网络日志时间对齐方法、装置及主机与流程

本发明涉及互联网领域，尤其涉及一种网络日志时间对齐方法、装置及主机。
背景技术：
：当前，在网络故障的定界(确定故障的范围以及故障由哪台设备引起)定位(确定故障的根因)过程中，特别是在单台设备的故障会引发邻居设备也出现故障的场景中，通常需要分析多台设备的日志，并根据日志中事件发生的时间信息来回放故障，从而最终追踪定位故障的根因。如图1所示，邻居设备与根因设备都记录有中间系统到中间系统(intermediatesystemtointermediatesystem，isis)协议邻居震荡的日志，但是究竟谁是故障的根因设备，难以确定。现有技术中通过部署日志服务器采集日志数据，将接收到的日志数据中的时间数据信息转换为服务器的时间，再根据日志服务器与标准服务器之间的时间差，得到日志的标准时间。现有技术方案必须要部署日志服务器，然而，很多网络在部署时没有网管和日志服务器，这些场景下网络中各设备的日志分散记录在各台设备的本地保存，需要分析时由人工采集并进行离线分析。同时，由于这些设备之间没有时钟同步的需求，网络中没有部署统一的时钟源，导致设备之间的时间通常不对齐，即各个设备在相同时间点记录的日志时间具有不同的时间戳。并且，即使网络中部署了日志服务器，在设备数量庞大的网络中，单台日志服务器没有能力实时处理大量的日志数据，如果部署多台日志服务器同样具有各个日志服务器间时间不同步的问题。技术实现要素：本发明实施例提供了一种网络日志时间对齐方法、装置及主机，能够让不同网络设备的网络日志时间自动对齐，方便进行故障回放，提高故障定位 定界的效率与准确性。第一方面，本发明提供了一种网络日志时间对齐的方法，包括：获取待分析的多个网络设备的日志数据；对多个网络设备的日志数据进行解析获得每个网络设备的特征点；根据所述每个网络设备的特征点确定所述多个网络设备的关联特征点；根据关联特征点对齐所述多个网络设备的日志数据中的日志时间。通过本发明中的方案，在网络设备出现故障时，根因设备故障会引发网络邻居中其它设备也出现故障，根因设备故障与这些邻居设备实质上一定存在某种联系。因此，本发明通过找到各网络设备在空间上存在关联关系的关联特征点，根据关联特征点对各网络设备的多个日志数据中的日志时间进行对齐。因此，本发明能够在不部署日志服务器的情况下让日志时间自动对齐，方便进行故障回放，提高故障定位定界的效率与准确性。结合第一方面，在第一方面的第一种可能的实现方式中，对多个网络设备的日志数据进行解析获得每个网络设备的特征点包括：对于每个网络设备，识别出所述网络设备的日志数据中的突变点，确定所述突变点对应的日志项为所述网络设备的特征点。由于根因设备故障引发网络邻居中其它设备也会出现故障，并且故障出现的时间实际上也是相同的。因此，可以分别对各台设备进行异常检测，找出日志数据中的突变点作为备选的特征点。从而提高了方案的可实现性。结合第一方面，在第一方面的第二种可能的实现方式中，对多个网络设备的日志数据进行解析获得每个网络设备的特征点包括：分析出所述多个网络设备的日志数据中的相同事件，对于每个网络设备，确定该相同事件在所述网络设备的日志数据中对应的日志项为所述网络设备的特征点。因为在根因设备发生故障时，邻居设备通常也会记录一条相同类型的日志，因此，通过本方法，可以从日志数据的事件类型中找出各设备间相同的事件，将该事件对应的日志项作为该设备的特征点。从而提高了方案的可实现性。结合第一方面，在第一方面的第三种可能的实现方式中，该方法还包括：获取系统配对的事件；所述对所述多个网络设备的日志数据进行解析获得每 个日志数据所对应的网络设备的特征点包括：识别所述多个网络设备的日志数据中的所述配对的事件，对于每个网络设备，确定所述配对的事件对应的日志项为所述网络设备的特征点。结合第一方面或第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，该方法还包括：获取系统配对的状态；上述对所述多个网络设备的日志数据进行解析获得每个网络设备的特征点包括：识别所述多个网络设备的日志数据中的所述配对的状态，对于每个网络设备，确定所述配对的状态对应的日志项为所述网络设备的特征点。需要说明的是，上述获取的系统配对的事件、状态为常见的全网故障的事件对和状态对，可以在日志数据中找出这些有绝对相关性的事件对、状态对作为网络设备的特征点。从而提高了方案的可实现性。结合第一方面的任意一种可能的实现方式，在第一方面的第五种可能的实现方式中，每个网络设备具有多个特征点，根据所述每个网络设备的特征点确定所述多个网络设备的关联特征点包括：确定所述多个网络设备的多个特征点中相关性最大的特征点，所述相关性最大的特征点为所述网络设备的关联特征点。结合第一方面的任意一种可能的实现方式，在第一方面的第六种可能的实现方式中，根据关联特征点对齐多个网络设备的日志数据中的日志时间包括：获取用于日志对齐的参考时间，参考时间为参考网络设备的日志数据中的关联特征点的日志时间，参考网络设备为从多个网络设备中确定的网络设备；对于每个网络设备，确定网络设备的校准时间偏差，校准时间偏差为网络设备的关联特征点的日志时间与参考时间的差值，将网络设备的日志数据的日志时间减去校准时间偏差以使网络设备的日志时间和参考网络设备的日志时间对齐。结合第一方面的任意一种可能的实现方式，在第一方面的第七种可能的实现方式中，根据关联特征点对多个网络设备的日志数据中的日志时间进行对齐包括：设置关联特征点的参考时间，参考时间为故障报告时间；对于每个网络设备，确定所述网络设备的校准时间偏差，所述校准时间偏差为所述所述网络设备的关联特征点的日志时间与所述参考时间的差值，将所述网络 设备的日志数据的日志时间减去所述校准时间偏差以使所述网络设备的日志时间对齐其他网络设备的日志时间。第二方面，本发明提供了一种网络日志处理装置，该装置包括：日志获取模块，用于获取待分析的多个网络设备的日志数据；特征解析模块，用于对多个网络设备的日志数据进行解析获得每个网络设备的特征点；关联特征确定模块，用于根据所述每个网络设备的特征点确定所述多个网络设备的关联特征点；日志时间对齐模块，用于根据关联特征点对齐多个网络设备的日志数据中的日志时间。结合第二方面，在第二方面的第一种可能的实现方式中，特征解析模块，具体用于针对每个网络设备，识别出该网络设备的日志数据中的突变点，确定该突变点对应的日志项为该网络设备的特征点。结合第二方面，在第二方面的第二种可能的实现方式中，特征解析模块，具体用于分析多个网络设备的日志数据对应的相同事件，针对每个网络设备，确定该相同事件在该网络设备的日志数据中对应的日志项为该网络设备的特征点。结合第二方面，在第二方面的第三种可能的实现方式中，该装置还包括：事件配对获取模块，用于获取系统配对的事件；特征解析模块，具体用于识别多个网络设备的日志数据中的配对的事件，针对每个网络设备，确定所述配对的事件在该网络设备的日志数据中对应的日志项为该网络设备的特征点。结合第二方面或第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，该装置还包括：状态配对获取模块，用于获取系统配对的状态；特征解析模块，具体用于识别多个网络设备的日志数据中的配对的状态，针对每个网络设备，确定配对的状态在该网络设备的日志数据中对应的日志项为该网络设备的特征点。结合第二方面的任意一种可能的实现方式，在第二方面的第五种可能的实现方式中，所述每个网络设备具有多个特征点，关联特征确定模块，具体用于确定所述多个网络设备的多个特征点中相关性最大的特征点，该相关性最大的特征点为所述多个网络设备的关联特征点。结合第二方面的任意一种可能的实现方式，在第二方面的第六种可能的实现方式中，日志时间对齐模块，具体用于获取用于日志对齐的参考时间，参考时间为参考网络设备的关联特征点的日志时间，参考网络设备为从多个网络设备中确定的网络设备，对于每个网络设备，确定该网络设备的校准时间偏差，校准时间偏差为网络设备的关联特征点的日志时间与参考时间的差值，将该网络设备的日志数据的日志时间减去校准时间偏差以使网络设备的日志时间与参考网络设备的日志时间对齐。结合第二方面的任意一种可能的实现方式，在第二方面的第七种可能的实现方式中，日志时间对齐模块，具体用于设置关联特征点的参考时间，参考时间为故障报告时间；对于每个网络设备，确定该网络设备的校准时间偏差，校准时间偏差为该网络设备的关联特征点的日志时间与所述参考时间的差值，将该网络设备的日志数据的日志时间减去校准时间偏差以使该网络设备的日志时间对齐其他网络设备的日志时间。第三方面，本发明提供了一种主机，该主机包括：存储器，处理器；存储器，用于存储应用程序，处理器用于执行应用程序，以用于：从存储器中获取待分析的多个网络设备的日志数据，对多个网络设备的日志数据进行解析获得每个网络设备的特征点，根据所述每个网络设备的特征点确定所述多个网络设备的关联特征点，再根据关联特征点对所述多个网络设备的日志数据中的日志时间进行对齐。第四方面，本发明还提供一种计算机存储介质，该介质存储有程序，该程序执行包括上述第一方面所描述的方法中的部分或者全部步骤。从以上技术方案可以看出，本发明实施例的方案具有如下有益效果：本发明实施例中，无需部署日志服务器，而是通过以下原理来进行日志对齐：网络设备出现故障时，根因设备故障会引发网络邻居中其它设备也出现故障，根因设备故障与这些邻居设备实质上一定存在某种联系。因此，本发明在需要进行日志分析时，先通过获取多个网络设备中保存的日志数据，对多个日志数据进行解析获得每个日志数据所对应的网络设备的特征点，再从所述特征点中确定关联特征点，该关联特征点即为各网络设备在空间上存在关联的特征点，之后，根据所述关联特征点对所述多个日志数据中的日志 时间进行对齐。因此，本发明能够让日志时间自动对齐，方便进行故障回放，提高故障定位定界的效率与准确性。附图说明图1为本发明实施例中网络故障时各网络设备的日志不对齐的场景示意图；图2为本发明实施例中网络日志时间对齐方法的一种流程图；图3为本发明实施例中基于异常检测方法对日志数据检测结果的一种示意图；图4为本发明实施例中基于事件关联检测对日志数据进行检测的一种示意图；图5为本发明实施例中网络日志处理装置的一种功能模块结构示意图；图6为本发明实施例中的主机的硬件结构示意图。具体实施方式为了使本
技术领域：
的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。本发明所要解决的问题是根因设备故障引发网络中其它邻居设备也出现了故障，在故障的定界与定位过程中，必须把根因设备和邻居设备的日志关联在一起分析，根据日志中事件发生的时间信息来回放故障，从而进行定界定位。在这类问题中，根因设备与这些邻居设备实质上一定存在某种联系，而由于网络中没有时钟同步服务器及日志服务器，这些设备间存在时间不对齐，从而导致相同时间发生的事件对应的日志时间戳不相同。现网中，在没有部署日志服务器的情况下，将在设备中离线保存的日志数据，在需要分析时才取出进行离线分析。本发明实施例的目的是让设备间的日志时间对齐后便于后续分析定位问题的根因，所以并不关心对齐后的时间是否是日志记录时的标准时间，只要将各设备间的日志时间进行对齐即可。基于此，本发明提供了一种网络日志时间对齐的方法，将故障网络中的 网络设备的日志数据等信息收集起来，通过数据解析的相关算法，解析各网络设备之间有关联的特征点，之后，再将这些网络设备的特征点数据汇总，计算出设备之间关联性最强的特征点，以找出各网络设备在空间上的对齐点，再设置该特征点对应的参考时间，通过计算每台网络设备关联特征点的日志时间与参考时间的时间差，对每台网络设备的所有日志进行日志时间的重新校准。本发明实施例中的网络设备可以为计算机(包括个人电脑或服务器)、集线器、交换机、网桥、路由器、无线接入点、打印机和调制解调器、收发器等网络设备。在以下实施例中简称设备。本发明实施例中的方法由网络日志处理装置执行，该装置可以是装载有网络日志对齐应用程序的设备，例如可以是服务器，也可以是个人电脑。结合图2，下面对本发明实施例中的网络日志时间对齐方法进行详细介绍。201、获取待分析的多个网络设备的日志数据。网络日志处理装置获取故障网络中多个设备的日志数据，获取的具体方式可以是：用户收集故障网络中各设备的离线日志，将收集到的离线日志输入到网络日志处理装置进行分析。离线日志可以以日志数据包的形式进行输入，具体日志输入的方式不限，可以是网络日志处理装置提供日志输入界面，用户通过日志输入界面将离线日志输入；也可以通过日志对齐应用程序提供的输入接口，从其他调用该输入接口的应用程序中进行输入。获取待分析的日志数据还可以是网络日志处理装置从存储器中直接获取各设备的日志数据，该存储器存储有故障网络中各设备的原始日志数据。本发明实施例中获取的日志数据可以包含但不限于以下信息：日志记录时间、设备标识(英文：identifier，id)、日志记录内容。另外，获取的离线日志中除了日志信息以外，还可以包含其它用于辅助分析的数据，比如可以包含该网络中的拓扑信息，以使得网络日志处理装置可以结合拓扑信息更准确的进行特征点分析。202、对所述多个网络设备的日志数据进行解析获得每个网络设备的特征点。在获取到故障网络中各设备的日志数据后，网络日志处理装置对待分析的日志数据进行解析，解析出日志中备选的特征点，这些特征点包含：网络中多台设备发生异常的异常特征，日志中各种事件、事件状态等等。解析特征点的方法包含但不限于以下三种：1)基于异常检测关联由于根因设备故障引发网络邻居中其它设备也会出现故障，因此网络异常时，相关的设备都出现了故障，所以异常特征一定是存在的，并且由于同受根因设备的故障影响，出现的时间在实际上也是相同的。因此，可以分别对各台设备进行异常检测，分析出各设备内日志的突变点。每个设备的日志的突变点对应的日志项即为该日志对应的网络设备的特征点。其中，日志项为某条日志中记录的的事件类型，例如：登录、停机(down)等行为或状态。异常检测的方法有：基于密度的异常检测方法、基于类型的异常检测方法、基于状态的异常分析方法等等，相关的算法有：聚类算法，奇异值分解(singularvaluedecomposition，svd)，隐马尔科夫模型(hiddenmarkovmodel，hmm)，朴素贝叶斯模型(naivebayesianmodel，nbm)，相似熵等等。图3为多台网络设备的日志数据异常曲线的一种示意图，每一根曲线代表一台设备的日志数据，在图示中的曲线从水平到凸起的点为异常突变点，各设备间的突变点出现的时间也基本是相同的。该突变点对应的日志项为该条日志曲线对应的网络设备的特征点。2)基于事件关联日志可以分为多种事件类型，例如：登录、清除(purge)等事件，这些事件的集合称之为日志模板。基于事件关联分析是指解析日志模板，即：分析出每一台网络设备所发生的日志事件类型，之后，再找出各设备间相同事件，该相同事件在各台设备的日志中对应的日志项为该设备的特征点。其中，解析日志模板的算法有：聚类算法、朴素贝叶斯模型(nbm)、决策树分类等等。比如在is-is邻居震荡时，每台路由器清除(purge)时记录一条相同类型的日志，根据日志中记录的邻居设备信息构成一个事件关系网络，如图4所 示，图中的中心点a设备为根因设备，b设备、c设备、d设备、f设备、g设备、h设备为邻居设备，当a设备发生故障时，会引起b、c、d、e、f、g、h设备也发生故障，每台设备都会记录一条相同类型的日志，各设备间的is-is邻居震荡次数如图中的各设备之间连线上的数字所示。3)基于事件对，或事件的状态对关联在网络故障发生时，设备间会发生事件或状态的关联变化，包括：发生a事件必然会引起其它设备发生b事件，或者某日志发生a状态必然引起其它设备的日志中发生b状态，这种配对的事件或状态具有100％的时间关联性。比如，协议请求，必然会有协议应答；a端口状态变成挂起状态(down)，引起邻居端口的状态发生变化。因此，本发明引入专家知识库定义配对的事件(简称：事件对)，或配对的状态(简称：状态对)。由专家维护常见的全网故障的事件对和状态对。具体可以是通过网络日志处理装置提供的专家知识库配置引入事件对、状态对；或通过网络日志处理装置提供的专家知识库输入接口输入事件对、状态对，具体的数据格式如下：1)事件对的格式：索引事件a事件b事件c…其中，索引：用于查找事件对；事件a、b、c：每一列定义一种类型的事件，这样的事件被记录在日志中，并且根据这个定义可以在日志中搜索到这个事件。2)状态对格式：索引事件状态a状态b…其中，索引：用于查找事件的状态对；事件：定义一种类型的事件，这样的事件被记录在日志中，并且根据这个定义可以在日志中搜索到这个事件；状态a、状态b：事件中对应的事件状态。在获取到专家维护的事件对或状态对后，根据专家维护的事件对或状态 对，从日志数据中将这些事件或状态所对应的日志项识别出来作为该日志对应的设备的特征点。需要说明的是，可以只基于事件对进行关联分析，也可以只基于状态对进行关联分析，还结合事件对和状态对进行关联分析，在结合事件对和状态对进行关联分析的情况下，状态对对应的事件可以是基于事件对中的事件。可选的，也可以同时结合故障网络的拓扑信息，根据设备间的连接关系，更准确地从日志数据中将专家知识库中定义的事件对、状态对中的事件、状态识别出来。203、根据所述每个网络设备的特征点确定所述多个网络设备的关联特征点。从每个网络设备的日志数据中解析出该设备的特征点后，对所有网络设备的特征点进行关联分析，找出所述多个网络设备间具有关联关系的特征点，分析的方法包含但不限于相似度算法。具体可以是从解析的特征点中找出各设备间关联性最强的特征点作为关联特征点，将这些关联特征点在空间上关联起来。可选的，确定所述多个网络设备间的关联特征点之后，将分析结果反馈给网络日志处理装置，网络日志处理装置将分析结果通过用户界面呈现，用户界面呈现的信息包含但不限于：可视化图形界面、关联特征点对应的各设备的原始日志时间点、各台设备的原始日志等信息。可选的，用户可以在分析结果呈现界面上进行关联特征点的确认，并触发程序开始进行日志时间对齐。204、根据关联特征点对齐所述多个网络设备的日志数据中的日志时间。由于关联特征点在各设备间存在关联关系，理论上来说关联特征点的日志记录时间应该是相同的。因此可以在确定所述多个网络设备间的关联特征点之后，根据关联特征点确定日志时间对齐的参考时间。确定日志对齐的参考时间的方式包含但不限于以下两种：1、将某一台设备的关联特征点的原始日志记录时间作为参考时间；选择任何一台网络设备(参考网络设备)的关联特征点的原始日志时间作为参考时间，分别计算每台设备(比较网络设备)的关联特征点的日志时 间与该参考时间的时间差得到该比较网络设备的日志校准时间偏差，再分别将每台比较网络设备的日志数据的日志时间减去该比较网络设备的校准时间偏差，以对齐所述比较网络设备的日志时间与所述参考网络设备的日志时间。例如：对a、b、c三台设备的日志数据时间进行对齐，经过步骤201获取三台设备的日志数据后，通过步骤202对a、b、c三台设备的日志数据进行分析获得三台设备的(备选)特征点，再通过步骤203从步骤202得到的特征点中解析找到关联性最强的特征点作为关联特征点。若a、b、c三台设备的关联特征点的日志记录时间分别为：12:17:51，11:35:54，11:35:53，选取其中任意一台设备的关联特征点的日志记录时间作为参考时间，若选b的关联特征点的日志记录时间：11:35:54作为参考时间，则a设备的校准时间偏差为：12:17:51减去11:35:54等于42:57，b设备的校准时间偏差为11:35:54减去11:35:54等于0，c设备的校准时间偏差为：11:35:53减去11:35:54等于负的00:01，因此，a设备的待对齐的离线日志数据中的所有日志时间都减去42分57秒以对齐b设备的日志时间，b设备无需对齐，c设备的待对齐的离线日志数据中的所有日志时间都增加1秒以对齐b设备的日志时间。2、设置关联特征点的参考时间；因为关联特征点的日志记录时间理论上应该是相同的，因此对关联特征点设置一个对齐参考时间，优选的，设置的对齐参考时间为故障报告时间，该故障报告时间可以是人为掌握的，也可以是系统记录的。之后，再分别将每台设备的日志记录中关联特征点的日志时间减去上述设置的关联特征点的对齐参考时间，得到该设备的日志校准时间偏差，再分别将每台设备的日志数据的日志时间减去该设备的校准时间偏差，以对齐所述设备的日志时间和其他设备的日志时间。采用上述第1种方法中的示例，若a、b、c三台设备的关联特征点的日志记录时间分别为：12:17:51，11:35:54，11:35:53，设置关联特征点的日志对齐时间为：11:35:00，则a设备的校准时间偏差为：12:17:51减去11:35:00等于42:51，b设备的校准时间偏差为11:35:54减去11:35:00等于00：54，c 设备的校准时间偏差为：11:35:53减去11:35:00等于00:53，因此，a设备的待对齐的离线日志数据中的所有日志时间都增加42分51秒，b设备的待对齐的离线日志数据中的所有日志时间都增加54秒，c设备的待对齐的离线日志数据中的所有日志时间都增加53秒。通过上述方式，能够对齐所有设备的日志时间。需要说明的是，第2种方法中，设置关联特征点的参考时间的方式不限，可以是由网络日志处理装置提供用户设置界面，用户通过设置界面进行设置。可选的，对于经过日志时间对齐后的设备的日志，用户可以选择进行可视化分析或者输出时间对齐后的日志进行故障分析。可选的，在网络日志处理装置对所述网络设备的日志时间对齐后，可以将对齐后的日志重新输出以进行故障分析。本发明实施例中，无需部署日志服务器，而是通过以下原理来进行日志对齐：网络设备出现故障时，根因设备故障会引发网络中其它邻居设备也出现故障，根因设备故障与这些邻居设备实质上一定存在某种联系。因此，本发明在进行日志对齐时，先通过获取多个网络设备中保存的日志数据，对多个日志数据进行解析获得每个日志数据所对应的网络设备的特征点，再从所述特征点中确定关联特征点，该关联特征点即为各网络设备在空间上存在关联的特征点，这些关联特征点发生的时间被认为是相同，之后，根据所述关联特征点对齐所述多个日志数据中的日志时间。因此，本发明能够在不借助日志服务器的情况下自动将待待分析的日志进行时间对齐，方便进行故障回放，提高故障定位定界的效率与准确性。以上是对本发明实施中的方法进行的介绍，下面从功能模块角度对本发明实施例中的网络日志处理装置进行介绍。日志获取模块501，用于获取待分析的多个日志数据；特征解析模块502，用于对多个日志数据进行解析获得每个日志数据所对应的网络设备的特征点；关联特征确定模块503，用于根据所述每个网络设备的特征点确定所述多个网络设备的关联特征点；日志时间对齐模块504，用于根据关联特征点对齐多个日志数据中的日志时间。在一些具体的实施中，网络日志处理装置还包括输入输出模块505，用于输入待分析的各设备的日志数据；日志获取模块501，具体用于通过所述输入输出模块505获得待分析的多个日志数据。在一些具体的实施中，网络日志处理装置还包括存储模块506，用于存储网络设备的离线日志数据，日志获取模块501，具体用于从存储模块506中获取待分析的多个日志数据。在一些具体的实施中，特征解析模块502，具体用于针对每个网络设备，识别出该网络设备的日志数据中的突变点，确定该突变点对应的日志项为每该网络设备的特征点。在一些具体的实施中，特征解析模块502，具体用于分析多个日志数据对应的相同事件，针对每个网络设备，确定该相同事件在该网络设备的日志数据中对应的日志项为该网络设备的特征点。在一些具体的实施中，网络日志处理装置还包括：事件配对获取模块507，用于获取系统配对的事件；特征解析模块502，具体用于识别多个日志数据中的配对的事件，针对每个网络设备，该识别出的配对的事件在该网络设备的日志数据中对应的日志项为该网络设备的特征点。在一些具体的实施中，装置还包括：状态配对获取模块508，用于获取系统配对的状态；特征解析模块502，具体用于识别多个日志数据中的配对的状态，针对每个网络设备，识别出的配对的状态在该网络设备的日志数据中对应的日志项为该网络设备的特征点。可选的，在一些具体的实施中，输入输出模块505，还用于输入日志事件对、状态对专家知识库，将所述事件对，状态对专家知识库存储于存储模块506，事件配对获取模块507和状态配对获取模块508分别从存储模块506中获 取事件对和状态对。在一些具体的实施中，关联特征确定模块503，具体用于确定特征点中相关性最大的特征点，相关性最大的特征点为关联特征点。在一些具体的实施中，日志时间对齐模块504，具体用于获取日志对齐的参考时间，该参考时间为网络设备中任意一个网络设备(参考网络设备)的关联特征点的日志时间；对于每个网络设备，确定该网络设备的校准时间偏差，校准时间偏差为网络设备的关联特征点的日志时间与参考时间的差值，将该网络设备的日志数据的日志时间减去校准时间偏差以对齐该网络设备的日志时间。在一些具体的实施中，日志时间对齐模块504，具体用于设置关联特征点的参考时间，参考时间为故障报告时间；对于每个网络设备，确定该网络设备的校准时间偏差，校准时间偏差为该网络设备的关联特征点的日志时间与所述参考时间的差值，将该网络设备的日志数据的日志时间减去校准时间偏差以对齐该网络设备的日志时间。可选的，输入输出模块505还用于输出对齐后的日志数据，以供网络故障分析。本发明实施例中，无需部署日志服务器，而是基于各设备间存在关联特征点，且关联特征点发生的时间是相同的原理来进行日志对齐，能够在不借助日志服务器的情况下能够自动将待待分析的日志进行时间对齐，方便进行故障回放，提高故障定位定界的效率与准确性.本发明实施例中的网络日志处理装置在实际应用中可以是一台装载有网络日志对齐应用程序的主机，例如可以是一台服务器，也可以是个人电脑，还可以是其他的主机。下面从硬件实体的角度对本发明实施例中的主机进行介绍。图6是本发明实施例提供的一种主机的结构示意图，该主机600可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(centralprocessingunits，cpu)622，一个或一个以上存储应用程序642或数据644 的存储器630(例如一个或一个以上海量存储设备)。其中，存储器630可以是短暂存储或持久存储。存储在存储器630的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括图5所示的实施例中的网络日志处理装置中的一系列指令操作。更进一步地，处理器622可以设置为与存储器630通信，在主机600上执行存储器630中的一系列指令操作。主机600还可以包括一个或一个以上电源626，一个或一个以上有线或无线网络接口650，和一个或一个以上操作系统641，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm等等。该主机600可选的包含用户接口658，包括显示器(例如，触摸屏、lcd等)，键盘或者点击设备(例如，鼠标，轨迹球(trackball),触感板或者触摸屏等)。具体的，存储介质630中存储图2所示的方法实施例中的全部或部分动作所对应的程序指令，处理器622执行该程序指令以对网络日志时间进行对齐，具体请参阅图2所示的方法实施例，此处不做赘述。存储器630存储了图2所示的实施例中所提到的原始的网络日志数据、对齐后的日志、网络拓扑信息、及配置信息等，还存储有专家知识库(事件对、状态对)，以供日志解析时使用。另外，程序指令642还提供了多种接口，例如：接口1，可以将采集到的各种信息(包括各网络设备的日志数据、网络中的拓扑信息)输入到本主机中；接口2，用于引入专家知识库定义配对的事件对、状态对；接口3，用于对日志中解析到的关联特征点设置对齐参考时间(参阅图2所示的实施例步骤204中的第2种方法)；接口4，用于输出日志时间经过对齐后的日志数据。需要说明的是，上述硬件设备只是一种举例说明，在实际应用中的主机可以以其他的硬件组成，此处不做限定。本发明的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤 或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。当前第1页12