一种网络故障时间定位方法和分析设备的制造方法
【技术领域】
[0001] 本发明设及数据挖掘和网络管理领域,尤其设及一种网络故障时间定位方法和分 析设备。
【背景技术】
[0002] 随着网络技术的发展,宽带路由器在网络中的应用变得越来越广泛,且在网络中 占据重要地位。然后,宽带路由器在运行过程中难免会出现故障,当宽带路由器出现故障 时,若不及时解决,则会导致网络出现暂时性的中断,给企业带来诸多不便及损失,因此,及 时检测并解决宽带路由器的故障是很有必要的。
[0003] 由于,宽带路由器产生的网络日志中包含了大部分和宽带路由器运行相关的信 息,因此,现有技术人员多通过分析网络日志来定位宽带路由器的故障。但是,在实现本发 明的过程中,技术人员发现:在现有日志分析过程中人为参与的部分较多,投入了大量的人 力和时间,同时,又需要结合大量的专业知识定位网络故障发生的时间,导致故障定位的效 率较低。
【发明内容】
[0004] 为解决上述问题,本发明实施例提供一种网络故障时间定位方法和分析设备,W 解决现有在定位网络故障的过程中,需要采用大量的人力和时间来分析网络日志,导致的 故障定位效率较低的问题。
[0005] 为达到上述目的,本发明的实施例采用如下技术方案:
[0006] 第一方面,本发明实施例提供一种网络故障时间定位方法,可W包括:
[0007] 获取网络设备的至少一条日志信息;
[000引对所述至少一条日志信息进行处理,形成包含M个日志行为向量的日志行为矩阵; 其中,每个日志行为向量占用一个时间间隔,每个日志行为向量包含N个元素;所述N为日志 类型的个数,所述日志行为向量中的第i个元素表示:在所述日志行为向量的时间间隔内且 属于第i类的日志信息的个数;
[0009] 根据预设模型对所述日志行为矩阵中的日志行为向量进行计算,确定所述网络设 备的故障发生时间;其中,所述预设模型用于:筛选出符合网络设备发生故障时的行为特征 的日志行为向量。
[0010] 如此,对原始日志进行了压缩处理,将每个时间间隔内各种日志的分布作为一行, W行为单位用对日志进行分析,大大减少了日志处理的代理,进而提升了网络故障时间定 位的效率。
[0011] 由于,不同厂家不同设备和不同模块产生的日志信息间存在一定的差别,给日志 内容的识别带来了不便,因此,在对其进行统一分析处理之前,可W先对各条日志的不同信 息字段进行规范化处理,将日志信息转换成为统一的易识别的日志格式,然后,将统一格式 后的日志信息中内容比较相似的日志W同一类信息对待,最后,将归类后的至少一条日志 信息按照预定的时间间隔构建成日志行为矩阵,即在第一方面的第一种可实现方式中,可 选的,可W采用下述方法对所述至少一条日志信息进行处理,形成包含M个日志行为向量的 日志行为矩阵:
[0012] 将每条日志信息的内容格式转换为预设的日志格式;
[0013] 对格式转换后的日志信息进行归类,并用日志信息所属的类别标识代替所述日志 信息,形成一个由类别标识组成的时间序列;
[0014] 按照预设时间间隔对所述时间序列进行划分;
[0015] 对于每个时间间隔,将所述时间间隔内相同的类别标识进行计数统计,并将统计 个数排列成一个腺隹日志行为向量;
[0016] 将所有日志行为向量按照时间顺序组成所述日志行为矩阵。
[0017] 进一步的,由于网络设备在故障发生时经常会伴随比较明显的特征,为此,本发明 技术人员结合大量的故障分析报告,对大量故障时间附近产生的日志信息进行分析,挖掘 日志行为特征与故障发生的关联性,最终,经过大量计算得到如下结论:(1)单位时间内产 生的日志信息的频数和种类数与网络设备故障的发生具有较强的关联性,具体表现为:当 网络设备发生故障时,单位时间内产生的日志信息的频数和种类数会发生突变;(2)相邻时 间间隔的日志行为模式的变化与网络设备故障的发生具有较强的关联性,具体表现为:当 网络设备发生故障时,相邻时间间隔对应的日志行为模式间的差异值会突然增大。
[0018] 即日志在频率和种类数、或者行为模式上的变化通常为网络设备发生故障时伴随 的独有特征,基于此理念,本发明技术人员提出了能够筛选出符合网络设备发生故障时的 行为特征的日志行为向量的预设模型,根据该模型对构建的日志行为矩阵进行计算,确定 出在频率和种类数、或者行为模式上突变的日志信息,即网络设备发生故障时产生的日志 信息,进而根据该日志信息所处的时间确定定界网络故障时间;所W,在第一方面的另一种 可实现方式中,可选的,可W采用(1)(2)两种方式进行故障定位:
[0019] (1)分别计算所述日志行为矩阵中每个日志行为向量的日志频率和日志种类;
[0020] 对于所述日志行为矩阵中的任一日志行为向量,计算所述日志行为向量和与所述 日志行为向量相邻的至少一个日志行为向量间的日志频率方差W及日志种类方差;
[0021 ]若所述日志频率方差和日志种类方差的均值大于预设阔值,则将所述日志行为向 量对应的时间间隔确定为所述网络设备故障发生时间。
[0022] 其中,由于周期性日志中,单位时间内的发生的日志信息个数是不会发生改变,即 日志频率是固定不变的,所W,对于周期性日志而言,在上述方式的故障检测中频数突变并 没有意义,影响故障检测结果,为了解决运个问题,在分别计算所述日志行为矩阵中每个日 志行为向量的日志频率和日志种类之前,所述故障定位单元203,还用于:
[0023] 根据公式
对每个日志行为向量中的第j个元素进 行加权赋值;
[0024] 其中,所述第j个元素为所述日志行为向量中的任一元素;nj为:第j类日志信息出 现的时间间隔的个数;StcK j)为:第j类日志信息的分布方差。
[0025] (2)遍历所述M个日志行为向量中的每个日志行为向量,比较所述日志行为向量和 在所述日志行为向量时间之后与所述日志行为向量相邻的日志行为向量之间的相似性,得 到与所述日志行为向量对应的比较值;
[0026] 将遍历所述M个日志行为向量中的每个日志行为向量,得到的与所述M个日志行为 向量中的每个日志行为向量一一对应的比较值从大到小进行排列;
[0027] 将排列后的前k个值对应的日志行为向量的时间间隔确定为所述网络设备故障发 生时间;其中,k为大于等于1的整数。
[0028] 具体的,可W根据公式
比较所述日志行为向量和在所述日志行为向 量时间之后与所述日志行为向量相邻的日志行为向量之间的相似性,得到与所述日志行为 向量对应的比较值;其中,t为日志行为向量所处的时间间隔,Xt,1代表第t行日志行为向量 的第i个元素。
[0029] 其中,在本发明实施例中,k为大于等于1的整数,且个数k可W经验进行选取,还可 W设定一阔值,将比较值中大于该阔值的k个日志行为向量确定为发生异常的日志行为向 量,为网络设备故障发生点。
[0030] 需要说明的是,上述两种方式可W单独执行,也可W结合在一起执行,W更加准确 的定位网络故障发生的确切时间,例如:可W先通过方式(1)确定第1行、第5行日志行为向 量的频率和种类发生突变,为故障发生点,然后,再根据方式(2)仅对第1行、第5行的相似性 进行计算,确定出第1行或第5行为故障发生点,加快了网络故障原因分析的效率。
[0031] 第二方面,本发明实施例提供一种分析设备,用于执行上述方法,可W包括:
[0032] 获取单元,用于获取网络设备的至少一条日志信息。
[0033] 矩阵构建单元,用于对所述获取单元获取到的至少一条日志信息进行处理,形成 日志行为矩阵;其中,所述日志行为矩阵包含M个日志行为向量,每个日志行为向量占用一 个时间间隔,每个日志行为向量包含N个元素;所述N为日志类型的个数,所述日志行为向量 中的第i个元素表示:在所述日志行为向量的时间间隔内且属于第i类的日志信息的个数。
[0034] 故障定位单元,用于根据预设模型对所述矩阵构建单元形成的日志行为矩阵中的 日志行为向量进行计算,确定所述网络设备的故障发生时间;其中,所述预设模型用于:筛 选出符合网络设备发生故障时的行为特征的日志行为向量。
[0035] 由于,不同厂家不同设备和不同模块产生的日志信息间存在一定的差别,给日志 内容的识别带来了不便,因此,在对其进行统一分析处理之前,可W先对各条日志的不同信 息字段进行规范化处理,将日志信息转换成为统一的易识别的日志格式,然后,将统一格式 后的日志信息中内容比较相似的日志W同一类信息对待,最后,将归类后的至少一条日志 信息按照预定的时间间隔构建成日志行为矩阵,即在第二方面的一种可实现方式中,可选 的,所述矩阵构建单元,具体可W用于:
[0036] 将每条日志信息的内容格式转换为预设的日志格式;
[0037] 对格式转换后的日志信息进行归类,并用日志信息所属的类别标识代替所述日志 信息,形成一个由类别标识组成的时间序列;
[0038] 按照预设时间间隔对所述时间序列进行划分;
[0039] 对于每个时间间隔,将所述时间间隔内相同的类别标识进行计数统计,并将统计 个数排列成一个腺隹日志行为向量;
[0040] 将所有日志行为向量按照时间顺序组成所述日志行为矩阵。
[0041] 在第二方面的又一种可实现方式中,由于网络设备在故障发生时经常会伴随比较 明显的特征,为此,本发明技术人员结合大量的故障分析报告,对大量故障时间附近产生的 日志信息进行分析,挖掘日志行为特征与故障发生的关联性,最终,经过大量计算得到如下 结论:(1)单位时间内产生的日志信息的频数和种类数与网络设备故障的发生具有较强的 关联性,具体表现为:当网络设备发生故障时,单位时间内产生的日志信息的频数和种类数 会发生突变;(2)相邻时间间隔的日志行为模式的变化与网络设备故障的发生具有较强的 关联性,具体表现为:当网络设备发生故障时,相邻时间间隔对应的日志行为模式间的差异 值会突然增大。
[0042] 即日志在频率和种类数、或者行为模式上的变化通常为网络设备发生故障时伴随 的独有特征,基于此理念,本发明技术人员提出了能够筛选出符合网络设备发生故障时的 行为特征的日志行为向量的预设模型,根据该模型对构建的日志行为矩阵进行计算,确定 出在频率和种类数、或者行为模式上突变的日志信息,即网络设备发生故障时产生的日志 信息,进而根据该日志信息所处的时间确定定界网络故障时间;所W,在第二方面的另一种 实现方式中,可选的,所述故障定位单元,具体可W用于:
[0043] 分别计算所述日志行为矩阵中每个日志行为向量的日志频率和日志种类;
[0044] 对于所述日志行为矩阵中的任一日志行为向量,计算所述日志行为向量和与所述