的第一种可能的实施方式,或 者结合第三方面的第二种可能的实施方式,或者结合第三方面的第三种可能的实施方式, 或者结合第三方面的第四种可能的实施方式,或者结合第三方面的第五种可能的实施方 式,或者结合第三方面的第六种可能的实施方式,或者结合第三方面的第七种可能的实施 方式,或者结合第三方面的第八种可能的实施方式,或者结合第三方面的第九种可能的实 施方式,在第十种可能的实施方式中,所述信号接收器,具体用于解析接收到的搜索条件, 并确定所述搜索条件中包含的至少一个字段信息,其中,所述字段信息包含了字段名以及 所述字段名对应的内容格式。
[0092] 本发明实施例接收输入的搜索条件,并从所述搜索条件中获取字段信息;在根据 获取到的所述字段信息和配置的字段索引信息确定所述搜索条件符合设定规则时,从所述 搜索条件中获取与所述字段信息匹配的字段模板;利用所述字段模板生成新的搜索条件, 并搜索出符合所述新的搜索条件的事件,这样通过对输入的搜索条件的分析,避免了当接 收到的搜索条件不正确时发生无意义的搜索以及基于搜索的计算问题,同时利用从搜索条 件中获取的字段信息,确定该字段信息对应的至少一个字段模板,利用该字段模板生成新 的搜索条件,有效地缩小了原搜索条件对应的搜索范围,提高了搜索效率,节省了计算资 源。
【附图说明】
[0093] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本 领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其 他的附图。
[0094] 图1为本发明实施例一提供的一种事件的搜索方法的流程示意图;
[0095] 图2为本发明实施例二提供的一种事件的搜索设备的结构示意图;
[0096] 图3为本发明实施例三提供的一种事件的搜索设备的结构示意图。
【具体实施方式】
[0097] 为了实现本发明的目的,本发明实施例提供了一种事件的搜索方法和设备,通过 接收输入的搜索条件,并从所述搜索条件中获取字段信息;在根据获取到的所述字段信息 和配置的字段索引信息确定所述搜索条件符合设定规则时,从所述搜索条件中获取与所述 字段信息匹配的字段模板;利用所述字段模板生成新的搜索条件,并搜索出符合所述新的 搜索条件的事件,这样通过对输入的搜索条件的分析,避免了当接收到的搜索条件不正确 时发生无意义的搜索以及基于搜索的计算问题,同时利用从搜索条件中获取的字段信息, 确定该字段信息对应的至少一个字段模板,利用该字段模板生成新的搜索条件,有效地缩 小了原搜索条件对应的搜索范围,提高了搜索效率,节省了计算资源。
[0098] 需要说明的是,本发明实施例在实施之前,根据各个机器设备产生的日志信息 (即事件)建立索引库,该索引库包含了字段名、字段名对应的内容格式、字段名对应的事 件模板类型以及事件模板类型对应的字段模板等,这样,当机器设备产生日志信息后,确定 产生的日志信息对应的索引信息。
[0099] 下面以一个事件为例进行说明。例如:事件为"13912345678 18612345678 [11/11/2013:16:05:49] io = high&cpu = low",通过分析确定" 13912345678" 对应字段名对应的内容格式,那么该内容格式与srcphone字段名的内容格式一致; " 18612345678"对应字段名对应的内容格式,那么该内容格式与destphone字段名的内 容格式一致;" [11/11/2013:16:05:49] "对应字段名对应的内容格式,那么该内容格式与 time字段名的内容格式一致;"io = high&cpu = low"对应字段名对应的内容格式,那么该 内容格式与performance字段名的内容格式一致。
[0100] 由此可见,事件为"13912345678 18612345678[11/11/2013:16:05:49] io = high&cpu = low" 对应的事件模板类型为 "t_phone % {PHONE: srcphone} % {PHONE:destphone}\[% {TIMESTAMP:time}\]% {WORD:performance}"。
[0101] 其中,t_phone表不事件模板类型名;srcphone、destphone、time以及 performance表示字段信息的字段名;PHONE、TIMESTAMP、WORD表示字段模板。
[0102] 也就是说,针对每一个事件,在机器设备产生之时,将根据为其产生索引信息,并 存储。
[0103] 在建立字段索引信息时,由于不同的字段模板之间可以是相互独立的,也可以是 相互之间具备包含关系,那么对于具备包含关系的不同字段模板又被称为嵌套字段模板。
[0104] 如表1所示,为字段模板中嵌套字段模板的第一字段模板与第二字段模板之间的 对照表:
[0106]表 1
[0107]由表1中可以看出,第一字段模板与第二字段模板之间具备了包含关系,例如:第 一字段模板"PHONE"与第二字段模板" % {UNI_PH0NE} |% {Μ0Β_ΡΗ0ΝΕ}"之间具备了包含 关系。
[0108] 需要说明的是,UNI_PH0NE与Μ0Β_ΡΗ0ΝΕ又可以分别属于第一字段模板。
[0109] 以上述事件为例,若不考虑嵌套关系,抽取得到的字段信息为:
[0110] 字段名:srcphone ;字段名对应的内容格式:13912345678 ;
[0111] 字段名:destphone ;字段名对应的内容格式:18612345678 ;
[0112] 字段名:time ;字段名对应的内容格式:11/11/2013:16:05:49 ;
[0113] 字段名performance ;字段名对应的内容格式:io = high&cpu = low。
[0114] 若考虑了嵌套关系,"字段名:srcphone"以及"字段名:deStph 〇ne"都属于 "PHONE'
[0115] 以上述事件为例,若考虑嵌套关系,抽取得到的字段信息为:
[0116] 由于"字段名urcphone"对应的事件模板类型为t_phone,可以确定"字段名: srcphone"对应的字段模板为"ΡΗ0ΝΕ",而"PHONE"属于一个嵌套字段模板,"PHONE"对应 "Μ0Β_ΡΗ0ΝΕ" 和"UNIPH0NE",而" 13912345678" 与"Μ0Β_ΡΗ0ΝΕ" 内容格式匹配,那么抽取到 的字段信息为:嵌套字段模板对应的字段名:srCph〇ne_M0B_PH0NE ;以及该字段名对应的 内容:13912345678 ;
[0117] 由于"字段名:deStph〇ne"对应的事件模板类型为t_phone,可以确定"字段名: destphone"对应的字段模板为"ΡΗ0ΝΕ",而"PHONE"属于一个嵌套字段模板,"PHONE"对应 "Μ0Β_ΡΗ0ΝΕ" 和 "UNIPH0NE",而 " 18612345678" 与 "UNIPH0NE" 内容格式匹配,那么抽取到 的字段信息为:嵌套字段模板对应的字段名:deStph〇ne_UNIPH0NE ;以及该字段名对应的 内容:18612345678 ;
[0118] 由于"字段名:TIMESTAMP"对应的事件模板类型为t_phone,可以确定"字段名: HMESTAMP"对应的字段模板为"time",而"time"属于一个嵌套字段模板,"time"对应 "M0NTHDAY"、"MONTH"、" YEAR" 和 " ??ΜΕ,,,而 " 11/11 /2013:16:05:49 " 与 " HMESTAMP,,内容 格式匹配,那么抽取到的字段信息为:嵌套字段模板对应的字段名:time_M0NTH;以及该字 段名对应的内容:11 ;嵌套字段模板对应的字段名:time_M0NTHDAY ;以及该字段名对应的 内容:11 ;嵌套字段模板对应的字段名:time_YEAR ;以及该字段名对应的内容:2013 ;嵌套 字段模板对应的字段名:timeJIME ;以及该字段名对应的内容:16:05:49。
[0119] 由此可见,上述嵌套字段模板对应的字段名分别由字段名和嵌套字段模板组合而 成。
[0120] 或者,嵌套字段模板对应的字段名还可以由嵌套字段模板组成。
[0121] 例如:以上述事件为例,若考虑嵌套关系,抽取得到的字段信息为:
[0122] 嵌套字段模板对应的字段名:Μ0Β_ΡΗ0ΝΕ ;以及该字段名对应的内容: 13912345678 ;
[0123] 嵌套字段模板对应的字段名:UNIPH0NE ;以及该字段名对应的内容: 18612345678 ;
[0124] 嵌套字段模板对应的字段名:Μ0ΝΤΗ ;以及该字段名对应的内容:11 ;
[0125] 嵌套字段模板对应的字段名:M0NTHDAY ;以及该字段名对应的内容:11 ;
[0126] 嵌套字段模板对应的字段名:YEAR ;以及该字段名对应的内容:2013 ;
[0127] 嵌套字段模板对应的字段名:??ΜΕ ;以及该字段名对应的内容:16:05:49。
[0128] 由此可见,嵌套字段模板可以是指多个字段模板,这多个字段模板之间具备包含 关系;嵌套字段模板还可以是一个字段模板,该字段模板包含在另外一个字段模板之内,称 之为其他字段模板的嵌套字段模板。
[0129] 下面结合说明书附图对本发明各个实施例作进一步地详细描述。显然,所描述的 实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域 普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护 的范围。
[0130] 实施例一:
[0131] 如图1所示,为本发明实施例一提供的一种事件的搜索方法的流程示意图。所述 方法可以如下所示。
[0132] 步骤101 :接收输入的搜索条件,并从所述搜索条件中获取字段信息。
[0133] 其中,字段信息包含了字段名和字段名对应的内容格式。
[0134] 在步骤101中,通过系统界面接收到用户输入的搜索条件,例如:接收到的搜索条 件为:srcphone = 13912345678。
[0135] 对于接收到的搜索条件,解析接收到的搜索条件,并确定所述搜索条件中包含的 至少一个字段信息。
[0136] 其中,所述字段信息包含了字段名以及所述字段名对应的内容格式。
[0137] 具体地,所述字段信息至少分为单一的字段信息、嵌套字段信息和内容字段信息 中的一类或者多类,其中:
[0138] 所述单一的字段信息具体包含了单一的字段名以及所述单一的字段名对应的内 容;
[0139] 所述嵌套字段信息具体包含了嵌套字段名以及所述嵌套字段名对应的内容;
[0140] 所述内容字段信息具体包含了内容字段名以及所述内容字段名对应的内容。
[0141] 需要说明的是,嵌套字段名可以包含了至少一个单一的字段名,这里不做限定。
[0142] 具体地,单一的字段名可以是由系统预先定义的全局字段名,也可以是根据产生 的事件确定的,这里不做限定