【技術實現步驟摘要】
一種高召回率的日志異常檢測方法
本專利技術涉及日志異常檢測
,尤其是涉及一種高召回率的日志異常檢測方法。
技術介紹
隨著軟件系統向大規模,復雜的分布式系統發展,這些系統經常遭受錯誤和漏洞的困擾。當發生系統故障(例如服務故障和服務中斷)時,多個服務可能會受到故障的影響,這可能會導致系統的重大損失。系統異常檢測技術旨在定位這些系統故障。這種技術在系統維護中起著至關重要的作用。對于工程師來說,及時準確地發現異常是必要的,以便及時查明原因。系統中有許多類型的數據可用于異常檢測和故障排除。在大多數大型系統中普遍可用的日志數據具有大量信息,并且包含關鍵系統狀態,事件和運行時消息的記錄。目前業界把日志異常分為以下三種類型:i.單條日志就能反映的異常,如“shutdown”日志;ii.不變量異常,又稱為數量關系異常,如一段時間內的connect相關的日志數量與endconnect相關的日志數量不相等;iii.序列異常,又稱為任務流異常,即多條日志序列反映出來的異常,例如程序中某個任務的某個部分發生了異常,導致這個部分不能正常執行,其它部分正常執行,表現在日志中就是在這個任務流日志數據中少了某些日志。現有的日志異常檢測方法一般分為三個部分:a.日志解析:算法較多,各有優劣,目的都是將非結構化的日志數據轉換為結構化的數據。單條日志可以粗略的分為三個部分,打印時間、其它信息(層級(INFO,WARNING等)等)、日志內容。日志解析算法的難點在于如何確定日志內容中的固定部分和變量部分,...
【技術保護點】
1.一種高召回率的日志異常檢測方法,其特征在于,遍歷每一個已知日志模式,對每一個已知日志模式做相同的判斷,提取日志模式數量序列,在提取的統一的日志模式數量序列下,基于單條日志異常、日志序列異常和不變量異常三者之間的關系,同時檢測單條日志異常、日志序列異常和不變量異常。/n
【技術特征摘要】
1.一種高召回率的日志異常檢測方法,其特征在于,遍歷每一個已知日志模式,對每一個已知日志模式做相同的判斷,提取日志模式數量序列,在提取的統一的日志模式數量序列下,基于單條日志異常、日志序列異常和不變量異常三者之間的關系,同時檢測單條日志異常、日志序列異常和不變量異常。
2.根據權利要求1所述的高召回率的日志異常檢測方法,其特征在于,采用并行方式遍歷每一個已知日志模式。
3.根據權利要求1所述的高召回率的日志異常檢測方法,其特征在于,對每一個已知日志模式做相同的判斷,提取日志模式數量序列的具體內容為:
獲取指定時間窗口的日志序列,引入一個未知日志模式和異常日志模式,利用時間滑動窗口提取日志模式數量序列。
4.根據權利要求3所述的高召回率的日志異常檢測方法,其特征在于,引入一個未知日志模式和異常日志模式,利用時間滑動窗口提取日志模式數量序列的具體內容為:
獲取指定時間窗口的日志序列,并對該指定時間窗口的日志序列進行訓練,通過訓練過程中保存的總日志模式序列和日志解析算法,將其轉換為日志模式數量序列,假設訓練過程中保存的總日志模式序列的大小為N,則日志模式數量序列的長度為N+2,將日志模式數量序列中前N個元素與總日志模式序列中的模式通過下標一一對應,將最后一個元素對應為未知模式,即未在訓練數據中出現的模式,將倒數第二個元素對應為異常日志模式。
5.根據權利要求4所述的高召回率的日志異常檢測方法,其特征在于,基于單條日志異常、日志序列異常和不變量異常三者之間的關系,對單條日志異常進行檢測的具體內容為:
創建并維持一個異常日志模式庫,將初始時的異常日志模式庫設定為空,在檢測時,若日志模式數量的倒數第二個元素不為0,反饋單條日志模式錯誤信號,并將對應的異常日志模式和對應的數量反映在檢測結果中;若日志模式數量的最后一個元素不為空,反饋模式新增的異常信號,并將對應的新增日志模式和數量反映在檢測結果中,再結合用戶核實反饋進行確定,若用戶核實反饋為檢測無誤,即新增的日志模式為異常日志模式,則將新增的日志模式更新至異常日志模式庫中,若用戶核實反饋為檢測錯誤,即新增的日志模式為引入的正常日志模式,則將新增的日志模式更新到總日志模式序列中。
6.根據權利要求4所述的高召回率的日志異常檢測方法,其特征在于,基于單條日志異常、日志序列異常和不變量異常三者之間的關系,采用同比環比的方式對日志序列異常進行檢測。
7.根據權利要求6所述的高召回率的日志異常檢測方法,其特征在于,采用同比環比的方式對日志序列異常進行檢測的具體內容為...
【專利技術屬性】
技術研發人員:李虎,曾毅峰,路進鋒,吳霄林,
申請(專利權)人:上海浦東發展銀行股份有限公司,
類型:發明
國別省市:上海;31
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。