专利名称:分析事件的制作方法
分析事件
背景技术:
从电信网络到办公室打印机的几乎所有复杂的系统都包括事件监视器,其生成提供能够用来维修系统的信息的事件流(例如,信息消息、警告和错误消息)。根据系统的类型和大小,典型的一天中可以生成几百个或者甚至几百万个事件。把此类大量的事件整理归类的过程是繁重的,并且妨碍操作员识别故障并修理系统的能力。为此原因,许多系统包括自动化事件过滤系统,其尝试滤出不能提供信息的事件以便减少呈现给用户的事件的数目。事件过滤规则通常由目标系统领域的专家主要基于他或她对正在被监视的系统的知识来编写和确认。此过程通常涉及大量的反复试验。需要的是用于在开发事件过滤规则时帮助领域专家及其它用户的系统和方法。
发明内容
在一方面,本发明的特征在于一种方法,依照该方法,基于描述事件的事件记录来识别一个或多个事件的序列。确定表示序列中的一些序列之间的距离的相应距离值。基于距离值来构造目标度量空间中的点的配置,其中,每个点表示序列中的相应一个序列。在显示器上呈现该配置的可视表示。本发明的特征还在于可操作用于实现上述发明方法的装置和存储促使计算机实现上述发明方法的计算机可读指令的计算机可读介质。通过以下说明(包括附图和权利要求),本发明的其它特征和优点将变得显而易见。
图1是事件分析系统的实施例的方框图。图2是事件分析方法的实施例的流程图。图3是其中已识别了两个事件序列的示例性事件流的示意图。图4是确定目标度量空间中的点的配置的多维标度方法的实施例的流程图。图5是用于图1的事件分析系统的图形用户界面的实施例的示意图。图6是用于图1的事件分析系统的图形用户界面的实施例的示意图,示出将一组序列合并的结果。图7是由图1的事件分析系统的实施例生成的报告的实施例的示意图,所述报告示出应用过滤规则的结果。图8是实现图1的事件分析系统的实施例的计算机的实施例的方框图。
具体实施例方式在以下说明中,使用相同的附图标记来识别相同的元件。此外,附图意图以图表的方式来说明示例性实施例的主要特征。附图并不意图描绘实际实施例的每个特征或所描绘元件的相对尺寸,并且不是按比例绘制的。
I.介绍
本文所述的实施例提供了使得领域专家及其它用户能够分析事件流并开发事件过滤规则的事件分析系统和方法。某些实施例在事件流内发现显著的事件序列并提供用于对所发现的序列进行可视化、分析和概括的工具。在这些实施例的某些中,在显示器上将事件序列可视化为二维配置的点,其中,通过被更接近地分组在一起的点来表示相似的序列并通过更远地间隔开的点来表示无关的序列。此类可视化允许用户容易地认出频繁地发生的情形并使得他们能够容易地针对给定情形将重要事件与不重要事件分离。这样,这些实施例给用户提供其能够用来定义滤出事件的规则的对于事件数据的认识。某些实施例提供用于将事件流精炼为事件过滤规则的工具和用于确认那些事件过滤规则的工具。II.分析事件 A.介绍
图1示出包括事件映射器12、距离计算器14和可视化引擎16的事件分析系统10的实施例。图2示出由事件分析系统10实现的事件分析方法的实施例。依照图2的方法,事件映射器12基于描述一个或多个事件的事件记录20来识别那些事件的序列(图2,方框18)。在此过程中,事件映射器12识别相关事件的序列。事件映射器12生成定义所识别的相关事件的序列的输出M。在所示的实施例中,输出M被传递至距离计算器14和可视化引擎16。在其它实施例中,输出M被以表格或其它数据结构的形式存储在能够被距离计算器14和可视化引擎16访问的数据库22中。距离计算器14确定表示序列M中的一些序列之间的距离的相应距离值(图2,方框沈)。通常,用来计算距离值的距离度量可以对应于多种不同距离度量中的一个或多个。 下面详细地描述在距离计算器14的实施例中用来计算距离值的示例性距离度量。距离计算器14向可视化引擎16传送包含所计算的距离值的输出观。可视化引擎16基于距离值观来构造目标度量空间中的点的配置(图2,方框30)。 该配置中的每个点表示事件序列中的相应的一个且每个序列中的组成事件对应于相应点的属性。目标度量空间通常是P维欧几里得空间,其中,P是大于一的整数值。在所示的实施例中,目标度量空间是二维欧几里得空间。可视化引擎16将成对的序列之间的接近性或相异性转换成目标度量空间中的全局结构,其中,该全局结构中的点之间的欧几里得距离反映成对的序列之间的相异性。这样,相似的序列被更接近地分组在一起且无关序列被更远地间隔开。可视化引擎16生成定义点配置的输出32。基于由可视化引擎16生成的输出32,在显示器34上呈现该配置的可视表示(图 2,方框36)。在所示的实施例中,目标度量空间对应于二维欧几里得空间(即,p=2),并且该配置在显示器34上被可视化为二维图像38。在本实施例中,图像38中的点的不同的大小和阴影表示同一事件序列的不同发生数目。在图像38中,点之间的相对间距反映点之间的相异性的水平。因此,对应于相似事件序列的点相互更接近地隔开,并且对应于不相似事件序列的点相互更远地间隔开。此类可视化允许用户容易地认出频繁地发生的情形并使得他们能够容易地针对给定情形将重要事件与不重要事件分离。这样,这些实施例给用户提供其能够用来定义滤出事件的规则的对于事件数据的认识,如下面详细描述的。B.将事件与点相关联如上文所述,事件映射器12基于描述一个或多个事件的事件记录20来识别那些事件的序列(图2,方框18)。在此过程中,事件记录20被输入到事件映射器12中。在所示的实施例中,事件映射器12从数据库22接收事件记录20,数据库22可以是本地或远程数据库。在其它实施例中,事件映射器12可以从另一源接收事件记录20(例如,直接从最初生成事件记录20的目标系统的事件生成组件接收事件记录20)。事件记录20通常对应于由目标系统(例如,电信网络或印刷机)的事件生成组件生成并写入日志文件的消息。在某些实施例中,每个事件记录20通常包括报头字段(例如, 时间戳、源/目的地地址、路由标识符、优先等级)和有效负荷数据,所述有效负荷数据通常包括描述触发事件记录的生成的事件的性质的数据(例如事件代码和其它参数值)。在某些实施例中,由提取、传输和加载(ETL)应用来处理事件记录20,所述应用处理事件日志文件 (例如通过执行诸如数据清洁的常规仓库功能),将已处理事件数据格式化成预定义记录格式,并将结果得到的事件记录20加载到数据库22中。事件映射器12处理事件记录20以识别相关事件(例如,涉及同一物理现象或问题的事件)的序列。在某些实施例中,事件记录20通常对应于按照与事件相关联的参数值(例如,诸如时间戳值的时间参数值或诸如序列号值的其它参数值)排序的事件的相应序列(或级联)。在这些实施例中,事件映射器12解析事件记录20以得到先后顺序信息(例如,时间戳数据或序列号数据)和描述对应事件的有效负荷数据。事件映射器12然后基于一个或多个领域特定序列定义来识别事件序列。示例性序列定义通常包括定义事件序列的开始的至少一个打开(opening)条件和定义事件序列的结束的至少一个关闭(closing)条件。通常在基于正在被监视的系统的领域特定知识提出的打开和关闭定义的广泛测试和确认之后确定打开和关闭条件。在一个示例性实施例中,已经针对可从美国加利福尼亚州帕洛阿尔托市的惠普公司获得的INDIGO 数字印刷机的实施例定义了以下打开和关闭条件。打开序列条件
在印刷机正在印刷的同时发生并将促使印刷机在紧接着的时间帧中停止印刷的事件(机器状态=PRINT_STATE (印刷状态)且事件紧急程度=ERRURG_IMMEDIATELY或 ERRURG_SEPERATI0N)o关闭序列条件
PRINT_JOB_INTERRUPT (印刷作业中断)事件之后η秒(通常η = 2)。·从PRINT_STATE到非印刷状态的机器状态变化。·自从序列被打开以来已经印刷了 k个印刷品(通常k = 7)。·自从序列被打开以来已逝去了 y秒(通常y = 15)。·新的作业开始印刷,即发生PRINT_JOB_START (印刷作业开始)事件。事件映射器12通过向经解析的事件记录数据应用打开和关闭条件来识别事件序列。图3示出其中已经识别了两个事件序列44、46的事件42的示例性流40。在某些实施例中,事件映射器12生成将事件记录20与已识别序列中的相应一些序列相关联的数据结构(例如,表格)。C.确定距离 1.介绍如上文所述,距离计算器14确定表示点M中的一些点之间的距离的相应距离值(图2, 方框26)。通常,用来计算距离值的距离度量可以对应于多种不同距离度量中的一个或多个。在某些实施例中,距离度量反映点的组成事件之间的固有差异。在这些实施例的某些中,距离度量对于反映正在被监视的系统中的不同问题的事件序列产生较大的距离值,并在反映相同问题的事件序列之间产生较低(例如,非常低,或者甚至为零)的值。定义距离度量的过程通常取决于正在被监视的系统的详细知识。可以使用各种不同的距离度量来计算距离观,包括但不限于以下距离度量及其变化
有序距离度量
余弦距离度量(例如,无序距离度量) 部分有序距离度量 Jaccard距离度量
可以单独地或相组合地使用这些距离度量。2.有序距离度量
有序距离度量(也称为“编辑距离”)基于通过替换事件、删除事件和插入事件来将一个序列转换成另一个的确定的成本来测量事件序列之间的距离,其中,可以根据与事件相关联的一个或多个参数(例如,事件类型)不同地对每个操作的成本进行加权。在某些实施例中,将一对事件序列Sl和s2之间的有序距离度量定义为将Sl变成 s2所需的点变化的最小数目,其中,点变化是(1)改变事件;(2)插入事件;或(3)删除事件中的一个。可以以多种不同的方式来计算有序距离度量。在某些实施例中,基于在网站 www. esse, monash. edu. au/ lloyd/tildeAlgDS/ Dynamic/Edit/中描述的动态编程方法来计算有序距离度量。依照该方法,以下递推关系定义串si和s2之间的有序距离d(sl,s2)
权利要求
1.一种事件分析方法,包括基于描述一个或多个事件的事件记录(20)来识别所述事件的序列(44、46);确定表示所述序列(44、46)中的一些序列之间的距离的相应距离值(28);基于距离值(28)来构造目标度量空间中的点的配置,其中,每个点表示所述序列(44、 46)中的相应一个;以及在显示器(34 )上呈现所述配置的可视表示(38 )。
2.权利要求1的方法,其中,所述识别包括基于一个或多个序列定义来识别事件序列 (44、46),其中,每个序列定义包括定义事件序列的开始的至少一个条件和定义事件序列的结束的至少一个条件。
3.权利要求1的方法,其中,所述确定包括基于距离度量来查明成对序列(44、46)之间的相应距离。
4.权利要求3的方法,其中,所述查明包括基于分配给事件中的相应事件的可变权重值来确定所述距离。
5.权利要求1的方法,还包括在显示器(34)上呈现使得用户能够对事件序列(44、46) 中的一些事件序列执行操作的图形用户界面(62、100)。
6.权利要求5的方法,还包括响应于通过图形用户界面(62、100)接收到的用户输入来将事件序列(44、46)中的一些事件序列合并。
7.权利要求6的方法,其中,所述合并包括识别在事件序列(44、46)间被共同地共享的事件,并且还包括以识别所识别的事件的相应排序的格式在图形用户界面(100)中呈现所识别的事件。
8.权利要求7的方法,还包括在图形用户界面(100)中显示满足所识别的事件的相应排序的事件列表。
9.权利要求5的方法,其中,所述识别包括解析事件记录(20)的流,基于该解析来识别一组事件序列(44、46),并基于通过图形用户界面(62)接收到的用户输入来选择已识别组中的一个或多个事件序列。
10.权利要求5的方法,还包括在图形用户界面(62)中呈现一个或多个用户可选距离度量,并且其中,所述确定包括基于所述距离度量中的用户选择的一个所选距离度量来查明成对序列(44、46)之间的相应距离。
11.权利要求5的方法,还包括接收事件过滤规则的用户指定,针对一组事件序列 (44,46)应用所指定的事件过滤规则,并在显示器(34)上呈现满足指定的事件过滤规则的事件序列(44、46)中的一些和未能满足指定的事件过滤规则的所述组中的事件序列(44、 46)中的一些。
12.—种事件分析系统,包括计算机可读存储器(124、128),其存储计算机可读指令;以及耦合到所述存储器(1对、1观)的数据处理单元(122),其在操作中用于执行所述指令并至少部分地基于所述指令的执行在操作中用于实施包括以下步骤的操作基于描述一个或多个事件的事件记录(20)来识别所述事件的序列(44、46);确定表示所述序列(44、46)中的一些序列之间的距离的相应距离值(28);基于距离值(28)来构造目标度量空间中的点的配置,其中,每个点表示所述序列(44、46)中的相应一个;以及在显示器(34)上呈现所述配置的可视表示(38)。
13.权利要求12的设备,其中,基于所述指令的执行,数据处理单元(122)在操作中用于实施包括以下步骤的操作在显示器(34)上呈现包括使得用户能够对事件序列(44、46) 中的一些事件序列实施包括以下至少之一的操作的界面的图形用户界面(62、100):选择在所述确定时使用的多个距离度量中的一个;将序列(44、46)中的一些合并;以及针对一组事件序列(44、46)应用所指定的事件过滤规则,并在显示器(34)上呈现满足指定的事件过滤规则的事件序列(44、46)中的一些和未能满足指定的事件过滤规则的所述组中的事件序列(44、46)中的一些。
14.一种存储计算机可读指令的计算机可读介质,所述计算机可读指令在被计算机执行时促使计算机实施包括以下步骤的操作基于描述一个或多个事件的事件记录(20)来识别所述事件的序列(44、46); 确定表示所述序列(44、46)中的一些序列之间的距离的相应距离值(28); 基于距离值(28)来构造目标度量空间中的点的配置,其中,每个点表示所述序列(44、 46)中的相应一个;以及在显示器(34 )上呈现所述配置的可视表示(38 )。
15.权利要求14的计算机可读介质,其中,在被计算执行时,所述计算机可读指令促使计算机实施包括以下步骤的操作在显示器(34)上呈现包括使得用户能够对事件序列中的一些事件序列实施包括以下至少之一的操作的界面的图形用户界面(62、100):选择在所述确定时使用的多个距离度量中的一个;将序列(44、46)中的一些合并;以及针对一组事件序列(44、46)应用所指定的事件过滤规则,并在显示器(34)上呈现满足指定的事件过滤规则的事件序列(44、46)中的一些和未能满足指定的事件过滤规则的所述组中的事件序列(44、46)中的一些。
全文摘要
其中基于描述一个或多个事件的事件记录(20)来识别所述事件的序列(44、46)的事件分析方法和设备。确定表示所述序列(44、46)中的一些之间的距离的相应距离值(28)。基于距离值(28)来构造目标度量空间中的点的配置,其中,每个点表示序列(44、46)中的相应一个。在显示器(34)上呈现所述配置的可视表示(38)。
文档编号G06F17/00GK102257487SQ200880132252
公开日2011年11月23日 申请日期2008年10月7日 优先权日2008年10月7日
发明者斯泰林 C., 拉姆·阿拉德, 查希·罗斯鲍姆, 迈克尔·阿哈伦, 鲁思·伯格曼 申请人:惠普开发有限公司