WO2021082697A1 - 基于批量告警事件的定位方法、装置、电子设备及介质 - Google Patents

Abstract

本申请涉及运维监控，提供一种基于批量告警事件的定位方法、装置、电子设备及介质。该方法能够获取待处理的至少一条告警信息并判断是否满足批量告警条件，当满足批量告警条件时，获取第一预设时间内的所有事件，对所述所有事件进行嵌套处理，得到二维嵌套字典，删除含有配置操作的告警信息，得到至少一条目标告警，从二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件，基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件，计算每个监控维度的第二事件在所有事件中的占比，得到每个监控维度的占比结果，将最大的占比结果对应的监控维度确定为告警根因，通过智能决策提高告警定位的准确率。

Description

基于批量告警事件的定位方法、装置、电子设备及介质

本申请要求于2019年11月01日提交中国专利局，申请号为201911058281.5，发明名称为“基于批量告警事件的定位方法、装置、电子设备及介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及运维监控技术领域，尤其涉及一种基于批量告警事件的定位方法、装置、电子设备及介质。

背景技术

目前，随着互联网技术被广泛应用到各行各业中，监控系统发出告警信息的数量及类型也不断增多，每天面对着数量庞大、类型众多的告警信息，使运维工程师的压力不断增大，为了缓解运维工程师的负担，告警定位方法应运而生。

然而，发明人意识到在现有的告警定位方案中，直接从时间维度上对告警信息进行分析，由于监控系统运作时经常产生噪声，导致获取到的告警信息中也会混杂大量的噪声信息，同时，事件的发生时间及告警时间之间存在一定的延时，因此导致告警定位不够准确，同时，对因用户操作引起的冗余告警也没有分析处理，导致告警定位的准确性差。

发明内容

鉴于以上内容，有必要提出一种基于批量告警事件的定位方法、装置、电子设备及介质，不仅能够避免告警时间因延时而带来的干扰，还能够过滤因用户操作引起的冗余告警，进而提高告警根因定位的准确率。

本申请的第一方面提供一种基于批量告警事件的定位方法，所述基于批量告警事件的定位方法包括：

当接收到告警定位指令时，获取待处理的至少一条告警信息；

判断所述至少一条告警信息是否满足批量告警条件；

当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件；

对所述所有事件进行嵌套处理，得到二维嵌套字典；

删除含有配置操作的告警信息，得到至少一条目标告警；

采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件；

基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件；

计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果；

将最大的占比结果对应的监控维度确定为告警根因。

本申请的第二方面提供一种电子设备，所述电子设备包括处理器和存储器，所述处理器用于执行所述存储器中存储的计算机可读指令以实现以下步骤：

当接收到告警定位指令时，获取待处理的至少一条告警信息；

判断所述至少一条告警信息是否满足批量告警条件；

当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件；

对所述所有事件进行嵌套处理，得到二维嵌套字典；

删除含有配置操作的告警信息，得到至少一条目标告警；

采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件；

基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件；

计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果；

将最大的占比结果对应的监控维度确定为告警根因。

本申请的第三方面提供一种计算机可读存储介质，所述计算机可读存储介质上存储有至少一个计算机可读指令，所述至少一个计算机可读指令被处理器执行以实现以下步骤：

当接收到告警定位指令时，获取待处理的至少一条告警信息；

判断所述至少一条告警信息是否满足批量告警条件；

当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件；

对所述所有事件进行嵌套处理，得到二维嵌套字典；

删除含有配置操作的告警信息，得到至少一条目标告警；

采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件；

基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件；

计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果；

将最大的占比结果对应的监控维度确定为告警根因。

本申请的第四方面提供一种基于批量告警事件的定位装置，所述基于批量告警事件的定位装置包括：

获取单元，用于当接收到告警定位指令时，获取待处理的至少一条告警信息；

判断单元，用于判断所述至少一条告警信息是否满足批量告警条件；

所述获取单元，还用于当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件；

处理单元，用于对所述所有事件进行嵌套处理，得到二维嵌套字典；

删除单元，用于删除含有配置操作的告警信息，得到至少一条目标告警；

所述获取单元，还用于采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件；

聚合单元，用于基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件；

计算单元，用于计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果；

确定单元，用于将最大的占比结果对应的监控维度确定为告警根因。

由以上技术方案可以看出，本申请能够当接收到告警定位指令时，获取待处理的至少一条告警信息，判断所述至少一条告警信息是否满足批量告警条件，当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件，对所述所有 事件进行嵌套处理，得到二维嵌套字典，删除含有配置操作的告警信息，得到至少一条目标告警，采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件，基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件，计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果，将最大的占比结果对应的监控维度确定为告警根因，能够在所述至少一条告警信息满足批量告警条件时，对处理过的目标告警进行监控维度上的处理，避免告警时间因延时而带来的干扰，同时，还能够对因用户操作引起的冗余告警进行过滤，从而提高告警根因定位的准确率。本申请应用于智慧城市的运维监控，推动智慧城市的建设。

附图说明

图1是本申请基于批量告警事件的定位方法的较佳实施例的流程图。

图2是本申请基于批量告警事件的定位装置的较佳实施例的功能模块图。

图3是本申请实现基于批量告警事件的定位方法的较佳实施例的电子设备的结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本申请进行详细描述。

如图1所示，是本申请基于批量告警事件的定位方法的较佳实施例的流程图。根据不同的需求，该流程图中步骤的顺序可以改变，某些步骤可以省略。

所述基于批量告警事件的定位方法应用于一个或者多个电子设备中，所述电子设备是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程门阵列(Field－Programmable Gate Array，FPGA)、数字处理器(Digital Signal Processor，DSP)、嵌入式设备等。

所述电子设备可以是任何一种可与用户进行人机交互的电子产品，例如，个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant，PDA)、游戏机、交互式网络电视(Internet Protocol Television，IPTV)、智能式穿戴式设备等。

所述电子设备还可以包括网络设备和/或用户设备。其中，所述网络设备包括，但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量主机或网络服务器构成的云。

所述电子设备所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network，VPN)等。

S10，当接收到告警定位指令时，获取待处理的至少一条告警信息。

在本申请的至少一个实施例中，所述告警定位指令可以由用户触发，也可以在满足一定条件时自动触发，本申请不限制。

其中，所述满足一定条件包括，但不限于：满足配置时间等。

所述配置时间可以包括确定的时间点(例如：所述配置时间可以是每天早上七点)，或者包括一个时间段等。

在本申请的至少一个实施例中，所述至少一条告警信息是由监控系统发出的，所述至少一条告警信息可以包括，但不限于：告警时间、告警日志等。

其中，所述监控系统是与电子设备相通信的系统，所述监控系统主要监控服务器或者所述电子设备，当所述服务器或者所述电子设备出现故障时，所述监控系统能够根据故障产生告警信息。

S11，判断所述至少一条告警信息是否满足批量告警条件。

在本申请的至少一个实施例中，所述批量告警条件是指在一定时间内，任意类型中告警信息的数量达到配置数目。

在本申请的至少一个实施例中，所述电子设备判断所述至少一条告警信息是否满足批量告警条件包括：

所述电子设备检测每条告警信息的类型，将所述类型相同的告警信息进行归类，得到至少一种类型的告警信息，进一步地，所述电子设备计算每种类型中告警信息的第一数量，当检测到任意一种类型中告警信息的第一数量大于或者等于所述配置数目时，所述电子设备确定所述至少一条告警信息满足所述批量告警条件。

其中，所述配置数目的取值可以自定义配置，本申请不作限制。

S12，当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件。

在本申请的至少一个实施例中，所述所有事件是指在所述第一预设时间内，所述监控系统监控到的事件。

在本申请的至少一个实施例中，所述电子设备获取第一预设时间内的所有事件包括：

所述电子设备从所述至少一条告警信息中获取每条告警信息的告警时间，根据所述告警时间，确定所述至少一条告警信息的目标时间段，从所述目标时间段中截取任意时间段作为所述第一预设时间，进一步地，所述电子设备采用网络爬虫技术获取所述第一预设时间内的所有事件。

其中，所述任意时间段的选取本申请不限制。

例如：所述至少一条告警信息中含有告警信息A、告警信息B、告警信息C，所述电子设备从所述至少一条告警信息中获取到所述告警信息A的告警时间为8:00、所述告警信息B的告警时间为9:00、所述告警信息C的告警时间为10:00，进一步地，所述电子设备根据所述告警时间，确定所述至少一条告警信息的目标时间段为8:00-10:00，所述电子设备从所述目标时间段中截取8:30-9:30作为第一预设时间，更进一步地，所述电子设备采用网络爬虫技术从所述监控系统中获取8:30-9:30内发生的所有事件。

通过上述实施方式，由于获取的事件来自所述目标时间段中任意时间段的所有事件，因此能够快速获取更加全面的事件。

S13，对所述所有事件进行嵌套处理，得到二维嵌套字典。

在本申请的至少一个实施例中，所述二维嵌套字典中包含所述所有事件的具体信息，所述具体信息由每件事件的目标主题、目标时间及每件事件的目标信息组成。

在本申请的至少一个实施例中，所述电子设备对所述所有事件进行嵌套处理，得到二维嵌套字典包括：

所述电子设备采用机器学习方法从所述所有事件中提取每件事件的目标主题及目标时间，进一步地，所述电子设备将每个目标主题确定为每件事件的外层标签及将每个目标时间确定为每件事件的内层标签，从所述所有事件中获取与每件事件对应的每个目标信息，将每个目标信息确定为每件事件的特征值，根据每件事件的外层标签、内层标签及特征值，生成所述二维嵌套字典。

具体地，所述电子设备采用机器学习方法从所述所有事件中提取每件事件的目标主题及目标时间包括：

所述电子设备获取第一训练集，通过训练所述第一训练集，构建所述目标主题的第一网络，采用第一学习率调整所述第一网络，得到所述目标主题的第一模型，所述电子设备将每件事件输入至所述第一模型中，得到每件事件的目标主题，进一步地，所述电子设备获取第二训练集，通过训练所述第二训练集，构建所述目标时间的第二网络，采用第二学习率调整 所述第二网络，得到所述目标时间的第二模型，所述电子设备将每件事件输入至所述第二模型中，得到每件事件的目标时间。

其中，所述第一训练集中包含事件的目标主题，所述第二训练集中包含事件的目标时间。

进一步地，所述第一学习率及所述第二学习率的取值可自定义配置，本申请不作限制。

当然，在其他实施例中，只要能达到相同的提取效果，所述电子设备也可以采用其他算法，本申请不限制。

通过上述实施方式，生成了所述二维嵌套字典，使所述所有事件具有统一的格式，因此，基于批量告警事件的定位方法适用于各种监控系统(如Argus监控系统)。

S14，删除含有配置操作的告警信息，得到至少一条目标告警。

在本申请的至少一个实施例中，所述配置操作是指由于用户操作不当引起的操作，例如：用户在关机时，设备自动删除文档信息的操作。

在本申请的至少一个实施例中，所述电子设备删除含有配置操作的告警信息，得到至少一条目标告警包括：

所述电子设备从所述至少一条告警信息中获取第一日志，检测所述第一日志中是否含有所述配置操作，进一步地，所述电子设备删除含有所述配置操作的告警信息，得到所述至少一条目标告警。

通过删除含有所述配置操作的告警信息，避免因所述配置操作的存在而导致告警根因定位不准确。

S15，采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件。

在本申请的至少一个实施例中，所述第一事件是与所述至少一条目标告警对应的事件。

进一步地，所述目标告警是指不含所述配置操作的告警信息。

在本申请的至少一个实施例中，所述电子设备采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件包括：

所述电子设备采用循环遍历方法获取每条目标告警的第一主题及所述二维嵌套字典中的所有外层标签，将每个第一主题与所述所有外层标签进行匹配，进一步地，所述电子设备将匹配成功的外层标签对应的事件确定为该条目标告警的第一事件。

例如：所述目标告警为目标告警D，所述电子设备采用循环遍历方法获取到所述目标告警D的第一主题为主题甲，同时获取到所述二维嵌套字典中的所有外层标签分别为标签甲、标签乙、标签丙以及标签丁，进一步地，所述电子设备将所述主题甲与所述所有外层标签进行匹配，得到所述主题甲与所述标签甲匹配，所述电子设备将在所述二维嵌套字典中与所述标签甲对应的事件确定为所述目标告警D的第一事件。

通过上述实施方式，利用所述二维嵌套字典，能够直接将目标告警的第一主题与所述外层标签进行匹配，而不需要将所述第一主题与所述所有事件中的具体信息都进行匹配，进而提高所述第一主题与所述外层标签匹配速度。

S16，基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件。

在本申请的至少一个实施例中，所述第二事件是属于同一个监控维度的第一事件的集合。

例如：所述目标告警分别为目标告警E、目标告警F、目标告警G，其中，所述目标告警E的第一事件有事件1、事件2及事件3，所述目标告警F的第一事件有事件4及事件5，所述目标告警G的第一事件有事件6，基于监控维度对所述事件1、所述事件2、所述事件3、所述事件4、所述事件5及所述事件6进行归类聚合，得到物理机监控维度的第二事件有所述事件1、所述事件2及所述事件3，存储监控维度的第二事件有所述事件4、所述事件5及所述事件6。

在本申请的至少一个实施例中，所述电子设备基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件包括：

所述电子设备获取每条目标告警的告警日志，采用基于高维聚类技术的中文关键词提取算法从所述告警日志中提取第一信息，根据所述第一信息，确定每个第一事件的监控维度，进一步地，所述电子设备采用分类算法将所述监控维度相同的第一事件进行归类聚合，得到所述至少一个监控维度的第二事件。

通过上述实施方式，能够准确地得到每个第一事件的监控维度，由于采用了分类算法，因此能够将监控维度相同的第一事件分类到同一监控维度上。

具体地，所述电子设备采用基于高维聚类技术的中文关键词提取算法从所述告警日志中提取第一信息包括：

所述电子设备依据预先配置的目标词典对所述告警日志进行快速分词，得到第一分词，统计所述第一分词的目标词频，将所述目标词频大于预设词频的第一分词确定为初始关键词，所述电子设备根据预设小词典，对所述初始关键词进行修剪，得到最终关键词，将所述最终关键词确定为所述第一信息。

其中，所述目标词典可以包括常见的关键词。

进一步地，所述小词典可以包括，但不限于虚词、停用词等。

通过上述实施方式，通过对所述初始关键词进行修剪，进而准确、快速地确定出所述第一信息。

S17，计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果。

在本申请的至少一个实施例中，所述占比结果是指所述第二事件的数量与所述所有事件的总数量的比值。

在本申请的至少一个实施例中，所述电子设备计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果包括：

所述电子设备根据所述二维嵌套字典获取所述所有事件的总数量，进一步地，所述电子设备确定每个监控维度中对应的第二事件的目标数量，将每个目标数量除以所述总数量，得到每个监控维度的占比结果。

例如：从所述二维嵌套字典中获取所述所有事件的总数量为1000件，所述电子设备确定所述物理机监控维度对应的第二事件的目标数量为800件，所述存储监控维度对应的第二事件的目标数量为100件，所述电子设备将每个目标数量除以所述总数量，得到所述物理机监控维度的占比结果为五分之四，所述存储监控维度的占比结果为十分之一。

通过确定每个监控维度的第二事件在所述所有事件中的比值，进而能够准确地得到每个监控维度的占比结果，为后续确定告警根因提供基础。

S18，将最大的占比结果对应的监控维度确定为告警根因。

在本申请的至少一个实施例中，所述告警根因是指具体的告警根源。

在本申请的至少一个实施例中，所述电子设备将最大的占比结果对应的监控维度确定为告警根因包括：

当检测到每个监控维度的占比结果时，所述电子设备获取比较大小程序，将每个监控维度的占比结果输入至所述比较大小程序中，得到最大的占比结果，进一步地，所述电子设备将所述最大的占比结果对应的监控维度确定为所述告警根因。

在本申请的至少一个实施例中，在将最大的占比结果对应的维度确定为告警根因之后，所述方法还包括：

所述电子设备从配置方案库中获取与所述告警根因对应的解决方案，根据所述告警根因及所述解决方案，生成提示信息，进一步地，所述电子设备采用加密技术对所述提示信息进 行加密，得到目标密文，将所述目标密文发送至指定人员的终端设备，当检测到所述目标密文被成功解密时，显示所述提示信息。

其中，所述配置方案库中存储至少一个告警根因及对应的解决方案。

进一步地，所述提示信息可以包括，但不限于：告警根因、解决方案、告警时间等。

更进一步地，所述指定人员可以是所述监控系统的负责人。

通过上述实施方式，对所述提示信息进行加密，能够避免所述提示信息中的告警根因及解决方案被随意篡改，提高所述提示信息的安全性，还能够在得到告警根因后，及时提醒所述指定人员进行查看。

由以上技术方案可以看出，本申请能够当接收到告警定位指令时，获取待处理的至少一条告警信息，判断所述至少一条告警信息是否满足批量告警条件，当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件，对所述所有事件进行嵌套处理，得到二维嵌套字典，删除含有配置操作的告警信息，得到至少一条目标告警，采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件，基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件，计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果，将最大的占比结果对应的监控维度确定为告警根因，能够在所述至少一条告警信息满足批量告警条件时，对处理过的目标告警进行监控维度上的处理，避免告警时间因延时而带来的干扰，同时，还能够对因用户操作引起的冗余告警进行过滤，从而提高告警根因定位的准确率。

如图2所示，是本申请基于批量告警事件的定位装置的较佳实施例的功能模块图。所述基于批量告警事件的定位装置11包括获取单元110、判断单元111、处理单元112、删除单元113、聚合单元114、计算单元115、确定单元116、生成单元117、加密单元118、发送单元119以及显示单元120。本申请所称的模块/单元是指一种能够被处理器13所执行，并且能够完成固定功能的一系列计算机程序段，其存储在存储器12中。在本实施例中，关于各模块/单元的功能将在后续的实施例中详述。

当接收到告警定位指令时，获取单元110获取待处理的至少一条告警信息。

在本申请的至少一个实施例中，所述告警定位指令可以由用户触发，也可以在满足一定条件时自动触发，本申请不限制。

其中，所述满足一定条件包括，但不限于：满足配置时间等。

所述配置时间可以包括确定的时间点(例如：所述配置时间可以是每天早上七点)，或者包括一个时间段等。

在本申请的至少一个实施例中，所述至少一条告警信息是由监控系统发出的，所述至少一条告警信息可以包括，但不限于：告警时间、告警日志等。

其中，所述监控系统是与电子设备相通信的系统，所述监控系统主要监控服务器或者所述电子设备，当所述服务器或者所述电子设备出现故障时，所述监控系统能够根据故障产生告警信息。

判断单元111判断所述至少一条告警信息是否满足批量告警条件。

在本申请的至少一个实施例中，所述批量告警条件是指在一定时间内，任意类型中告警信息的数量达到配置数目。

在本申请的至少一个实施例中，所述判断单元111判断所述至少一条告警信息是否满足批量告警条件包括：

所述判断单元111检测每条告警信息的类型，将所述类型相同的告警信息进行归类，得到至少一种类型的告警信息，进一步地，所述判断单元111计算每种类型中告警信息的第一数量，当检测到任意一种类型中告警信息的第一数量大于或者等于所述配置数目时，所述判 断单元111确定所述至少一条告警信息满足所述批量告警条件。

其中，所述配置数目的取值可以自定义配置，本申请不作限制。

当确定所述至少一条告警信息满足所述批量告警条件时，所述获取单元110获取第一预设时间内的所有事件。

在本申请的至少一个实施例中，所述所有事件是指在所述第一预设时间内，所述监控系统监控到的事件。

在本申请的至少一个实施例中，所述获取单元110获取第一预设时间内的所有事件包括：

所述获取单元110从所述至少一条告警信息中获取每条告警信息的告警时间，根据所述告警时间，确定所述至少一条告警信息的目标时间段，从所述目标时间段中截取任意时间段作为所述第一预设时间，进一步地，所述获取单元110采用网络爬虫技术获取所述第一预设时间内的所有事件。

其中，所述任意时间段的选取本申请不限制。

例如：所述至少一条告警信息中含有告警信息A、告警信息B、告警信息C，所述获取单元110从所述至少一条告警信息中获取到所述告警信息A的告警时间为8:00、所述告警信息B的告警时间为9:00、所述告警信息C的告警时间为10:00，进一步地，所述获取单元110根据所述告警时间，确定所述至少一条告警信息的目标时间段为8:00-10:00，所述获取单元110从所述目标时间段中截取8:30-9:30作为第一预设时间，更进一步地，所述获取单元110采用网络爬虫技术从所述监控系统中获取8:30-9:30内发生的所有事件。

通过上述实施方式，由于获取的事件来自所述目标时间段中任意时间段的所有事件，因此能够快速获取更加全面的事件。

处理单元112对所述所有事件进行嵌套处理，得到二维嵌套字典。

在本申请的至少一个实施例中，所述二维嵌套字典中包含所述所有事件的具体信息，所述具体信息由每件事件的目标主题、目标时间及每件事件的目标信息组成。

在本申请的至少一个实施例中，所述处理单元112对所述所有事件进行嵌套处理，得到二维嵌套字典包括：

所述处理单元112采用机器学习方法从所述所有事件中提取每件事件的目标主题及目标时间，进一步地，所述处理单元112将每个目标主题确定为每件事件的外层标签及将每个目标时间确定为每件事件的内层标签，从所述所有事件中获取与每件事件对应的每个目标信息，将每个目标信息确定为每件事件的特征值，根据每件事件的外层标签、内层标签及特征值，生成所述二维嵌套字典。

具体地，所述处理单元112采用机器学习方法从所述所有事件中提取每件事件的目标主题及目标时间包括：

所述处理单元112获取第一训练集，通过训练所述第一训练集，构建所述目标主题的第一网络，采用第一学习率调整所述第一网络，得到所述目标主题的第一模型，所述处理单元112将每件事件输入至所述第一模型中，得到每件事件的目标主题，进一步地，所述处理单元112获取第二训练集，通过训练所述第二训练集，构建所述目标时间的第二网络，采用第二学习率调整所述第二网络，得到所述目标时间的第二模型，所述处理单元112将每件事件输入至所述第二模型中，得到每件事件的目标时间。

其中，所述第一训练集中包含事件的目标主题，所述第二训练集中包含事件的目标时间。

进一步地，所述第一学习率及所述第二学习率的取值可自定义配置，本申请不作限制。

当然，在其他实施例中，只要能达到相同的提取效果，所述处理单元112也可以采用其他算法，本申请不限制。

通过上述实施方式，生成了所述二维嵌套字典，使所述所有事件具有统一的格式，因此，基于批量告警事件的定位方法适用于各种监控系统(如Argus监控系统)。

删除单元113删除含有配置操作的告警信息，得到至少一条目标告警。

在本申请的至少一个实施例中，所述配置操作是指由于用户操作不当引起的操作，例如：用户在关机时，设备自动删除文档信息的操作。

在本申请的至少一个实施例中，所述删除单元113删除含有配置操作的告警信息，得到至少一条目标告警包括：

所述删除单元113从所述至少一条告警信息中获取第一日志，检测所述第一日志中是否含有所述配置操作，进一步地，所述删除单元113删除含有所述配置操作的告警信息，得到所述至少一条目标告警。

通过删除含有所述配置操作的告警信息，避免因所述配置操作的存在而导致告警根因定位不准确。

所述获取单元110采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件。

在本申请的至少一个实施例中，所述第一事件是与所述至少一条目标告警对应的事件。

进一步地，所述目标告警是指不含所述配置操作的告警信息。

在本申请的至少一个实施例中，所述获取单元110采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件包括：

所述获取单元110采用循环遍历方法获取每条目标告警的第一主题及所述二维嵌套字典中的所有外层标签，将每个第一主题与所述所有外层标签进行匹配，进一步地，所述获取单元110将匹配成功的外层标签对应的事件确定为该条目标告警的第一事件。

例如：所述目标告警为目标告警D，所述获取单元110采用循环遍历方法获取到所述目标告警D的第一主题为主题甲，同时获取到所述二维嵌套字典中的所有外层标签分别为标签甲、标签乙、标签丙以及标签丁，进一步地，所述获取单元110将所述主题甲与所述所有外层标签进行匹配，得到所述主题甲与所述标签甲匹配，所述获取单元110将在所述二维嵌套字典中与所述标签甲对应的事件确定为所述目标告警D的第一事件。

通过上述实施方式，利用所述二维嵌套字典，能够直接将目标告警的第一主题与所述外层标签进行匹配，而不需要将所述第一主题与所述所有事件中的具体信息都进行匹配，进而提高所述第一主题与所述外层标签匹配速度。

聚合单元114基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件。

在本申请的至少一个实施例中，所述第二事件是属于同一个监控维度的第一事件的集合。

例如：所述目标告警分别为目标告警E、目标告警F、目标告警G，其中，所述目标告警E的第一事件有事件1、事件2及事件3，所述目标告警F的第一事件有事件4及事件5，所述目标告警G的第一事件有事件6，基于监控维度对所述事件1、所述事件2、所述事件3、所述事件4、所述事件5及所述事件6进行归类聚合，得到物理机监控维度的第二事件有所述事件1、所述事件2及所述事件3，存储监控维度的第二事件有所述事件4、所述事件5及所述事件6。

在本申请的至少一个实施例中，所述聚合单元114基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件包括：

所述聚合单元114获取每条目标告警的告警日志，采用基于高维聚类技术的中文关键词提取算法从所述告警日志中提取第一信息，根据所述第一信息，确定每个第一事件的监控维度，进一步地，所述聚合单元114采用分类算法将所述监控维度相同的第一事件进行归类聚合，得到所述至少一个监控维度的第二事件。

通过上述实施方式，能够准确地得到每个第一事件的监控维度，由于采用了分类算法，因此能够将监控维度相同的第一事件分类到同一监控维度上。

具体地，所述聚合单元114采用基于高维聚类技术的中文关键词提取算法从所述告警日志中提取第一信息包括：

所述聚合单元114依据预先配置的目标词典对所述告警日志进行快速分词，得到第一分词，统计所述第一分词的目标词频，将所述目标词频大于预设词频的第一分词确定为初始关键词，所述聚合单元114根据预设小词典，对所述初始关键词进行修剪，得到最终关键词，将所述最终关键词确定为所述第一信息。

其中，所述目标词典可以包括常见的关键词。

进一步地，所述小词典可以包括，但不限于虚词、停用词等。

通过上述实施方式，通过对所述初始关键词进行修剪，进而准确、快速地确定出所述第一信息。

计算单元115计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果。

在本申请的至少一个实施例中，所述占比结果是指所述第二事件的数量与所述所有事件的总数量的比值。

在本申请的至少一个实施例中，所述计算单元115计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果包括：

所述计算单元115根据所述二维嵌套字典获取所述所有事件的总数量，进一步地，所述计算单元115确定每个监控维度中对应的第二事件的目标数量，将每个目标数量除以所述总数量，得到每个监控维度的占比结果。

例如：从所述二维嵌套字典中获取所述所有事件的总数量为1000件，所述计算单元115确定所述物理机监控维度对应的第二事件的目标数量为800件，所述存储监控维度对应的第二事件的目标数量为100件，所述计算单元115将每个目标数量除以所述总数量，得到所述物理机监控维度的占比结果为五分之四，所述存储监控维度的占比结果为十分之一。

通过确定每个监控维度的第二事件在所述所有事件中的比值，进而能够准确地得到每个监控维度的占比结果，为后续确定告警根因提供基础。

确定单元116将最大的占比结果对应的监控维度确定为告警根因。

在本申请的至少一个实施例中，所述告警根因是指具体的告警根源。

在本申请的至少一个实施例中，所述确定单元116将最大的占比结果对应的监控维度确定为告警根因包括：

当检测到每个监控维度的占比结果时，所述确定单元116获取比较大小程序，将每个监控维度的占比结果输入至所述比较大小程序中，得到最大的占比结果，进一步地，所述确定单元116将所述最大的占比结果对应的监控维度确定为所述告警根因。

在本申请的至少一个实施例中，在将最大的占比结果对应的维度确定为告警根因之后，所述方法还包括：

所述获取单元110从配置方案库中获取与所述告警根因对应的解决方案，生成单元117根据所述告警根因及所述解决方案，生成提示信息，进一步地，加密单元118采用加密技术对所述提示信息进行加密，得到目标密文，更进一步地，发送单元119将所述目标密文发送至指定人员的终端设备，当检测到所述目标密文被成功解密时，显示单元120显示所述提示信息。

其中，所述配置方案库中存储至少一个告警根因及对应的解决方案。

进一步地，所述提示信息可以包括，但不限于：告警根因、解决方案、告警时间等。

更进一步地，所述指定人员可以是所述监控系统的负责人。

通过上述实施方式，对所述提示信息进行加密，能够避免所述提示信息中的告警根因及解决方案被随意篡改，提高所述提示信息的安全性，还能够在得到告警根因后，及时提醒所 述指定人员进行查看。

由以上技术方案可以看出，本申请能够当接收到告警定位指令时，获取待处理的至少一条告警信息，判断所述至少一条告警信息是否满足批量告警条件，当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件，对所述所有事件进行嵌套处理，得到二维嵌套字典，删除含有配置操作的告警信息，得到至少一条目标告警，采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件，基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件，计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果，将最大的占比结果对应的监控维度确定为告警根因，能够在所述至少一条告警信息满足批量告警条件时，对处理过的目标告警进行监控维度上的处理，避免告警时间因延时而带来的干扰，同时，还能够对因用户操作引起的冗余告警进行过滤，从而提高告警根因定位的准确率。

如图3所示，是本申请实现基于批量告警事件的定位方法的较佳实施例的电子设备的结构示意图。

在本申请的一个实施例中，所述电子设备1包括，但不限于，存储器12、处理器13，以及存储在所述存储器12中并可在所述处理器13上运行的计算机程序，例如基于批量告警事件的定位程序。

本领域技术人员可以理解，所述示意图仅仅是电子设备1的示例，并不构成对电子设备1的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述电子设备1还可以包括输入输出设备、网络接入设备、总线等。

所述处理器13可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器13是所述电子设备1的运算核心和控制中心，利用各种接口和线路连接整个电子设备1的各个部分，及执行所述电子设备1的操作系统以及安装的各类应用程序、程序代码等。

所述处理器13执行所述电子设备1的操作系统以及安装的各类应用程序。所述处理器13执行所述应用程序以实现上述各个基于批量告警事件的定位方法实施例中的步骤，例如图1所示的步骤。

示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器12中，并由所述处理器13执行，以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述电子设备1中的执行过程。例如，所述计算机程序可以被分割成获取单元110、判断单元111、处理单元112、删除单元113、聚合单元114、计算单元115、确定单元116、生成单元117、加密单元118、发送单元119以及显示单元120。

所述存储器12可用于存储所述计算机程序和/或模块，所述处理器13通过运行或执行存储在所述存储器12内的计算机程序和/或模块，以及调用存储在存储器12内的数据，实现所述电子设备1的各种功能。所述存储器12可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据电子设备的使用所创建的数据(比如音频数据等)等。此外，存储器12可以包括非易失性和易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他存储器件。

所述存储器12可以是电子设备1的外部存储器和/或内部存储器。进一步地，所述存储器12可以是具有实物形式的存储器，如内存条、TF卡(Trans-flash Card)等等。

所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中，所述计算机可读存储介质可以是非易失性的存储介质，也可以是易失性的存储介质。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。

其中，所述计算机程序包括计算机可读指令代码，所述计算机可读指令代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器。

结合图1，所述电子设备1中的所述存储器12存储多个指令以实现一种基于批量告警事件的定位方法，所述处理器13可执行所述多个指令从而实现：当接收到告警定位指令时，获取待处理的至少一条告警信息；判断所述至少一条告警信息是否满足批量告警条件；当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件；对所述所有事件进行嵌套处理，得到二维嵌套字典；删除含有配置操作的告警信息，得到至少一条目标告警；采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件；基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件；计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果；将最大的占比结果对应的监控维度确定为告警根因。

具体地，所述处理器13对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述，在此不赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，既可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。

此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施例仅用以说明本申请的技术方案而非限制，尽管参照较佳实施例对本申请进行了详细说明，本领域的普通技术人员应当理解，可以对本申请的技术方案进行修改或等同替换，而不脱离本申请技术方案的精神和范围。

Claims (20)

1. 一种基于批量告警事件的定位方法，其中，所述基于批量告警事件的定位方法包括：

   当接收到告警定位指令时，获取待处理的至少一条告警信息；

   判断所述至少一条告警信息是否满足批量告警条件；

   当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件；

   对所述所有事件进行嵌套处理，得到二维嵌套字典；

   删除含有配置操作的告警信息，得到至少一条目标告警；

   采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件；

   基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件；

   计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果；

   将最大的占比结果对应的监控维度确定为告警根因。
2. 根据权利要求1所述的基于批量告警事件的定位方法，其中，所述获取第一预设时间内的所有事件包括：

   从所述至少一条告警信息中获取每条告警信息的告警时间；

   根据所述告警时间，确定所述至少一条告警信息的目标时间段；

   从所述目标时间段中截取任意时间段作为所述第一预设时间；

   采用网络爬虫技术获取所述第一预设时间内的所有事件。
3. 根据权利要求1所述的基于批量告警事件的定位方法，其中，所述对所述所有事件进行嵌套处理，得到二维嵌套字典包括：

   采用机器学习方法从所述所有事件中提取每件事件的目标主题及目标时间；

   将每个目标主题确定为每件事件的外层标签及将每个目标时间确定为每件事件的内层标签；

   从所述所有事件中获取与每件事件对应的每个目标信息；

   将每个目标信息确定为每件事件的特征值；

   根据每件事件的外层标签、内层标签及特征值，生成所述二维嵌套字典。
4. 根据权利要求3所述的基于批量告警事件的定位方法，其中，所述采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件包括：

   采用循环遍历方法获取每条目标告警的第一主题及所述二维嵌套字典中的所有外层标签；

   将每个第一主题与所述所有外层标签进行匹配；

   将匹配成功的外层标签对应的事件确定为该条目标告警的第一事件。
5. 根据权利要求1所述的基于批量告警事件的定位方法，其中，所述基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件包括：

   获取每条目标告警的告警日志；

   采用基于高维聚类技术的中文关键词提取算法从所述告警日志中提取第一信息；

   根据所述第一信息，确定每个第一事件的监控维度；

   采用分类算法将所述监控维度相同的第一事件进行归类聚合，得到所述至少一个监控维度的第二事件。
6. 根据权利要求1所述的基于批量告警事件的定位方法，其中，所述计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果包括：

   根据所述二维嵌套字典获取所述所有事件的总数量；

   确定每个监控维度中对应的第二事件的目标数量；

   将每个目标数量除以所述总数量，得到每个监控维度的占比结果。
7. 根据权利要求1所述的基于批量告警事件的定位方法，其中，在将最大的占比结果对应的维度确定为告警根因之后，所述方法还包括：

   从配置方案库中获取与所述告警根因对应的解决方案；

   根据所述告警根因及所述解决方案，生成提示信息；

   采用加密技术对所述提示信息进行加密，得到目标密文；

   将所述目标密文发送至指定人员的终端设备；

   当检测到所述目标密文被成功解密时，显示所述提示信息。
8. 一种电子设备，其中，所述电子设备包括处理器和存储器，所述处理器用于执行存储器中存储的至少一个计算机可读指令以实现以下步骤：

   当接收到告警定位指令时，获取待处理的至少一条告警信息；

   判断所述至少一条告警信息是否满足批量告警条件；

   当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件；

   对所述所有事件进行嵌套处理，得到二维嵌套字典；

   删除含有配置操作的告警信息，得到至少一条目标告警；

   采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件；

   基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件；

   计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果；

   将最大的占比结果对应的监控维度确定为告警根因。
9. 根据权利要求8所述的电子设备，其中，在所述获取第一预设时间内的所有事件时，所述处理器执行所述至少一个计算机可读指令以实现以下步骤：

   从所述至少一条告警信息中获取每条告警信息的告警时间；

   根据所述告警时间，确定所述至少一条告警信息的目标时间段；

   从所述目标时间段中截取任意时间段作为所述第一预设时间；

   采用网络爬虫技术获取所述第一预设时间内的所有事件。
10. 根据权利要求8所述的电子设备，其中，在所述对所述所有事件进行嵌套处理，得到二维嵌套字典时，所述处理器执行所述至少一个计算机可读指令以实现以下步骤：

    采用机器学习方法从所述所有事件中提取每件事件的目标主题及目标时间；

    将每个目标主题确定为每件事件的外层标签及将每个目标时间确定为每件事件的内层标签；

    从所述所有事件中获取与每件事件对应的每个目标信息；

    将每个目标信息确定为每件事件的特征值；

    根据每件事件的外层标签、内层标签及特征值，生成所述二维嵌套字典。
11. 根据权利要求10所述的电子设备，其中，在所述采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件时，所述处理器执行所述至少一个计算机可读指令以实现以下步骤：

    采用循环遍历方法获取每条目标告警的第一主题及所述二维嵌套字典中的所有外层标签；

    将每个第一主题与所述所有外层标签进行匹配；

    将匹配成功的外层标签对应的事件确定为该条目标告警的第一事件。
12. 根据权利要求8所述的电子设备，其中，在所述基于监控维度，对所述至少一条目 标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件时，所述处理器执行所述至少一个计算机可读指令以实现以下步骤：

    获取每条目标告警的告警日志；

    采用基于高维聚类技术的中文关键词提取算法从所述告警日志中提取第一信息；

    根据所述第一信息，确定每个第一事件的监控维度；

    采用分类算法将所述监控维度相同的第一事件进行归类聚合，得到所述至少一个监控维度的第二事件。
13. 根据权利要求8所述的电子设备，其中，在所述计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果时，所述处理器执行所述至少一个计算机可读指令以实现以下步骤：

    根据所述二维嵌套字典获取所述所有事件的总数量；

    确定每个监控维度中对应的第二事件的目标数量；

    将每个目标数量除以所述总数量，得到每个监控维度的占比结果。
14. 一种计算机可读存储介质，其中，所述计算机可读存储介质存储有至少一个计算机可读指令，所述至少一个计算机可读指令被处理器执行时实现以下步骤：

    当接收到告警定位指令时，获取待处理的至少一条告警信息；

    判断所述至少一条告警信息是否满足批量告警条件；

    当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件；

    对所述所有事件进行嵌套处理，得到二维嵌套字典；

    删除含有配置操作的告警信息，得到至少一条目标告警；

    采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件；

    基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件；

    计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果；

    将最大的占比结果对应的监控维度确定为告警根因。
15. 根据权利要求14所述的存储介质，其中，在所述获取第一预设时间内的所有事件时，所述至少一个计算机可读指令被处理器执行以实现以下步骤：

    从所述至少一条告警信息中获取每条告警信息的告警时间；

    根据所述告警时间，确定所述至少一条告警信息的目标时间段；

    从所述目标时间段中截取任意时间段作为所述第一预设时间；

    采用网络爬虫技术获取所述第一预设时间内的所有事件。
16. 根据权利要求14所述的存储介质，其中，在所述对所述所有事件进行嵌套处理，得到二维嵌套字典时，所述至少一个计算机可读指令被处理器执行以实现以下步骤：

    采用机器学习方法从所述所有事件中提取每件事件的目标主题及目标时间；

    将每个目标主题确定为每件事件的外层标签及将每个目标时间确定为每件事件的内层标签；

    从所述所有事件中获取与每件事件对应的每个目标信息；

    将每个目标信息确定为每件事件的特征值；

    根据每件事件的外层标签、内层标签及特征值，生成所述二维嵌套字典。
17. 根据权利要求16所述的存储介质，其中，在所述采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件时，所述至少一个计算机可读指令被处理器执行以实现以下步骤：

    采用循环遍历方法获取每条目标告警的第一主题及所述二维嵌套字典中的所有外层标签；

    将每个第一主题与所述所有外层标签进行匹配；

    将匹配成功的外层标签对应的事件确定为该条目标告警的第一事件。
18. 根据权利要求14所述的存储介质，其中，在所述基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件时，所述至少一个计算机可读指令被处理器执行时以实现以下步骤：

    获取每条目标告警的告警日志；

    采用基于高维聚类技术的中文关键词提取算法从所述告警日志中提取第一信息；

    根据所述第一信息，确定每个第一事件的监控维度；

    采用分类算法将所述监控维度相同的第一事件进行归类聚合，得到所述至少一个监控维度的第二事件。
19. 根据权利要求14所述的存储介质，其中，在所述计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果时，所述至少一个计算机可读指令被处理器执行以实现以下步骤：

    根据所述二维嵌套字典获取所述所有事件的总数量；

    确定每个监控维度中对应的第二事件的目标数量；

    将每个目标数量除以所述总数量，得到每个监控维度的占比结果。
20. 一种基于批量告警事件的定位装置，其中，所述基于批量告警事件的定位装置包括：

    获取单元，用于当接收到告警定位指令时，获取待处理的至少一条告警信息；

    判断单元，用于判断所述至少一条告警信息是否满足批量告警条件；

    所述获取单元，还用于当确定所述至少一条告警信息满足所述批量告警条件时，获取第一预设时间内的所有事件；

    处理单元，用于对所述所有事件进行嵌套处理，得到二维嵌套字典；

    删除单元，用于删除含有配置操作的告警信息，得到至少一条目标告警；

    所述获取单元，还用于采用循环遍历方法从所述二维嵌套字典中获取每条目标告警对应的事件，得到每条目标告警的第一事件；

    聚合单元，用于基于监控维度，对所述至少一条目标告警的第一事件进行归类聚合，得到至少一个监控维度的第二事件；

    计算单元，用于计算每个监控维度的第二事件在所述所有事件中的占比，得到每个监控维度的占比结果；

    确定单元，用于将最大的占比结果对应的监控维度确定为告警根因。

Images