных сигналов равны соответственно s1, s2, …, si, … и sn, где
В качестве варианта, как показано на фиг.5A, способ восстановления в одно событие аварийных сигналов на основании интервала времени возникновения между каждыми двумя целевыми журналами регистрации аварийных сигналов, целевые журналы регистрации аварийных сигналов в подлежащем обработке наборе журналов регистрации аварийных сигналов, которые принадлежат одному и тому же событию аварийных сигналов, могут включать в себя:Alternatively, as shown in FIG. 5A, a method for recovering alarms into one event based on the time interval of occurrence between every two target alarm logs, the target alarm logs in the set of alarm logs to be processed that belong to one and the same alarm event may include:
Этап 4061: вычислить оценочный интервал времени между двумя целевыми журналами регистрации аварийных сигналов с использованием способа экспоненциального скользящего среднего, где два целевых журнала регистрации аварийных сигналов представляют собой любые два целевых журнала регистрации аварийных сигналов, которые находятся рядом во временной последовательности, два целевых журнала регистрации аварийных сигналов включают в себя первый журнал регистрации аварийных сигналов и второй журнал регистрации аварийных сигналов, и первый журнал регистрации аварийных сигналов генерируется перед вторым журналом регистрации аварийных сигналов.Step 4061: calculate an estimated time interval between two target alarm logs using an exponential moving average method, where the two target alarm logs are any two target alarm logs that are adjacent in time sequence, the two target alarm logs signals include a first alarm log and a second alarm log, and the first alarm log is generated before the second alarm log.
Интервал 
В качестве варианта, параметр α может быть сконфигурирован на основании фактического требования, и конкретное значение α не ограничено.Alternatively, the parameter α may be configured based on the actual requirement, and the specific value of α is not limited.
Этап 4062: определить, является ли интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов меньшим или равным заданному минимальному пороговому значению временного интервала; и, когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов меньше или равно заданному минимальному пороговому значению временного интервала, выполнить этап 4065; или, когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов больше, чем заданное минимальное пороговое значение временного интервала, выполнить этап 4063.Step 4062: determine if the time interval of occurrence between two target alarm logs is less than or equal to a predetermined minimum time interval threshold; and, when the time interval of occurrence between the two target alarm logs is less than or equal to the predetermined minimum time interval threshold, execute
Этап 4063: определить, превышает ли интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов заданное максимальное пороговое значение временного интервала; и, когда интервал времени возникновения между двумя целевыми журналами аварийных сигналов больше, чем заданное максимальное пороговое значение временного интервала, выполнить этап 4066; или, когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов не превышает заданное максимальное пороговое значение временного интервала, выполнить этап 4064.Step 4063: determine if the time interval between the two target alarm logs exceeds a predetermined maximum time interval threshold; and, when the time interval of occurrence between the two target alarm logs is greater than the predetermined maximum time interval threshold, execute
Этап 4064: определить, удовлетворяет ли интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оценочный временной интервал заданному условию; и, когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оцененный временной интервал удовлетворяет заданному условию, выполнить этап 4065; или, когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оценочный временной интервал не удовлетворяют заданному условию, выполнить этап 4066.Step 4064: determine if the occurrence time interval between the two target alarm logs and the estimated time interval satisfies a predetermined condition; and, when the time interval of occurrence between the two target alarm logs and the estimated time interval satisfies the predetermined condition, execute
Ссылаясь на этап 4061, заданное условием может быть 
Этап 4065: определить, что второй журнал регистрации аварийных сигналов принадлежит событию аварийной аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, и агрегировать второй журнал регистрации аварийных сигналов в событие аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов.Step 4065: determine that the second alarm log belongs to the alarm event that owns the first alarm log, and aggregate the second alarm log into an alarm event that owns the first alarm log.
Кроме того, после выполнения этапа 4065 вернуться к этапу 4061, чтобы продолжить определение, принадлежит ли следующий целевой журнал регистрации аварийных сигналов тому событию аварийного сигнала, которому принадлежат первый журнал регистрации аварийных сигналов и второй журнал регистрации аварийных сигналов, чтобы просмотреть целевое событие аварийного сигнала. Например, k = k + 1, и вернуться к этапу 4061.In addition, after
Например, предполагается, что событие аварийного сигнала, которому принадлежит первый журнал аварийных сигналов, является {(сбой TCP аутентификации, 14:22:08), (сбой TCP аутентификации, 14:22:38)}. Когда определено, что второй журнал регистрации аварийных сигналов (сбой TCP аутентификации, 14:23:25) принадлежит событию аварийной аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, второй журнал регистрации аварийных сигналов агрегируется в событие аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, и событие аварийных сигналов может быть обновлено на {(сбой TCP аутентификации, 14:22:08), (сбой TCP аутентификации, 14:22:38), (сбой TCP аутентификации, 14:23:25)}.For example, it is assumed that the alarm event to which the first alarm log belongs is {(TCP authentication failed, 14:22:08), (TCP authentication failed, 14:22:38)}. When it is determined that the second alarm log (TCP authentication failure, 14:23:25) belongs to the alarm event that owns the first alarm log, the second alarm log is aggregated into the alarm event that owns the first alarm log. alarms, and the alarm event can be updated to {(TCP authentication failed, 14:22:08), (TCP authentication failed, 14:22:38), (TCP authentication failed, 14:23:25)}.
Этап 4066: определить, что второй журнал регистрации аварийных сигналов не принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов.Step 4066: determine that the second alarm log does not belong to the alarm event that owns the first alarm log.
Например, предполагается, что событие аварийных сигналов, которому принадлежит первый журнал аварийных сигналов, является {(сбой TCP аутентификация, 14:22:08), (сбой TCP аутентификации, 14:22:38), (сбой TCP аутентификации, 14:23:25)}. Когда определено, что второй журнал регистрации аварийных сигналов (сбой TCP аутентификации, 21:18:20) не принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, восстановление события аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, завершается, другими словами, восстановление события аварийных сигналов завершено.For example, it is assumed that the alarm event that owns the first alarm log is {(TCP authentication failed, 14:22:08), (TCP authentication failed, 14:22:38), (TCP authentication failed, 14:23 :25)}. When it is determined that the second alarm log (TCP authentication failure, 21:18:20) does not belong to the alarm event that owns the first alarm log, recovery of the alarm event that owns the first alarm log is completed by other In other words, the alarm event recovery is complete.
Этап 4067: инициализировать новое событие аварийных сигналов и агрегировать второй журнал аварийных сигналов в новое событие аварийных сигналов.Step 4067: initialize a new alarm event and aggregate the second alarm log into a new alarm event.
Кроме того, после выполнения этапа 4067, вернуться к этапу 4061, чтобы продолжить определение, принадлежит ли следующее целевое событие аварийных сигналов тому событию аварийных сигналов, которому принадлежит второй журнал аварийных сигналов, чтобы просмотреть целевое событие аварийных сигналов. Например, k = k + 1, и вернуться к этапу 4061.In addition, after executing
В качестве варианта, этапы 4062 и 4063 могут не выполняться. Это не ограничено.Alternatively, steps 4062 and 4063 may not be performed. It's not limited.
Следует отметить, что для восстановления события аварийных сигналов на основании интервала времени возникновения между журналами регистрации аварийных сигналов, статистические данные журнала регистрации аварийных сигналов могут быть получены с детализацией события аварийных сигналов, тем самым, повышая точность и надежность информации журнала регистрации аварийных сигналов, полученные путем сбора статистических данных.It should be noted that, in order to reconstruct an alarm event based on the time interval of occurrence between alarm logs, the alarm log statistics can be obtained with the alarm event details, thereby improving the accuracy and reliability of the alarm log information obtained by collection of statistical data.
Этап 407: сжать, по меньшей мере, одно событие аварийных сигналов на основании, по меньшей мере, одного правила ассоциации, чтобы получить, по меньшей мере, одно целевое событие аварийных сигналов, где каждое целевое событие аварийных сигналов используется для указания журнала аварийных сигналов, тип аварийных сигналов которого является типом аварийных сигналов основной причины.Step 407: Compress at least one alarm event based on at least one association rule to obtain at least one alarm target event, where each alarm target event is used to specify an alarm log, whose alarm type is the root cause alarm type.
Этап 408: вывести, по меньшей мере, одно целевое событие аварийных сигналов, чтобы отобразить, по меньшей мере, одно целевое событие аварийных сигналов инженеру мониторинга сети.Step 408: Output at least one alarm target event to display at least one alarm target event to a network monitoring engineer.
Например, фиг.5B является схемой интерфейса целевого события аварийных сигналов согласно варианту осуществления настоящего изобретения. Как показано на фиг. 5B, после того, как журнал регистрации аварийных сигналов, сгенерированный каждым сетевым устройством, сжимается посредством способа сжатия журнала регистрации аварийных сигналов, показанном на фиг.4, целевое событие М аварийных сигналов, полученное путем восстановления журнала регистрации аварийных сигналов основного типа аварийных сигналов отображается, и каждое целевое событие аварийных сигналов включает в себя такую информацию, как имя хоста (идентификатор сетевого устройства аварийных сигналов), количество случаев возникновения и журнал основных причин (основной тип аварийного сигнала).For example, FIG. 5B is an alarm target event interface diagram according to an embodiment of the present invention. As shown in FIG. 5B, after the alarm log generated by each network device is compressed by the alarm log compression method shown in FIG. 4, the target alarm event M obtained by restoring the alarm log of the main alarm type is displayed, and each alarm target event includes information such as host name (alarm network device ID), number of occurrences, and root cause log (primary alarm type).
Следует отметить, что последовательность этапов способа сжатия журнала регистрации аварийных сигналов, предусмотренного в этом варианте осуществления настоящего изобретения, может быть надлежащим образом скорректирована. Например, этап 405 и этап 406 могут выполняться перед этапом 401, или этап может быть соответственно добавлен или удален в зависимости от случая. Любой способ изменения, легко понятый специалистом в данной области техники в рамках технического объема, раскрытого в настоящем изобретении, должен находиться в рамках объема защиты настоящего изобретения. Поэтому подробности снова не описываются.It should be noted that the sequence of steps of the alarm log compression method provided in this embodiment of the present invention can be appropriately adjusted. For example,
В заключение, согласно способу сжатия журнала регистрации аварийных сигналов, предоставленному в вариантах осуществления настоящего изобретения, получают правило ассоциации на основании временной корреляции между типами аварийных сигналов. В процессе получения данных необходимо просмотреть только типы аварийных сигналов во множестве поднаборов статистических данных журнала регистрации аварийных сигналов, полученных путем разделения, выполненного на основании временной отметки генерирования, и затем определяется соответствие между каждым типом аварийного сигнала и множеством поднаборов статистических данных журнала регистрации аварийных сигналов, например, после определения вектора временной последовательности каждого типа аварийного сигнала, обработка кластеризации может выполняться для типа аварийного сигнала на основании соответствия, чтобы сгенерировать правило ассоциации. По сравнению с родственной технологией в настоящем изобретении не требуется многократный просмотр статистических данных журналов регистрации аварийных сигналов и эффективность получения правил ассоциации повышается. Кроме того, в настоящем изобретении количество правил ассоциации, полученных на основании временной корреляции между типами аварийных сигналов, намного меньше, чем количество правил ассоциации, полученных на основании набора часто используемых элементов в соответствующей технологии. Следовательно, сокращаются временные затраты в процессе определения точности правила ассоциации и в процессе определения основного типа аварийных сигналов в правиле ассоциации. Кроме того, событие аварийных сигналов восстанавливается на основании интервала времени возникновения журнала аварийных сигналов и, наконец, целевое событие аварийных сигналов, используемое для указания журнала аварийных сигналов, тип аварийных сигналов которого является основным типом, отображается инженеру мониторинга сети. Это значительно сокращает объем информации журнала регистрации аварийных сигналов, предоставляемой инженеру мониторинга сети, и обеспечивает точность и достоверность информации.Finally, according to the alarm log compression method provided in the embodiments of the present invention, an association rule is obtained based on a temporal correlation between alarm types. In the data acquisition process, it is only necessary to look at the alarm types in the set of alarm log statistics subsets obtained by splitting based on the generation timestamp, and then determine the correspondence between each alarm type and the set of alarm log statistics subsets, for example, after determining the time sequence vector of each alarm type, clustering processing may be performed on the alarm type based on the match to generate an association rule. Compared with the related technology, the present invention does not require multiple viewing of alarm log statistics, and the efficiency of obtaining association rules is improved. Moreover, in the present invention, the number of association rules derived from the temporal correlation between alarm types is much smaller than the number of association rules derived from the set of frequently used elements in the related technology. Therefore, the time spent in the process of determining the accuracy of the association rule and in the process of determining the basic type of alarms in the association rule is reduced. In addition, the alarm event is recovered based on the alarm log occurrence time interval, and finally the target alarm event used to specify the alarm log whose alarm type is the main type is displayed to the network monitoring engineer. This greatly reduces the amount of alarm log information provided to the network monitoring engineer and ensures that the information is accurate and reliable.
Фиг.6 является блок-схемой алгоритма еще одного способа сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения. Способ применяется к устройству для сжатия. Устройство для сжатия может быть устройством 01 сжатия, показанным на фиг.1. Как показано на фиг.6, способ может включать следующие этапы.6 is a flowchart of yet another alarm log compression method according to an embodiment of the present invention. The method is applied to a compression device. The compression device may be the
Этап 501: получить набор статистических данных журнала регистрации аварийных сигналов, сгенерированный первым сетевым устройством в сети связи, где набор статистических данных журналов регистрации аварийных сигналов включает в себя множество статистических данных журналов регистрации аварийных сигналов, и каждый журнал статистических данных аварийных сигналов включает в себя тип аварийного сигнала и отметку времени генерирования.Step 501: Obtain an alarm log history set generated by the first network device in the communication network, where the alarm history history set includes a plurality of alarm history statistics, and each alarm history log includes a type alarm and timestamp of generation.
Для процесса реализации этого этапа обратитесь к этапу 201. Подробности здесь снова не описываются.For the implementation process of this step, refer to step 201. Again, details are not described here.
Этап 502: разделить набор статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных аварийных сигналов на основании отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов.Step 502: Divide the set of alarm statistics into a plurality of subsets of alarm statistics based on the time stamps of the generation of the alarm statistics in the set of alarm statistics.
Для процесса реализации этого этапа обратитесь к этапу 202. Подробности здесь снова не описываются.For the implementation process of this step, refer to step 202. Again, details are not described here.
Этап 503: определить соответствие между типом аварийного сигнала в наборе статистических данных журнала регистрации аварийных сигналов и множеством поднаборов статистических данных журналов регистрации аварийных сигналов.Step 503: Determine a correspondence between the alarm type in the set of alarm log statistics and the plurality of alarm log statistics subsets.
Для процесса реализации этого этапа обратитесь к этапу 203. Подробности здесь снова не описываются.For the implementation process of this step, refer to step 203. Again, details are not described here.
Этап 504: выполнить обработку кластеризации типов аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов на основании соответствия, чтобы сгенерировать, по меньшей мере, одно правило ассоциации, где каждое правило ассоциации включает в себя основной тип аварийного сигнала и, по меньшей мере, один второстепенный тип аварийного сигнала, которые ассоциированы друг с другом.Step 504: Perform alarm type clustering processing in the alarm log statistics set based on a match to generate at least one association rule, where each association rule includes a main alarm type and at least one minor alarm type that are associated with each other.
Для процесса реализации этого этапа обратитесь к этапу 204. Подробности здесь снова не описываются.For the implementation process of this step, refer to step 204. Again, details are not described here.
Этап 505: получить все подлежащие обработке журналы регистрации аварийных сигналов, сгенерированные вторым сетевым устройством в сети связи за второй заданный период времени, где каждый журнал регистрации аварийных сигналов, который должен быть обработан, включает в себя тип аварийного сигнала и отметку времени генерирования. Step 505: Obtain all alarm logs to be processed generated by the second network device in the communication network in a second predetermined time period, where each alarm log to be processed includes an alarm type and a generation time stamp.
В качестве варианта, второе сетевое устройство и первое сетевое устройство могут быть одним и тем же сетевым устройством; или второе сетевое устройство и первое сетевое устройство могут быть разными сетевыми устройствами одного типа.Alternatively, the second network device and the first network device may be the same network device; or the second network device and the first network device may be different network devices of the same type.
Этап 506: отфильтровать журнал регистрации аварийных сигналов второстепенного типа во всех журналах аварийных сигналов, подлежащих обработке, на основании, по меньшей мере, одного правила ассоциации, чтобы получить набор журналов регистрации аварийных сигналов, который должен быть обработан, включающий в себя журнал регистрации аварийных сигналов основного типа аварийных сигналов.Step 506: filter the minor type alarm log in all alarm logs to be processed based on at least one association rule to obtain a set of alarm logs to be processed, including the alarm log the main type of alarms.
Этап 507: генерировать, по меньшей мере, одно событие аварийных сигналов на основании набора журналов регистрации аварийных сигналов, который должен быть обработан, где каждое событие аварийных сигналов используется для указания журналов регистрации аварийных сигналов того же типа аварийных сигналов, которые генерируются вторым сетевым устройством.Step 507: Generate at least one alarm event based on the set of alarm logs to be processed, where each alarm event is used to indicate alarm logs of the same alarm type that are generated by the second network device.
Для процесса реализации этого этапа обратитесь к этапу 406. Подробности здесь снова не описываются.For the implementation process of this step, refer to step 406. Again, details are not described here.
Этап 508: вывести, по меньшей мере, одно целевое событие аварийных сигналов, чтобы отобразить, по меньшей мере, одно целевое событие аварийных сигналов инженеру мониторинга сети.Step 508: Output at least one alarm target event to display at least one alarm target event to a network monitoring engineer.
Следует отметить, что журнал регистрации аварийных сигналов второстепенного типа во всех журналах регистрации аварийных сигналов, подлежащих обработке, отфильтровывается, так что количество журналов регистрации аварийных сигналов, подлежащих обработке, может быть значительно сокращено. Кроме того, событие аварийных сигналов восстанавливается на основании того, что сокращаются временные затраты в процессе восстановления события аварийных сигналов и дополнительно повышается эффективность сжатия.It should be noted that the minor type alarm log in all alarm logs to be processed is filtered out, so that the number of alarm logs to be processed can be greatly reduced. In addition, the alarm event is recovered on the basis that the time spent in the alarm event recovery process is reduced and the compression efficiency is further improved.
Фиг. 7A является схемой устройства для сжатия журнала регистрации аварийных сигналов согласно варианту осуществления настоящего изобретения. Устройство применяется к устройству для сжатия. Как показано на фиг.7A, устройство 60 включает в себя:Fig. 7A is a diagram of an apparatus for compressing an alarm log according to an embodiment of the present invention. The device is applied to the device for compression. As shown in FIG. 7A,
первый модуль 601 получения, выполненный с возможностью получать набор статистических данных журналов регистрации аварийных сигналов, сгенерированного первым сетевым устройством в сети связи, где набор статистических данных журналов регистрации аварийных сигналов включает в себя множество статистических данных журналов регистрации аварийных сигналов, и каждый журнал статистических данных регистрации аварийных сигналов включает в себя тип аварийных сигналов и отметку времени генерирования;the first obtaining
модуль 602 разделения, выполненный с возможностью разделять набор статистических данных журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов на основании отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов, где все статистические данные журналов регистрации аварийных сигналов в каждом поднаборе статистических данных журналов регистрации аварийных сигналов являются последовательными во временной последовательности, и объединенный набор множества поднаборов статистических данных журналов регистрации аварийных сигналов включает в себя все статистические данные журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов;a
модуль 603 определения, выполненный с возможностью определять соответствие между типом аварийного сигнала в наборе статистических данных журнала регистрации аварийных сигналов и множеством поднаборов статистических данных журнала регистрации аварийных сигналов;a
модуль 604 кластеризации, выполненный с возможностью выполнять обработку кластеризации по типам аварийных сигналов в наборе статистических данных журнала регистрации аварийных сигналов на основании соответствия, для генерирования, по меньшей мере, одного правила ассоциации, где каждое правило ассоциации включает в себя основной тип аварийных сигналов и, по меньшей мере, один второстепенный тип аварийных сигналов, которые ассоциированы друг с другом; иa
модуль 605 сжатия, выполненный с возможностью сжимать множество подлежащих обработке журналов регистрации аварийных сигналов на основании, по меньшей мере, одного правила ассоциации, чтобы получить журнал регистрации аварийных сигналов, тип аварийного сигнала которого является типом аварийных сигналов основной причины.a
В качестве варианта, как показано на фиг.7B, модуль 603 определения может включать в себя:Alternatively, as shown in FIG. 7B, the
подмодуль 6031 получения, выполненный с возможностью получать все типы аварийных сигналов в наборе статистических данных журнала регистрации аварийных сигналов, чтобы получить первый набор типов аварийных сигналов; иa receiving sub-module 6031, configured to obtain all types of alarms in the set of alarm log statistics to obtain the first set of alarm types; and
подмодуль 6032 определения, выполненный с возможностью определять вектор временной последовательности каждого типа аварийных сигналов в первом наборе типов аварийных сигналов, где каждый вектор временной последовательности используется для отражения соответствия между соответствующим типом аварийных сигналов и множеством поднаборов статистических данных журнала регистрации аварийных сигналов.determination sub-module 6032, configured to determine a time sequence vector of each alarm type in the first set of alarm types, where each time sequence vector is used to reflect the correspondence between the corresponding alarm type and a plurality of alarm log statistics subsets.
Для вектора временной последовательности, соответствующего каждому типу аварийных сигналов, значения в векторе временной последовательности находятся во взаимно-однозначном соответствии с множеством поднаборов статистических данных журнала регистрации аварийных сигналов, значения в векторе временной последовательности включают в себя, по меньшей мере, одно из первое значение и второе значение, первое значение используется для указания того, что тип аварийных сигналов существует в соответствующем поднаборе статистических данных журнала регистрации аварийных сигналов, второе значение используется для указания отсутствия типа аварийных сигналов в соответствующем поднаборе статистических данных журнала регистрации аварийных сигналов, и первое значение отличается от второго значения.For the time sequence vector corresponding to each alarm type, the values in the time sequence vector are in a one-to-one correspondence with a plurality of alarm log statistics subsets, the values in the time sequence vector include at least one of the first value and the second value, the first value is used to indicate that the alarm type exists in the corresponding alarm log statistics subset, the second value is used to indicate that the alarm type does not exist in the corresponding alarm log statistics subset, and the first value is different from the second values.
В качестве варианта, подмодуль определения может быть дополнительно выполнен с возможностью:Alternatively, the determination submodule may be further configured to:
выполнить процедуру определения вектора временной последовательности для каждого типа аварийных сигналов в первом наборе типов аварийных сигналов.perform the time sequence vector determination procedure for each alarm type in the first set of alarm types.
Процедура определения вектора временной последовательности включает в себя:The procedure for determining the time sequence vector includes:
последовательное определение наличия типа аварийных сигналов во множестве поднаборов статистических данных журналов регистрации аварийных сигналов; иsuccessively determining the presence of an alarm type in a plurality of subsets of alarm log statistics; and
определение вектора временной последовательности типа аварийных сигналов на основании результата обнаружения.determining an alarm type time sequence vector based on the detection result.
Соответственно, модуль кластеризации может быть выполнен с возможностью:Accordingly, the clustering module may be configured to:
выполнить обработку кластеризации для всех типов аварийных сигналов в первом наборе типов аварийных сигналов на основании векторов временной последовательности всех типов аварийных сигналов, чтобы сгенерировать, по меньшей мере, одно правило ассоциации.perform clustering processing on all alarm types in the first alarm type set based on the time sequence vectors of all alarm types to generate at least one association rule.
Кроме того, модуль кластеризации может быть дополнительно выполнен с возможностью:In addition, the clustering module can be further configured to:
выполнить операцию кластеризации для первого набора типов аварийных сигналов, при этом операция кластеризации включает в себя:perform a clustering operation on the first set of alarm types, wherein the clustering operation includes:
установку целевого набора типов аварийных сигналов и второго набора типов аварийных сигналов, где как целевой набор типов аварийных сигналов, так и второй набор типов аварийных сигналов являются пустыми наборами;setting a target alarm type set and a second alarm type set, where both the target alarm type set and the second alarm type set are empty sets;
добавление любого типа аварийных сигналов в первом наборе типов аварийных сигналов к целевому набору типов аварийных сигналов и удаление из первого набора типов аварийных сигналов типа сигнала, добавленного к целевому набору типов аварийных сигналов;adding any alarm type in the first alarm type set to the target alarm type set and deleting from the first alarm type set the alarm type added to the target alarm type set;
многократное выполнение процедуры определения до тех пор, пока первый набор типов аварийных сигналов не станет пустым, и определение целевого набора типов аварийных сигналов в качестве правила ассоциации; иrepeatedly performing the determination procedure until the first set of alarm types is empty, and determining the target set of alarm types as an association rule; and
после многократного выполнения процедуры определения, когда второй набор типов аварийных сигналов не является пустым, многократное выполнение операции кластеризации с использованием второго набора типов аварийных сигналов в качестве нового первого набора типов аварийных сигналов; илиafter repeatedly executing the determination procedure when the second set of alarm types is not empty, repeatedly performing a clustering operation using the second set of alarm types as a new first set of alarm types; or
после многократного выполнения процедуры определения, когда второй набор типов аварийных сигналов является пустым, прекращение выполнения операции кластеризации.after repeatedly executing the determination procedure when the second set of alarm types is empty, terminating the execution of the clustering operation.
Процедура определения включает в себя:The determination procedure includes:
вычисление корреляции между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов на основании вектора временной последовательности типа аварийных сигналов, подлежащего обработке, и векторов временной последовательности всех типов аварийных сигналов в целевом наборе типов аварийных сигналов, где подлежащий обработке тип аварийных сигналов является любым типом аварийных сигналов в первом наборе типов аварийных сигналов, кроме типов аварийных сигналов в целевом наборе типов аварийных сигналов; иcalculating the correlation between the alarm type to be processed and the target alarm type set, based on the time sequence vector of the alarm type to be processed and the time sequence vectors of all alarm types in the target alarm type set, where the alarm type to be processed is alarm type is any alarm type in the first alarm type set other than the alarm types in the target alarm type set; and
когда корреляция превышает заданное пороговое значение корреляции, добавление типа аварийных сигналов, подлежащего обработке, к целевому набору типов аварийных сигналов, для получения обновленного целевого набора типов аварийных сигналов и удаление типа аварийных сигналов, подлежащего обработке, из первого набора типов аварийных сигналов; илиwhen the correlation exceeds a predetermined correlation threshold, adding an alarm type to be processed to the target alarm type set to obtain an updated target alarm type set, and deleting the alarm type to be processed from the first alarm type set; or
когда корреляция не превышает заданное пороговое значение корреляции, добавление типа аварийных сигналов, подлежащего обработке, ко второму набору типов аварийных сигналов и удаление типа аварийных сигналов, подлежащего обработке, из первого набора типов аварийных сигналов.when the correlation does not exceed the predetermined correlation threshold, adding the type of alarms to be processed to the second set of alarm types, and deleting the type of alarms to be processed from the first set of alarm types.
В качестве альтернативы, модуль кластеризации может быть дополнительно выполнен с возможностью:Alternatively, the clustering module may be further configured to:
отмечать целевой тип аварийных сигналов в первом наборе типов аварийных сигналов, где целевым типом аварийных сигналов является любой тип аварийных сигналов в первом наборе типов аварийных сигналов; иmark the target alarm type in the first alarm type set, where the target alarm type is any alarm type in the first alarm type set; and
выполнить операцию кластеризации для первого набора типов аварийных сигналов, при этом операция кластеризации включает в себя:perform a clustering operation on the first set of alarm types, wherein the clustering operation includes:
многократно выполнять процедуру определения, пока не будут просмотрены все типы аварийных сигналов в первом наборе типов аварийных сигналов; иrepeating the determination procedure until all alarm types in the first set of alarm types have been viewed; and
после многократного выполнения процедуры определения, при наличии типа аварийных сигналов, для которого не установлена отметка в первом наборе типов аварийных сигналов, определять в качестве нового целевого типа аварийных сигналов любой тип аварийных сигналов, для которого не установлена отметка, отмечать новый целевой тип аварийных сигналов и многократно выполнять операцию кластеризации, при этом разные типы целевых аварийных сигналов имеют разные отметки; илиafter repeating the determination procedure, if there is an alarm type that is unchecked in the first set of alarm types, determine any unchecked alarm type as the new target alarm type, mark the new target alarm type, and repeatedly perform the clustering operation, while different types of target alarms have different marks; or
после многократного выполнения процедуры определения, при отсутствии типа аварийного сигнала, для которого не установлена метка в первом наборе типов аварийных сигналов, прекратить выполнение операции кластеризации и сгенерировать, по меньшей мере, одно правило ассоциации на основании первого набора типов аварийных сигналов, где одна и та же отметка устанавливается для всех типов аварийных сигналов в каждом правиле ассоциации.after repeatedly executing the determination procedure, if there is no alarm type that is not flagged in the first set of alarm types, stop executing the clustering operation and generate at least one association rule based on the first set of alarm types, where one and the same the same checkbox is set for all types of alarms in each association rule.
Процедура определения включает в себя:The determination procedure includes:
определение, в качестве целевого набора типов аварийных сигналов, набора, включающего в себя все типы аварийных сигналов в первом наборе типов аварийных сигналов, которые имеют ту же метку, что и целевой тип аварийных сигналов;defining, as the target alarm type set, a set including all alarm types in the first alarm type set that have the same label as the target alarm type;
вычисление корреляции между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов на основании вектора временной последовательности типа аварийных сигналов, подлежащего обработке, и векторов временной последовательности всех типов аварийных сигналов в целевом наборе типов аварийных сигналов, где тип аварийных сигналов, подлежащего обработке, является любым типом аварийных сигналов в первом наборе типов аварийных сигналов, кроме типов аварийных сигналов в целевом наборе типов аварийных сигналов; иcalculating the correlation between the alarm type to be processed and the target alarm type set based on the time sequence vector of the alarm type to be processed and the time sequence vectors of all alarm types in the target alarm type set, where the alarm type, to be processed is any alarm type in the first alarm type set other than the alarm types in the target alarm type set; and
отметку типа аварийных сигналов, который должен быть обработан, когда корреляция больше, чем заданное пороговое значение корреляции, где отметка типа аварийных сигналов, подлежащего обработке, такая же, как отметка целевого типа аварийных сигналов.the flag of the type of alarms to be processed when the correlation is greater than the predetermined correlation threshold, where the flag of the type of alarms to be processed is the same as the flag of the target alarm type.
В качестве варианта, модуль кластеризации может быть дополнительно выполнен с возможностью:Alternatively, the clustering module may be further configured to:
вычислять корреляцию между типом аварийных сигналов, который должен быть обработан, и каждым типом аварийных сигналов в целевом наборе типов аварийных сигналов в соответствии с формулой коэффициента корреляции Пирсона, где формула коэффициента корреляции Пирсона имеет следующий вид:calculate the correlation between the alarm type to be handled and each alarm type in the target alarm type set according to the Pearson correlation coefficient formula, where the Pearson correlation coefficient formula is:
вычислять корреляцию между типом аварийных сигналов, который должен быть обработан, и целевым набором типов аварийных сигналов на основании корреляции между типом аварийных сигналов, подлежащего обработке, и каждым типом аварийных сигналов в целевом наборе типов аварийных сигналов в соответствии с формулой вычисления средней корреляции, где формула вычисления средней корреляции:calculate the correlation between the alarm type to be processed and the target alarm type set based on the correlation between the alarm type to be processed and each alarm type in the target alarm type set according to the average correlation calculation formula, where the formula is average correlation calculations:
В качестве варианта, первый модуль получения может быть выполнен с возможностью:Alternatively, the first acquisition module may be configured to:
предварительно обработать статистические данные журнала регистрации аварийных сигналов, сгенерированный первым сетевым устройством в первом заданном периоде времени, чтобы удалить избыточную информацию из каждого журнала статистических данных регистрации аварийных сигналов для получения набора статистических данных журналов регистрации аварийных сигналов.pre-process the alarm log statistics generated by the first network device in the first predetermined time period to remove redundant information from each alarm log statistics to obtain a set of alarm log statistics.
Каждый статистический журнал регистрации аварийных сигналов представлен в формате из двух кортежей (M, t), M представляет информацию журнала регистрации аварийных сигналов, t представляет отметку времени генерирования, и информация журнала регистрации аварийных сигналов включает в себя в себя, по меньшей мере, поле типа аварийного сигнала и поле идентификатора сетевого устройства аварийного сигнала.Each statistical alarm log is represented in a two-tuple format (M, t), M represents alarm log information, t represents a generation time stamp, and the alarm log information includes at least a type field alarm and an alarm network device ID field.
В качестве варианта, статистические данные журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов имеют отношение частичного временного порядка, и модуль разделения может быть выполнен с возможностью:Alternatively, the alarm log statistics in the alarm log statistics set have a partial temporal order relationship, and the splitter may be configured to:
получать набор отметок времени генерирования статистических данных журналов регистрации аварийных сигналов в наборе статистических данных журналов регистрации аварийных сигналов; иobtaining a set of timestamps for generating the alarm log statistics in the alarm log statistics set; and
классифицировать статистические данные журналов регистрации аварийных сигналов на множество поднаборов статистических данных журналов регистрации аварийных сигналов на основании набора отметок времени генерирования, заданной длительности временного окна и шага скольжения окна, где шаг скольжения окна не превышает длительность временного окна.classify the alarm log statistics into a plurality of alarm log statistics subsets based on the set of generation timestamps, a predetermined time window length, and a window slide step where the window slide step is no greater than the time window length.
В качестве варианта, как показано на фиг.7C, устройство 60 дополнительно включает в себя:Alternatively, as shown in FIG. 7C,
второй модуль 606 получения, выполненный с возможностью получать подлежащий обработке набор журналов регистрации аварийных сигналов, сгенерированного вторым сетевым устройством в сети связи во втором заданном периоде времени, где подлежащий обработке набор журналов регистрации аварийных сигналов включает в себя множество журналов регистрации аварийных сигналов, подлежащий обработке, и каждый журнал регистрации аварийных сигналов, который должен быть обработан, включает в себя тип аварийного сигнала и отметку времени генерирования; иa second obtaining
модуль 607 генерирования, выполненный с возможностью генерирования, по меньшей мере, одного события аварийных сигналов на основании набора журналов регистрации аварийных сигналов, который должен быть обработан, где каждое событие аварийных сигналов используется для указания журналов регистрации аварийных сигналов того же типа, которые генерируются вторым сетевым устройством.a
В качестве варианта, как показано на фиг.7D, модуль 607 генерирования может включать в себя:Alternatively, as shown in FIG. 7D,
подмодуль 6071 восстановления, выполненный с возможностью выполнять процедуру восстановления события аварийных сигналов для каждого набора журналов регистрации аварийных сигналов, который должен быть обработан, где процесс восстановления события аварийных сигналов включает в себя:a
блок 71a получения, выполненный с возможностью: для каждого типа аварийных сигналов в наборе журнала регистрации аварийных сигналов, подлежащего обработке, получать целевой журнал регистрации аварийных сигналов, который находится в наборе журналов регистрации аварийных сигналов, подлежащий обработке, и который относится к типу аварийных сигналов;an
блок 71b вычисления, выполненный с возможностью отдельно вычислять интервал времени возникновения между каждыми двумя целевыми журналами регистрации аварийных сигналов в подлежащем обработке наборе журналов регистрации аварийных сигналов, которые являются смежными во временной последовательности; иa
блок 71c восстановления, выполненный с возможностью восстанавливать в одно событие аварийных сигналов на основании интервала времени возникновения между каждыми двумя целевыми журналами регистрации аварийных сигналов, целевые журналы регистрации аварийных сигналов в наборе журналов регистрации аварийных сигналов, которые должны быть обработаны, которые принадлежат одному и тому же событию аварийных сигналов.a
Блок восстановления может быть выполнен с возможностью:The recovery unit can be configured to:
вычислять оценочный временной интервал между двумя целевыми журналами регистрации аварийных сигналов с помощью способа экспоненциального скользящего среднего, где два целевых журнала регистрации аварийных сигналов являются любыми двумя целевыми журналами регистрации аварийных сигналов, которые находятся рядом во временной последовательности, два целевых журнала регистрации аварийных сигналов включают в себя первый журнал регистрации аварийных сигналов и второй журнал регистрации аварийных сигналов, и первый журнал регистрации аварийных сигналов генерируется перед вторым журналом регистрации аварийных сигналов;compute an estimated time interval between two target alarm logs using an exponential moving average method, where the two target alarm logs are any two target alarm logs that are adjacent in time sequence, the two target alarm logs include a first alarm log and a second alarm log, and the first alarm log is generated before the second alarm log;
определять, удовлетворяет ли интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оцененный временной интервал заданному условию; иdetermine whether a time interval of occurrence between the two target alarm logs and the estimated time interval satisfies a predetermined condition; and
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оценочный временной интервал удовлетворяют заданному условию, определять, что второй журнал регистрации аварийных сигналов принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, и агрегировать второй журнал регистрации аварийных сигналов в событие аварийных сигналов. которому принадлежит первый журнал регистрации аварийных сигналов; илиwhen the occurrence time interval between the two target alarm logs and the estimated time interval satisfies the predetermined condition, determine that the second alarm log belongs to the alarm event to which the first alarm log belongs, and aggregate the second alarm log into an alarm event signals. which owns the first alarm log; or
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов и оценочный временной интервал не удовлетворяют заданному условию, определять, что второй журнал регистрации аварийных сигналов не принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов.when the occurrence time interval between the two target alarm logs and the estimated time interval do not satisfy the predetermined condition, determine that the second alarm log does not belong to the alarm event to which the first alarm log belongs.
В качестве варианта, интервал
Кроме того, блок восстановления может быть дополнительно выполнен с возможностью:In addition, the recovery unit can be further configured to:
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов меньше или равен заданному минимальному пороговому значению временного интервала, определять, что второй журнал регистрации аварийных сигналов принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов; илиwhen the occurrence time interval between the two target alarm logs is less than or equal to the predetermined minimum time interval threshold value, determining that the second alarm log belongs to the alarm event to which the first alarm log belongs; or
когда интервал времени возникновения между двумя целевыми журналами регистрации аварийных сигналов превышает заданное максимальное пороговое значение временного интервала, определять, что второй журнал регистрации аварийных сигналов не принадлежит событию аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, гдеwhen the time interval of occurrence between two target alarm logs exceeds the specified maximum time interval threshold, determine that the second alarm log does not belong to the alarm event that the first alarm log belongs to, where
В качестве варианта, блок восстановления может быть дополнительно выполнен с возможностью:Alternatively, the recovery unit may be further configured to:
завершить восстановление события аварийных сигналов, которому принадлежит первый журнал регистрации аварийных сигналов, и инициализировать новое событие аварийных сигналов; иfinish restoring the alarm event to which the first alarm log belongs, and initialize a new alarm event; and
агрегировать второй журнал аварийных сигналов в новое событие аварийных сигналов.aggregate the second alarm log into a new alarm event.
В качестве варианта, событие аварийных сигналов включает в себя тип аварийных сигналов и, по меньшей мере, одно из момент начала возникновения, момент окончания возникновения, средний интервал времени возникновения и количество раз возникновения журнала регистрации аварийных сигналов в событии аварийных сигналов.Optionally, the alarm event includes an alarm type and at least one of an occurrence start time, an occurrence end time, an average occurrence time interval, and the number of times the alarm log occurred in the alarm event.
В качестве варианта, модуль сжатия может быть выполнен с возможностью:Alternatively, the compression module may be configured to:
сжимать, по меньшей мере, одно событие аварийных сигналов на основании, по меньшей мере, одного правила ассоциации, чтобы получить, по меньшей мере, одно целевое событие аварийных сигналов, где каждое целевое событие аварийных сигналов используется для указания журнала аварийных сигналов, тип аварийных сигналов которого является типом аварийных сигналов основной причины.compress at least one alarm event based on at least one association rule to obtain at least one alarm target event, where each alarm target event is used to specify an alarm log, an alarm type which is the root cause alarm type.
Кроме того, как показано на фиг. 7E, устройство 60 может дополнительно включать в себя:In addition, as shown in FIG. 7E,
модуль 608 вывода, выполненный с возможностью выводить, по меньшей мере, одно целевое событие аварийных сигналов, чтобы отображать, по меньшей мере, одно целевое событие аварийных сигналов инженеру мониторинга сети.an
В качестве варианта, второе сетевое устройство и первое сетевое устройство являются одним и тем же сетевым устройством; или второе сетевое устройство и первое сетевое устройство являются разными сетевыми устройствами одного типа.Alternatively, the second network device and the first network device are the same network device; or the second network device and the first network device are different network devices of the same type.
В заключение, согласно устройству для сжатия журнала регистрации аварийных сигналов, предоставленному в вариантах осуществления настоящего изобретения, получают правило ассоциации на основании временной корреляции между типами аварийных сигналов. В процессе получения данных необходимо просматривать только типы аварийных сигналов во множестве поднаборов статистических данных журнала регистрации аварийных сигналов, полученных путем разделения, выполненного на основании временной отметки генерирования, и затем определяется соответствие между каждым типом аварийного сигнала и множеством поднаборов статистических данных журнала регистрации аварийных сигналов, например, после определения вектора временной последовательности каждого типа аварийного сигнала, обработка кластеризации может выполняться для типа аварийного сигнала на основании соответствия, чтобы сгенерировать правило ассоциации. По сравнению с родственной технологией в настоящем изобретении не требуется многократный просмотр статистических данных журналов регистрации аварийных сигналов, и эффективность получения правил ассоциации повышается. Кроме того, в настоящем изобретении количество правил ассоциации, полученных на основании временной корреляции между типами аварийных сигналов, намного меньше, чем количество правил ассоциации, полученных на основании набора часто используемых элементов в соответствующей технологии. Следовательно, сокращаются временные затраты в процессе определения точности правила ассоциации и в процессе определения основного типа аварийных сигналов в правиле ассоциации. Кроме того, событие аварийных сигналов восстанавливается на основании интервала времени возникновения журнала регистрации аварийных сигналов и, наконец, целевое событие аварийных сигналов, используемое для указания журнала регистрации аварийных сигналов, тип аварийных сигналов которого является основным типом, отображается инженеру мониторинга сети. Это значительно сокращает объем информации журнала регистрации аварийных сигналов, предоставляемой инженеру мониторинга сети, и обеспечивает точность и достоверность информации.Finally, according to the alarm log compression apparatus provided in the embodiments of the present invention, an association rule is obtained based on a temporal correlation between alarm types. In the data acquisition process, it is only necessary to look at the alarm types in the set of alarm log statistics subsets obtained by splitting based on the generation timestamp, and then determine the correspondence between each alarm type and the set of alarm log statistics subsets, for example, after determining the time sequence vector of each alarm type, clustering processing may be performed on the alarm type based on the match to generate an association rule. Compared with the related technology, the present invention does not require multiple viewing of alarm log statistics, and the efficiency of obtaining association rules is improved. Moreover, in the present invention, the number of association rules derived from the temporal correlation between alarm types is much smaller than the number of association rules derived from the set of frequently used elements in the related technology. Therefore, the time spent in the process of determining the accuracy of the association rule and in the process of determining the basic type of alarms in the association rule is reduced. In addition, an alarm event is recovered based on the time interval of occurrence of the alarm log, and finally, the target alarm event used to specify the alarm log whose alarm type is the main type is displayed to the network monitoring engineer. This greatly reduces the amount of alarm log information provided to the network monitoring engineer and ensures that the information is accurate and reliable.
Вариант осуществления настоящего изобретения обеспечивает устройство для сжатия журнала регистрации аварийных сигналов. Как показано на фиг. 8, устройство 07 включает в себя память 071, процессор 072 и компьютерную программу, которая хранится в памяти 071, и которая может выполняться на процессоре 072, и когда процессор 072 выполняет компьютерную программу, реализованы способы сжатия журнала регистрации аварийных сигналов в вариантах осуществления настоящего изобретения.An embodiment of the present invention provides an apparatus for compressing an alarm log. As shown in FIG. 8, the
В качестве варианта, устройство 07 дополнительно включает в себя шину 073 связи и интерфейс 074 связи.Alternatively,
Процессор 072 включает в себя одно или несколько ядер обработки. Процессор 072 запускает компьютерную программу и блок для выполнения различных функциональных приложений и обработки данных.
Память 071 может быть выполнена с возможностью хранить компьютерную программу и блок. В частности, в памяти может храниться операционная система и программный модуль приложения, необходимые, по меньшей мере, для одной функции. Операционная система может быть операционной системой, такой как операционная система реального времени (Real Time eXecutive, RTX), LINUX, UNIX, WINDOWS или OS X.The
Может быть использовано множество интерфейсов 074 связи, и интерфейс 074 связи выполнен с возможностью устанавливать связь с другим запоминающим устройством или сетевым устройством. Например, в этом варианте осуществления настоящего изобретения интерфейс 074 связи может быть выполнен с возможностью принимать журнал регистрации аварийных сигналов, отправленного сетевым устройством в сети связи.A plurality of
Память 071 и интерфейс 074 связи отдельно подключаются к процессору 072 с помощью кабеля 073 связи.The
Вариант осуществления настоящего изобретения предоставляет машиночитаемый носитель данных. Машиночитаемый носитель данных хранит инструкцию, и когда инструкция выполняется процессором, реализуются способы сжатия журнала регистрации аварийных сигналов в вариантах осуществления способа настоящего изобретения.An embodiment of the present invention provides a computer-readable storage medium. The computer-readable storage medium stores the instruction, and when the instruction is executed by the processor, the alarm log compression methods are implemented in the method embodiments of the present invention.
Для специалиста в данной области техники понятно, что все или некоторые из этапов вариантов осуществления могут быть реализованы аппаратными средствами или программой, инструктирующей соответствующее оборудование. Программа может храниться на машиночитаемом носителе данных. Носитель данных может быть постоянным запоминающим устройством, магнитным диском, оптическим диском и т.п.One skilled in the art will understand that all or some of the steps of the embodiments may be implemented in hardware or in a program that instructs the appropriate equipment. The program may be stored on a computer-readable storage medium. The storage medium may be read only memory, a magnetic disk, an optical disk, or the like.
Вышеприведенные описания являются только возможными вариантами осуществления настоящего изобретения и не предназначены для ограничения настоящего изобретения. Любые модификации, эквивалентные замены или улучшения, сделанные без отхода от сущности и принципа настоящего изобретения, должны находиться в рамках объема защиты настоящего изобретения.The above descriptions are only possible embodiments of the present invention and are not intended to limit the present invention. Any modifications, equivalent substitutions or improvements made without departing from the spirit and principle of the present invention shall be within the protection scope of the present invention.
Claims (160)
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810370889.0 | 2018-04-23 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2020137974A RU2020137974A (en) | 2022-05-19 |
| RU2777616C2 true RU2777616C2 (en) | 2022-08-08 |
Family
ID=
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009059112A (en) * | 2007-08-30 | 2009-03-19 | Brother Ind Ltd | Log collection system and computer unit |
| CN106055608A (en) * | 2016-05-25 | 2016-10-26 | 北京百度网讯科技有限公司 | Method and apparatus for automatically collecting and analyzing switch logs |
| WO2016208158A1 (en) * | 2015-06-26 | 2016-12-29 | 日本電気株式会社 | Information processing device, information processing system, information processing method, and storage medium |
| RU2615790C1 (en) * | 2016-01-29 | 2017-04-11 | Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Магнитогорский государственный технический университет им. Г.И. Носова" (ФГБОУ ВПО "МГТУ") | Monitoring device for power transformers |
| WO2017082782A1 (en) * | 2015-11-10 | 2017-05-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Managing network alarms |
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009059112A (en) * | 2007-08-30 | 2009-03-19 | Brother Ind Ltd | Log collection system and computer unit |
| WO2016208158A1 (en) * | 2015-06-26 | 2016-12-29 | 日本電気株式会社 | Information processing device, information processing system, information processing method, and storage medium |
| WO2017082782A1 (en) * | 2015-11-10 | 2017-05-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Managing network alarms |
| RU2615790C1 (en) * | 2016-01-29 | 2017-04-11 | Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Магнитогорский государственный технический университет им. Г.И. Носова" (ФГБОУ ВПО "МГТУ") | Monitoring device for power transformers |
| CN106055608A (en) * | 2016-05-25 | 2016-10-26 | 北京百度网讯科技有限公司 | Method and apparatus for automatically collecting and analyzing switch logs |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7325584B2 (en) | ALARM LOG COMPRESSION METHOD, APPARATUS AND SYSTEM, AND STORAGE MEDIUM | |
| US20190228296A1 (en) | Significant events identifier for outlier root cause investigation | |
| CN108964995A (en) | Log correlation analysis method based on time shaft event | |
| US7082381B1 (en) | Method for performance monitoring and modeling | |
| CN103761173A (en) | Log based computer system fault diagnosis method and device | |
| CN112114995A (en) | Process-based terminal anomaly analysis method, device, equipment and storage medium | |
| CN104794136A (en) | Fault analysis method and device | |
| CN112732785A (en) | Time series data abnormity detection method, device, equipment and storage medium | |
| US9003076B2 (en) | Identifying anomalies in original metrics of a system | |
| CN109992484B (en) | Network alarm correlation analysis method, device and medium | |
| WO2020168756A1 (en) | Cluster log feature extraction method, and apparatus, device and storage medium | |
| CN101808351A (en) | Method and system for business impact analysis | |
| CN112350854B (en) | Flow fault positioning method, device, equipment and storage medium | |
| CN109684320B (en) | Method and equipment for online cleaning of monitoring data | |
| CN114465874A (en) | Fault prediction method, device, electronic equipment and storage medium | |
| CN111276247B (en) | Flight parameter data health assessment method and equipment based on big data processing | |
| CN115357418A (en) | Microservice fault detection method and device, storage medium and computer equipment | |
| RU2777616C2 (en) | System, device and method for compression of alarm log, and data carrier | |
| CN116264541A (en) | Multi-dimension-based database disaster recovery method and device | |
| JP2020035297A (en) | Apparatus state monitor and program | |
| CN114155578A (en) | Portrait clustering method, device, electronic equipment and storage medium | |
| CN111404740A (en) | Fault analysis method and device, electronic equipment and computer readable storage medium | |
| CN113542200A (en) | Risk control method, risk control device and storage medium | |
| CN113420917B (en) | Method for predicting future faults of service system, computer equipment and storage medium | |
| WO2023100242A1 (en) | Failure information estimation device, failure information estimation method, and failure information estimation program |