专利名称:一种基于正则表达式的监控系统告警关联分析方法
技术领域:
本发明涉及一种基于正则表达式的监控系统告警关联分析技术。
背景技术:
传统的监控系统主要关注告警数据的及时性和正确性,一般采用实推实送、实时展示的方式将源告警实时地向监控人员罗列监控对象发生的告警信息,保证告警信息的及时性;通过人工巡检、检验比对的方式核查告警信息的正确性,根除错报误报现象。当监控对象基数较大、监控告警种类较多的时候,监控人员只能通过手工地逐条排查,根据自身积累的经验在海量告警信息中发现问题发生的根源,如果监控系统可以将监控人员的经验系统化、功能化,自动地完成告警的关联分析,排除次要的连带告警,定位问题根源、预示问题的影响范围,则能很好地帮助监控人员实现问题的快速定位、快速解决。本发明基于正则表达式实现了监控系统的告警关联分析,通过规则定义与解析, 在不影响告警数据的及时性和正确性的同时,增强了监控系统告警根源定位、告警影响范围预警的关联分析能力。
发明内容
本发明的目的在于针对传统监管系统监控在处理海量告警信息时问题根源定位、 影响范围预警方面存在的弱点,提出一种在保证告警数据及时性和正确性的前提下,基于正则表达式实现的告警关联分析技术。关联规则模块根据告警的关键属性预定义组成标准告警的多个告警元项、多组告警元数据以及元数据对应的正则表达式,并组合告警元数据形成关联分析规则,供分析模块调用。分析模块在获取监控对象生成的告警的时候,根据元数据对应的正则表达式解析告警信息,细化出告警元数据。通过细粒度较高的元数据进行规则查询和筛选,并将关联分析结果通过JDBC持久化到数据库供监控系统展示。本发明的数据结构基于告警库对告警的模型定义和资源库对监控对象的模型定义,告警模型如告警级别、告警分类等;监控对象的模型如主机设备、交换机、路由器以及对监控对象的唯一性标识,比如交换机的IP,主机设备的主机名,数据库的实例名、所在服务器IP等。数据库中存有对监控对象、告警的模型定义。本发明中关联分析基于这样的模型定义,预生成多个告警元项,并从资源模型、告警模型中获取告警元数据。数据库中,告警元数据按照监控对象标识、告警分类、告警级别的对应关系进行结构化存储,供生成关联规则使用,可以通过SQL语句进行条件查询获取数据。本发明首先在关联规则模块进行告警元数据的查询,并将每个告警元数据生成一个全局唯一的正则表达式与其对应,供分析模块解析告警信息时使用,然后监控人员根据日常监控积累的经验组合元数据生成关联规则,规则内容为{元数据组合I、元数据组合 2……}源于/影响{元数据组合3、元数据组合4……}。元数据查询与对应正则表达式的生成是通过定时调度任务轮询完成初始化与更新,关联规则的生成由监控人员人工干预生成。分析模块在接收到监控对象产生的告警后,通过JDBC轮询访问数据库,获取告警元数据对应的正则表达式,通过正则表达式的匹配从告警信息中剥离出当前处理的告警元数据并组合;然后分析模块从关联规则模块中获取预定义的关联规则,元数据组合与预定义规则匹配过滤,得到该告警元数据组合的根源告警元数据组合与影响告警元数据组合, 结果集通过JDBC持久化到数据库中,供前台页面展示使用。本发明采用这种基于正则表达式的告警关联分析引擎技术,将积累在监控人员知识中的告警分析和运维经验在监控系统中集中实现,达到了信息化、自动化,方便了监控人员快速定位、解决故障。
图I实时流程图2资源模型;
图3告警模型;
图4告警元项I ;
图5告警元项2 ;
图6关联分析规则。
具体实施例方式以下结合附图,举一具体实例对本发明的告警关联分析技术做进一步说明。图I所示为该实例整个处理流程。a:本实例中,如图2所示,资源模型库中有100个资源以及与其对应的100个资源标识,分别用来唯一性标识100个资源。如图3所示,告警模型库中有10类告警以及7种
告警级别。遍历100个资源,读取出资源标识,封装成如图4所示的告警元项数据结构。遍历告警模型,读取出告警分类与告警级别,封装成如图5所示的告警元项数据结构。每个告警元数据都会自动生成与其对应的正则表达式。组合告警元数据,监控人员人工参与,定制出告警关联分析规则,封装成如图6所示的告警关联分析规则数据结构。b分析模块从关联规则模块获取告警元数据对应的正则表达式,收到告警信息后,进行正则表达式的匹配,得到告警信息中所有的告警元数据。分析模块从关联规则模块获取告警关联分析规则,将解析得到的告警元数据组合轮询匹配告警关联分析规则,得到该条告警的根源告警元数据组合以及影响范围告警元数据组合,供监控系统展示该条告警的根源分析以及影响范围预警结果。该实例中,如果采用传统的监控系统告警接收展示方式,监控人员无法快速从100 个资源、10种分类、7个级别的海量告警信息中获取有效的信息,通过基于正则表达式的告警关联分析技术,监控人员可以快速地定位、解决故障根源并掌握故障发生的影响范围。
权利要求
1.一种基于正则表达式的监控系统告警关联分析的方法,其特征在于,包括以下步骤1)关联规则模块遍历模型库,封装告警元数据;2)关联模块组合元数据,形成关联分析规则;3)分析模块获取告警信息,匹配正则表达式,提取元数据;4)分析模块组合元数据,匹配规则,得到关联分析结果。
2.根据权利要求I所述的一种基于正则表达式的监控系统告警关联分析的方法,其特征在于,所述步骤1)、2)进一步包括基于资源与告警模型定义,预生成多个告警元项,并从资源模型、告警模型中获取告警元数据以及与其对应的正则表达式;数据库中,告警元数据按照监控对象标识、告警分类、告警级别的对应关系进行结构化存储,供生成关联规则使用。
全文摘要
本发明公开了一种基于正则表达式的监控系统告警关联分析的方法,通过正则表达式构建告警元模型、定义关联规则,实时进行规则解析匹配涉,实现监控系统下的故障根源定位、影响范围预警。本发明将原本积累在监控人员知识范畴中的告警分析经验在监控系统中集中实现,解决了传统监控系统关联分析不能灵活定制规则,海量告警信息无法快速进行问题定位、故障排除的问题。主要步骤包括关联规则模块遍历模型库,封装告警元数据(时间、地点、告警发生源、告警类型等);关联规则模块组合元数据,形成关联分析规则;分析模块获取告警信息,匹配正则表达式,提取元数据;分析模块组合元数据,匹配规则,得到关联分析结果。
文档编号H04L12/24GK102611565SQ201110316658
公开日2012年7月25日 申请日期2011年10月18日 优先权日2011年10月18日
发明者严晴, 唐汗青, 唐海荣, 盛红雷, 谷金颖 申请人:南京南瑞集团公司, 国网电力科学研究院, 广东电网公司深圳供电局