一种网络故障时间定位方法和分析设备的制造方法_2

日志行为向量相邻的至少一个日志行为向量间的日志频率方差W及日志种类方差；
[0045] 若所述日志频率方差和日志种类方差的均值大于预设阔值，则将所述日志行为向 量对应的时间间隔确定为所述网络设备故障发生时间。
[0046] 其中，由于周期性日志中，单位时间内的发生的日志信息个数是不会发生改变，即 日志频率是固定不变的，所W，对于周期性日志而言，在上述方式的故障检测中频数突变并 没有意义，影响故障检测结果，为了解决运个问题，在分别计算所述日志行为矩阵中每个日 志行为向量的日志频率和日志种类之前，所述故障定位单元，还用于：
[0047] 根据公式
对每个日志行为向量中的第j个元素进 行加权赋值；
[004引其中，所述第j个元素为所述日志行为向量中的任一元素;nj为:第j类日志信息出 现的时间间隔的个数;StcK j)为:第j类日志信息的分布方差。
[0049] 或者，所述故障定位单元，具体用于：
[0050] 遍历所述M个日志行为向量中的每个日志行为向量，比较所述日志行为向量和在 所述日志行为向量时间之后与所述日志行为向量相邻的日志行为向量之间的相似性，得到 与所述日志行为向量对应的比较值；
[0051] 将遍历所述M个日志行为向量中的每个日志行为向量，得到的与所述M个日志行为 向量中的每个日志行为向量一一对应的比较值从大到小进行排列；
[0052] 将排列后的前k个值对应的日志行为向量的时间间隔确定为所述网络设备故障发 生时间；其中，k为大于等于1的整数。
[0化3]具体的，可W根据公式^
比较所述日志行为向量和在所述日志行为向 量时间之后与所述日志行为向量相邻的日志行为向量之间的相似性，得到与所述日志行为 向量对应的比较值;其中，t为日志行为向量所处的时间间隔，Xt,1代表第t行日志行为向量 的第i个元素。
[0054] 其中，在本发明实施例中，k为大于等于1的整数，且个数k可W经验进行选取，还可 W设定一阔值，将比较值中大于该阔值的k个日志行为向量确定为发生异常的日志行为向 量，为网络设备故障发生点。
[0055] 需要说明的是，上述两种方式可W单独执行，也可W结合在一起执行，W更加准确 的定位网络故障发生的确切时间，加快网络故障原因分析的效率。
[0056] 第=方面，本发明实施例提供一种分析设备，用于执行上述方法，可W包括：
[0化7]接收器，用于获取网络设备的至少一条日志信息。
[005引处理器，用于对所述接收器获取到的至少一条日志信息进行处理，形成日志行为 矩阵；其中，所述日志行为矩阵包含M个日志行为向量，每个日志行为向量占用一个时间间 隔，每个日志行为向量包含N个元素;所述N为日志类型的个数，所述日志行为向量中的第i 个元素表示:在所述日志行为向量的时间间隔内且属于第i类的日志信息的个数。
[0059] W及，根据预设模型对所述处理器形成的日志行为矩阵中的日志行为向量进行计 算，确定所述网络设备的故障发生时间；其中，所述预设模型用于:筛选出符合网络设备发 生故障时的行为特征的日志行为向量。
[0060] 由于，不同厂家不同设备和不同模块产生的日志信息间存在一定的差别，给日志 内容的识别带来了不便，因此，在对其进行统一分析处理之前，可W先对各条日志的不同信 息字段进行规范化处理，将日志信息转换成为统一的易识别的日志格式，然后，将统一格式 后的日志信息中内容比较相似的日志W同一类信息对待，最后，将归类后的至少一条日志 信息按照预定的时间间隔构建成日志行为矩阵，即在第=方面的一种可实现方式中，可选 的，所述处理器，具体可W用于：
[0061 ]将每条日志信息的内容格式转换为预设的日志格式；
[0062] 对格式转换后的日志信息进行归类，并用日志信息所属的类别标识代替所述日志 信息，形成一个由类别标识组成的时间序列；
[0063] 按照预设时间间隔对所述时间序列进行划分；
[0064] 对于每个时间间隔，将所述时间间隔内相同的类别标识进行计数统计，并将统计 个数排列成一个腺隹日志行为向量；
[0065] 将所有日志行为向量按照时间顺序组成所述日志行为矩阵。
[0066] 在第=方面的又一种可实现方式中，由于网络设备在故障发生时经常会伴随比较 明显的特征，为此，本发明技术人员结合大量的故障分析报告，对大量故障时间附近产生的 日志信息进行分析，挖掘日志行为特征与故障发生的关联性，最终，经过大量计算得到如下 结论：（1)单位时间内产生的日志信息的频数和种类数与网络设备故障的发生具有较强的 关联性，具体表现为：当网络设备发生故障时，单位时间内产生的日志信息的频数和种类数 会发生突变；（2)相邻时间间隔的日志行为模式的变化与网络设备故障的发生具有较强的 关联性，具体表现为：当网络设备发生故障时，相邻时间间隔对应的日志行为模式间的差异 值会突然增大。
[0067]即日志在频率和种类数、或者行为模式上的变化通常为网络设备发生故障时伴随 的独有特征，基于此理念，本发明技术人员提出了能够筛选出符合网络设备发生故障时的 行为特征的日志行为向量的预设模型，根据该模型对构建的日志行为矩阵进行计算，确定 出在频率和种类数、或者行为模式上突变的日志信息，即网络设备发生故障时产生的日志 信息，进而根据该日志信息所处的时间确定定界网络故障时间;所W，在第=方面的另一种 实现方式中，可选的，所述处理器，具体可W用于：
[006引分别计算所述日志行为矩阵中每个日志行为向量的日志频率和日志种类；
[0069] 对于所述日志行为矩阵中的任一日志行为向量，计算所述日志行为向量和与所述 日志行为向量相邻的至少一个日志行为向量间的日志频率方差W及日志种类方差；
[0070] 若所述日志频率方差和日志种类方差的均值大于预设阔值，则将所述日志行为向 量对应的时间间隔确定为所述网络设备故障发生时间。
[0071 ]其中，由于周期性日志中，单位时间内的发生的日志信息个数是不会发生改变，即 日志频率是固定不变的，所W，对于周期性日志而言，在上述方式的故障检测中频数突变并 没有意义，影响故障检测结果，为了解决运个问题，在分别计算所述日志行为矩阵中每个日 志行为向量的日志频率和日志种类之前，所述处理器，还用于：
[0072] 根据公式
对每个日志行为向量中的第j个元素进 行加权赋值；
[0073] 其中，所述第j个元素为所述日志行为向量中的任一元素;nj为:第j类日志信息出 现的时间间隔的个数;StcK j)为:第j类日志信息的分布方差。
[0074] 或者，所述处理器，具体用于：
[0075] 遍历所述M个日志行为向量中的每个日志行为向量，比较所述日志行为向量和在 所述日志行为向量时间之后与所述日志行为向量相邻的日志行为向量之间的相似性，得到 与所述日志行为向量对应的比较值；
[0076] 将遍历所述M个日志行为向量中的每个日志行为向量，得到的与所述M个日志行为 向量中的每个日志行为向量一一对应的比较值从大到小进行排列；
[0077] 将排列后的前k个值对应的日志行为向量的时间间隔确定为所述网络设备故障发 生时间；其中，k为大于等于1的整数。
[007引具体的，可W根据公式
比较所述日志行为向量和在所述日志行为向 量时间之后与所述日志行为向量相邻的日志行为向量之间的相似性，得到与所述日志行为 向量对应的比较值;其中，t为日志行为向量所处的时间间隔，Xt, i代表第t行日志行为向量 的第i个元素。
[0079]其中，在本发明实施例中，k为大于等于1的整数，且个数k可W经验进行选取，还可 W设定一阔值，将比较值中大于该阔值的k个日志行为向量确定为发生异常的日志行为向 量，为网络设备故障发生点。
[0080] 需要说明的是，上述两种方式可W单独执行，也可W结合在一起执行，W更加准确 的定位网络故障发生的确切时间，加快网络故障原因分析的效率。
[0081] 由上可知，本发明实施例提供一种网络故障时间定位方法和分析设备，获取网络 设备的至少一条日志信息；对所述至少一条日志信息进行处理，形成日志行为矩阵；其中， 所述日志行为矩阵包含M个日志行为向量，每个日志行为向量占用一个时间间隔，每个日志 行为向量包含N个元素;所述N为日志类型的个数，所述日志行为向量中的第i个元素表示： 在所述日志行为向量的时间间隔内且属于第i类的日志信息的个数;根据预设模型对所述 曰志行为矩阵中的日志行为向量进行计算，确定所述网络设备的故障发生时间；其中，所述 预设模型用于:筛选出符合网络设备发生故障时的行为特征的日志行为向量。如此，对原始 日志进行了压缩处理，不仅将相似的日志信息用同一种方式对待；而且基于在一定时间间 隔内网络设备的行为表现基本上是相同的理念，将每个时间间隔内各种日志的分布作为一 行，W行为单位用对日志进行分析，大大减少了日志处理的代理，进而提升了网络故障时间 定位的效率。
【附图说明】
[0082] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本 发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可W 根据运些附图获得其他的附图。
[0083] 图1为本发明实施例提供的网络故障时间定位的原理框图；
[0084] 图2为本发明实施例提供的分析设备20的结构图；
[0085] 图3为本发明实施例提供的网络故障时间定位方法的流程图；
[0086] 图4为本发明实施例提供的分析设备30的结构图。
【具体实施方式】
[0087] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例，都属于本发明保护的范围。
[0088] 本发明的基本原理是:首先对网络设备产生的大量离线日志进行数据挖掘与机器 学习，找到网络设备发生故障时日志的表现形式，然后根据运种表现形式对在线日志进行 实时分析，若在线日志中存在满足该表现形式的日志，则确定该日志为网络设备发生故障 时产生的日志，将该日志对应的时间确定为网络故障发生的时间。其中，为了提高故障定位 的效率，本发明实施例，在对在线日志分析之前，先对网络日志进行了规范化、预处理等处 理过程，使处理后的日志成为原始日志的压缩版，并保存大部分与故障发生相关的信息，如 此，显著减少了日志分析的代价，进而提升后续故障时间定位的效率。
[0089] 例如，图1为本发明实施例提供的网络故障时间定位的原理框图，如图