一种确定告警源的方法及装置与流程

本发明涉及网络安全技术领域，尤其涉及一种确定告警源的方法及装置。

背景技术：

随着互联网技术的高速发展，随之而来的各种服务器、服务器集群等网络设备的大规模使用，对设备和服务器是否正常工作的监控也愈加重要。然而，随着设备和服务器的大规模使用，监控所带来的海量告警量对告警数据的处理也带来的诸多问题，如何通过海量告警量快速、准确地定位到故障的根源告警是现有大规模网络集群运营商所面临的一个重大问题。

现有的告警监控方法主要是通过监控可直接发现的故障进行告警，并在通过监控手段发现的告警中，整理归纳出各类相同的告警，之后，再在这些告警中排查到根源告警。例如，设备a、设备b、设备c、设备d都发出了宕机告警，则这四个告警被划分为同一类告警，之后，再在这四个设备的宕机告警中依次排查出根源告警。

然而，现有的告警监控方案都是通过监控可直接发现的故障进行告警，但是网络中很多设备是监控手段无法覆盖的，以内容分发网络(contentdeliverynetwork，cdn)业务为例，cdn通过在现有的互联网网络各处放置节点服务器以为用户提供网络应用加速的服务，以及确保应用服务能够正常对外提供服务。cdn服务商可以监控cdn的节点服务器的告警，但如网络运营商的服务器，对于cdn服务商来说，一般都没有监控网络运营商服务器的权限，因此当网络运营商的服务器发生故障时，无法真正定位到故障根源，例如当一个区域的网络运营商骨干网服务器发生故障时，对应着这个区域中大量的cdn节点服务器发出延时或宕机告警，而网络运营商骨干网服务器却不会向cdn服务商发出告警。cdn服务商逐个排查发出告警的大量的cdn节点服务器，结果却是无法定位到真正的告警源，而且还占用了cdn服务商大量时间。

总之，现有告警监控技术的根源告警定位准确性不高，效率低下的问题。

技术实现要素：

本发明提供一种确定告警源的方法及装置，用以解决现有技术中存在的根源告警定位准确性不高，效率低下的问题。

本发明实施例提供一种确定告警源的方法，包括：

获取第一设备上报的告警数据；

根据预先设定的收敛规则对告警数据进行收敛；收敛规则用于对第二设备导致的同一根源告警数据进行收敛；第二设备与第一设备具有网络互联关系；

若告警数据满足收敛规则，确定告警数据的告警源。

可选的，根据预先设定的收敛规则对告警数据进行收敛，包括：

预先设定的收敛规则为n个，n大于等于1；

针对n个收敛规则中的任一个，从告警数据中确定与收敛规则的告警名相同的告警数据子集；从告警数据子集中确定收敛规则的各告警对象的告警数据；若存在至少一个告警对象的告警数据满足设定阈值，则确定满足设定阈值的告警对象为告警源。

可选的，根据预先设定的n个收敛规则对告警数据进行收敛之前，还包括：

针对n个收敛规则中的任一个，根据告警数据构建第一键值列表；第一键值列表的键值名为告警名，键值值为第二键值列表；

第二键值列表的键值名为收敛规则的告警对象，第二键值列表的键值值为告警对象的告警信息；告警对象的告警信息从告警数据中获取。

可选的，根据预先设定的n个收敛规则对告警数据进行收敛，包括：

遍历第一键值列表，查找第一键值列表中与收敛规则相对应的告警名；

在存在与收敛规则相对应的告警名时，获取告警名对应的第二键值列表；

在第二键值列表中的告警信息符合收敛规则的设定阈值时，将第二键值列表中的告警对象确定为告警源。

可选的，n个收敛规则包括以下至少之一：

同机器告警收敛规则、同应用服务收敛规则、同服务器类型收敛规则、同机房收敛规则和同省份收敛规则；

其中，同机器告警收敛规则的告警对象为机器标识；同应用服务收敛规则的告警对象为应用服务标识；同服务器类型收敛规则的告警对象为为服务器类型标识；同机房收敛规则的告警对象为机房标识；同省份收敛规则的告警对象为所处的省份标识。

本发明实施例提供一种确定告警源的装置，包括：

获取模块，用于获取第一设备上报的告警数据；

处理模块，用于根据预先设定的收敛规则对告警数据进行收敛；收敛规则用于对第二设备导致的同一根源告警数据进行收敛；第二设备与第一设备具有网络互联关系；

处理模块，还用于若告警数据满足收敛规则，确定告警数据的告警源。

可选的，预先设定的收敛规则为n个，n大于等于1；

处理模块，具体用于：

针对n个收敛规则中的任一个，从告警数据中确定与收敛规则的告警名相同的告警数据子集；从告警数据子集中确定收敛规则的各告警对象的告警数据；若存在至少一个告警对象的告警数据满足设定阈值，则确定满足设定阈值的告警对象为告警源。

可选的，处理模块，还用于：

针对n个收敛规则中的任一个，根据告警数据构建第一键值列表；第一键值列表的键值名为告警名，键值值为第二键值列表；

第二键值列表的键值名为收敛规则的告警对象，第二键值列表的键值值为告警对象的告警信息；告警对象的告警信息从告警数据中获取。

可选的，处理模块具体用于：

遍历第一键值列表，查找第一键值列表中与收敛规则相对应的告警名；

在存在与收敛规则相对应的告警名时，获取告警名对应的第二键值列表；

在第二键值列表中的告警信息符合收敛规则的设定阈值时，将第二键值列表中的告警对象确定为告警源。

可选的，n个收敛规则包括以下至少之一：

同机器告警收敛规则、同应用服务收敛规则、同服务器类型收敛规则、同机房收敛规则和同省份收敛规则；

其中，同机器告警收敛规则的告警对象为机器标识；同应用服务收敛规则的告警对象为应用服务标识；同服务器类型收敛规则的告警对象为为服务器类型标识；同机房收敛规则的告警对象为机房标识；同省份收敛规则的告警对象为所处的省份标识。

综上，本发明实施例提供一种确定告警源的方法及装置，包括：获取第一设备上报的告警数据；根据预先设定的n个收敛规则对告警数据进行收敛，n大于等于1；收敛规则用于对第二设备导致的同一根源告警数据进行收敛；第二设备与第一设备具有网络互联关系；若告警数据满足n个收敛规则中至少一个收敛规则，则根据至少一个收敛规则，确定告警数据的告警源。第一设备为监控手段覆盖下的设备，可直接上报告警数据。通过n个收敛规则对来自第一设备的告警数据进行收敛，而不是逐个排查，可以大大提高告警数据的处理速度，快速定位告警源。此外，第二设备即可以是监控手段覆盖下的设备，也可以是监控手段覆盖之外的设备，收敛规则对第二设备导致的同一根源告警数据进行收敛，可以将告警源定位到第二设备，与现有技术只能定位到监控手段覆盖内的设备相比，本方案能够提高告警源定位的准确性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络系统架构图；

图2为本发明实施例提供的一种确定告警源的方法流程示意图；

图3为本发明实施例提供的一种同机器收敛结构示意图；

图4为本发明实施例提供的一种同机器告警收敛规则收敛流程示意图；

图5为本发明实施例提供的一种同机房收敛结构示意图；

图6为本发明实施例提供的一种同机房告警收敛规则收敛流程示意图；

图7为本发明实施例提供的一种同省份收敛结构示意图；

图8为本发明实施例提供的一种确定告警源的装置结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种网络系统架构图，如图1所示，网络系统由大量的第一设备11、第一设备12、第一设备13、第一设备14、第一设备15、第一设备16等大量的第一设备和非监控设备21、非监控设备22、非监控设备23等大量的非监控设备设备构成。其中，第一设备处于监控手段的覆盖范围内，可将告警数据上报给告警源确定装置0，非监控设备设备处于监控手段的覆盖范围之外，无法直接将告警数据上报给告警源确定装置0。

在本发明实施例中，第一设备和非监控设备是互联网中的通信设备，比如服务器、路由器、中继器、集线器、交换机等等。第一设备即可以是实体设备，也可以是虚拟设备。例如，对于具备多个互联网通讯协议地址(internetprotocoladdress，ip地址)的服务器，则每一个ip地址对应的虚拟机都是一个第一设备。

在图1所示系统的基础上，图2为本发明实施例提供的一种确定告警源的方法流程示意图，如图2所示，包括以下步骤：

s201：获取第一设备上报的告警数据；

s202：根据预先设定的收敛规则对告警数据进行收敛；收敛规则用于对第二设备导致的同一根源告警数据进行收敛；第二设备与第一设备具有网络互联关系；

s203：若告警数据满足收敛规则，确定告警数据的告警源。

在s201的具体实施过程中，对获取第一设备上报的告警数据的触发条件并不多作限制，例如，可将第一设备上报的告警数据存储，之后，周期性获取所存储的还未处理过的告警数据，也可以根据告警的数量触发，当未处理的告警数量超过预设门限值后，便触发告警源确定流程，也可以由网络监控人员控制触发。在s201中，第一设备上报的告警数据即包括第一设备主动上报告警数据，也包括第一设备被动上报的告警数据。被动上报的告警数据，包括周期性探测第一设备后，根据第一设备的反馈信息获得的告警数据。

在s202的具体实施过程中，根据预先设定的收敛规则对告警数据进行收敛。收敛规则用于对第二设备导致的同一根源告警数据进行收敛，第二设备即告警源，其可能是处于监控手段覆盖下的第一设备，也可能是处于监控手段覆盖之外的非监控设备。可选的，根据使用情况定时更新收敛规则，包括添加新的收敛规则、修改已有的收敛规则以及删除无用或错误的收敛规则等等，提高后续确定告警源的准确性和全面性。

在s203的具体实施过程中，当告警数据满足收敛规则时，便可以由告警数据满足的收敛规则确定出告警数据的告警源。

第一设备为监控手段覆盖下的设备，可直接上报告警数据。通过收敛规则对来自第一设备的告警数据进行收敛，而不是逐个排查，可以大大提高告警数据的处理速度，快速定位告警源。此外，第二设备即可以是监控手段覆盖下的设备，也可以是监控手段覆盖之外的设备，收敛规则对第二设备导致的同一根源告警数据进行收敛，可以将告警源定位到第二设备，与现有技术只能定位到监控手段覆盖内的设备相比，本方案能够提高告警源定位的准确性。

可选的，本发明实施例提供以下一种可行的处理方式，以实现根据预先设定的n个收敛规则对告警数据进行收敛，包括：针对n个收敛规则中的任一个，从告警数据中确定与收敛规则的告警名相同的告警数据子集；从告警数据子集中确定收敛规则的各告警对象的告警数据；若存在至少一个告警对象的告警数据满足设定阈值，则确定满足设定阈值的所述告警对象为告警源。具体实施过程中，预先设定的收敛规则为n个，n大于等于1，对于n个收敛规则的处理顺序即可以随机处理，也可以预设合理的处理顺序。每个收敛规则都有预设的告警名，这个告警名对应着特定的告警类型。也就是说，当一个告警对象出现异常时，告警数据中会出现某些固定类型的告警信息，例如，当一个具有多ip地址的服务器出现宕机时，则告警信息中会出现多个来自不同ip地址的宕机告警，这里的具有多ip地址的服务器便是一种告警对象。在任一个收敛规则的收敛过程中，首先确定告警数据中这些特定的告警类型对应的告警名的告警数据子集，之后，从告警数据子集中确定各告警对象的告警数据，告警对象的类型一致，但存在个体之间的区分。当任一个告警对象的告警数据满足设定阈值时，则确定该告警对象为告警源。由于一个收敛规则对应的各告警对象有可能同时发生异常，因此当确定任一告警对象为告警源后，可选的，继续确定其它告警对象是否满足设定阈值，直至遍历完该收敛规则对应的全部的告警对象。当告警数据满足n个收敛规则中至少一个收敛规则，则根据告警数据满足的收敛规则，便可以确定出告警数据的告警源。可选的，若n个收敛规则都没有收敛，则对告警数据进行人工干预。可选的，当n个收敛规则都没有收敛时，判断此时经过人工干预后获得的告警源是否能够用新的收敛规则进行确定，若可以，则保存新的收敛规则作为后续确定告警源时的收敛规则之一。

为了更具体地介绍收敛规则的收敛过程，本发明实施例提供以下一种可行的实现方式，针对任一收敛规则，包括：

s1：根据告警数据构建第一键值列表；第一键值列表的键值名为告警名，键值值为第二键值列表；第二键值列表的键值名为收敛规则的告警对象，第二键值列表的键值值为告警对象的告警信息；告警对象的告警信息从告警数据中获取；

s2：遍历第一键值列表，查找第一键值列表中与收敛规则相对应的告警名；

s3：在存在与收敛规则相对应的告警名时，获取告警名对应的第二键值列表；

s4：在第二键值列表中的告警信息符合收敛规则的设定阈值时，将第二键值列表中的告警对象确定为告警源。

在s1的具体实施过程中，本发明实施例提供的第一键值列表的一种可行的表现形式，如表一所示的第一键值列表为某一告警对象为a的收敛规则的第一键值列表。

表一

其中，a1至a6皆为a类型的告警对象。包含告警对象a1的告警数据为数据1、数据2和数据3；其中包括的告警名为告警名1，包含告警对象a4的告警数据为数据6，其中包括的告警名为告警名2，其余告警对象同理。需指出的是，告警对象并不一定是上报告警数据的设备，例如，告警对象a4并不一定是上报数据6的设备，也可能是与上报数据6的设备之间存在着网络互联关系的设备，例如具有多个ip的服务器内部每个ip对应的虚拟机与该服务器之间的关系。

在s2具体实施过程中，构建完如表一所示的第一键值列表后，遍历该第一键值列表，查找该第一键值列表中与收敛规则相对应的告警名。例如，若收敛规则相对应的告警名为告警名1，则从该第一键值列表中查找是否存在告警名1。

在s3的具体实施过程中，在存在与收敛规则相对应的告警名时，获取告警名对应的第二键值列表。例如，表一所示的第一键值列表中存在的告警名1为与收敛规则相对应的告警名，则获取告警名1对应的第二键值列表，如表二所示。

表二

在s4的具体实施过程中，在第二键值列表中的告警信息符合收敛规则的设定阈值时，将第二键值列表中的告警对象确定为告警源。例如收敛规则的设定阈值为2，即包含告警对象的告警数据个数超过2时，该告警对象为告警源，则对于表二所示的第二键值列表，告警对象a1便会被确定为告警源。

本发明实施例中，收敛规则可以对第二设备导致的同一根源告警数据进行收敛，从而获取告警数据中的告警源。由于被监控的网络系统多种多样，这些系统中又有很多种类型的告警，即使相同类型的告警在不同的被监控的网络系统中也可能会有不同的特征，因此对应的告警收敛规则也有多种。在本发明实施例的具体实施过程中，告警收敛规则可根据具体应用环境进行增加、修改以及删除等以提高告警收敛规则的适应性。为了更进一步说明本发明实施例中的告警收敛规则，本发明实施例提供以下五种收敛规则，需指出的是，这五种收敛规则只是提供了五种可行的告警收敛规则的实现方式，具体实施过程中，可在此基础上进行增加、修改或删除等以适应不同的使用需求。本发明实施例提供以下五种收敛规则，包括：同机器告警收敛规则、同应用服务收敛规则、同服务器类型收敛规则、同机房收敛规则和同省份收敛规则；

其中，所述同机器告警收敛规则的告警对象为机器标识；所述同应用服务收敛规则的告警对象为应用服务标识；所述同服务器类型收敛规则的告警对象为为服务器类型标识；所述同机房收敛规则的告警对象为机房标识；所述同省份收敛规则的告警对象为所处的省份标识。

本发明实施例提供的上述五种收敛规则可覆盖大多数的告警源定位情况，其具体内容如下。

(1)同机器告警收敛规则：同个机器可能有多个ip，当机器发生故障时，不同类型监控都会产生该机器上各个ip一系列相同的告警。将同个机器上不同ip的相同告警进行收敛，以减少运维和客服人员处理告警的数量。当来自同个机器的不同ip的告警数量与该机器ip总量的比值超过预设阈值时，则收敛出告警源为该机器。

(2)同应用服务收敛规则：同个应用服务部署在世界各地不同机房的服务器上，当同个应用服务出现服务无法相应情况达到一定的次数后，则收敛出告警源为应用服务。

(3)同服务器类型收敛规则：同类型的服务器对外提供的服务相同，不同类型的服务器对外提供不全相同的服务。当相同类型服务器的单种类型告警数量或比例大于预设阈值时，则收敛出该服务器类型为告警源。可根据实际应用需求，设置需要收敛的服务器类型。

(4)同机房收敛规则：同个机房存在一定数量的机器，监控系统会对各个机器的工作情况进行监控，包括是否能上报数据、机器是否宕机。当同个机房内的机器，外部可以ping通，但是机器无法上报心跳时，若整个机房的机器此种告警的告警量与整个机房的机器数量的比值大于预设阈值，则收敛出告警源为机房，且机房数据无法上报。若整个机房内的机器单种类型的中断告警的告警量与整个机房的机器数量的比值大于预设阈值，则收敛出告警源为机房，且机房中断。

(5)同省份收敛规则：同个机房的网络低速告警数量与机房的总监控链路个数的比值大于预设阈值时，可以看做是一个网络故障节点。当同省份的网络故障节点个数与监控到的该省份的所有节点个数的比值大于预设阈值时，则收敛出该省份的骨干网为告警源。

本发明实施例提供以下具体实施例，以说明本发明实施例所提供的一种确定告警源的方法。

(一)同机器告警收敛规则

图3为本发明实施例提供的一种同机器收敛结构示意图，如图3所示，机器300为实体机，其内部包括虚拟机301、虚拟机302、……虚拟机30n等n个虚拟机。当机器300工作异常时，上述n个虚拟机都有可能上报告警数据。

图4为本发明实施例提供的一种同机器告警收敛规则收敛流程示意图，如图4所示，包括以下步骤：

s401：获取告警数据；

s402：构建第一键值列表和第二键值列表，第二键值列表中的收敛对象为机器标识；

s403：获取同机器收敛规则；由于一个机器存在的异常有多种，对应的也存在多种同机器收敛规则，此处获取的应当是未执行过的同机器收敛规则；

s404：判断同机器收敛规则是否已经全部执行完成；若是，则执行s412；若否，则执行s405；

s405：遍历第一键值列表；

s406：判断第一键值列表中是否存在同机器收敛规则的告警名；若是，则执行s407；若否，则返回s403，以获取另一个还未被执行过的同机器收敛规则；

s407：获取告警名下的第二键值列表；

s408：遍历第二键值列表；

s409：判断第二键值列表是否已全部遍历；若否，则执行s410；若是，则返回s403，以获取另一个还未被执行的同机器收敛规则；

s410：判断同机器标识的告警量是否超过预设阈值；这里的同机器标识应是还未被统计过的同机器标识；若是，则执行s411；若否，则返回s407；

s411：将告警进行收敛，收敛出同机器收敛规则定义的告警名称，以及主机和参数，例如，告警名称：同服务器宕机告警，主机id：xxxxxx，宕机ip占比90％等等。

(二)同机房收敛

图5为本发明实施例提供的一种同机房收敛结构示意图，如图5所示，机房500中包含服务器501、服务器502、……、服务器50n等n个服务器，当机房出现异常时，上述n个服务器都有可能上报告警数据。设定收敛的阈值条件为机房内服务器故障数量大于90％。

图6为本发明实施例提供的一种同机房告警收敛规则收敛流程示意图，如图6所示，包括以下步骤：

s601：获取告警数据；

s602：构建第一键值列表和第二键值列表，第二键值列表中的收敛对象为机房标识；

s603：获取同机房收敛规则；由于一个机房存在的异常有多种，对应的也存在多种同机房收敛规则，此处获取的应当是未执行过的同机房收敛规则；

s604：判断同机房收敛规则是否已经全部执行完成；若是，则执行s612；若否，则执行s605；

s605：遍历第一键值列表；

s606：判断第一键值列表中是否存在同机房收敛规则的告警名；若是，则执行s607；若否，则返回s603，以获取另一个还未被执行过的同机房收敛规则；

s607：获取告警名下的第二键值列表；

s608：遍历第二键值列表；

s609：判断第二键值列表是否已全部遍历；若否，则执行s610；若是，则返回s603，以获取另一个还未被执行的同机房收敛规则；

s610：判断同机房标识的告警量是否超过预设阈值；这里的同机房标识应是还未被统计过的同机房标识；若是，则执行s611；若否，则返回执行s607；

s611：将告警进行收敛，收敛出同机房收敛规则定义的告警名称，以及机房和参数，例如，告警名称：同机房中断告警，机房id：xxxxxx，等等。

(三)同省份告警收敛

图7为本发明实施例提供的一种同省份收敛结构示意图，如图7所示，一个省份中共有n个机房，每个机房中分别包含n个服务器。当一个机房的网络低速告警数量与机房的总监控的服务器个数大于预设比例，则将此机房确定为一个网络故障节点，此处为同机房告警收敛规则。可选的，在周期性处理告警数据时，在周期间隔足够短的情况下，可以将上一周期的同机房收敛结果用作本周期同省份告警收敛。

当同省份内，机房故障数量与该省份处在监控下的机房的比例超过预设阈值，如图7中的90％时，遍收敛出省份骨干网络为告警源。可选的，当一个省份中只有一个网络故障节点时，则不执行同省份收敛规则。当然，一个省份中的网络异常有多种情况，对于同省份骨干网络故障告警的收敛的告警仅是同省份告警收敛规则中的一种。

综上，本发明实施例提供一种确定告警源的方法，包括：获取第一设备上报的告警数据；根据预先设定的收敛规则对告警数据进行收敛；收敛规则用于对第二设备导致的同一根源告警数据进行收敛；第二设备与第一设备具有网络互联关系；若告警数据满足收敛规则，确定告警数据的告警源。第一设备为监控手段覆盖下的设备，可直接上报告警数据。通过收敛规则对来自第一设备的告警数据进行收敛，而不是逐个排查，可以大大提高告警数据的处理速度，快速定位告警源。此外，第二设备即可以是监控手段覆盖下的设备，也可以是监控手段覆盖之外的设备，收敛规则对第二设备导致的同一根源告警数据进行收敛，可以将告警源定位到第二设备，与现有技术只能定位到监控手段覆盖内的设备相比，本方案能够提高告警源定位的准确性。

基于相同的技术构思，本发明实施例还提供一种确定告警源的装置，该装置可执行上述方法实施例。图8为本发明实施例提供的一种确定告警源的装置结构示意图，如图8所示，装置800包括：

获取模块801，用于获取第一设备上报的告警数据；

处理模块802，用于根据预先设定的收敛规则对告警数据进行收敛；收敛规则用于对第二设备导致的同一根源告警数据进行收敛；第二设备与第一设备具有网络互联关系；

处理模块802，还用于若告警数据满足收敛规则，确定告警数据的告警源。

可选的，预先设定的收敛规则为n个，n大于等于1；

处理模块802，具体用于：

针对n个收敛规则中的任一个，从告警数据中确定与收敛规则的告警名相同的告警数据子集；从告警数据子集中确定收敛规则的各告警对象的告警数据；若存在至少一个告警对象的告警数据满足设定阈值，则确定满足设定阈值的告警对象为告警源。

可选的，处理模块802还用于：

针对n个收敛规则中的任一个，根据告警数据构建第一键值列表；第一键值列表的键值名为告警名，键值值为第二键值列表；

第二键值列表的键值名为收敛规则的告警对象，第二键值列表的键值值为告警对象的告警信息；告警对象的告警信息从告警数据中获取。

可选的，处理模块802具体用于：

遍历第一键值列表，查找第一键值列表中与收敛规则相对应的告警名；

在存在与收敛规则相对应的告警名时，获取告警名对应的第二键值列表；

在第二键值列表中的告警信息符合收敛规则的设定阈值时，将第二键值列表中的告警对象确定为告警源。

可选的，n个收敛规则包括以下至少之一：

同机器告警收敛规则、同应用服务收敛规则、同服务器类型收敛规则、同机房收敛规则和同省份收敛规则；

其中，同机器告警收敛规则的告警对象为机器标识；同应用服务收敛规则的告警对象为应用服务标识；同服务器类型收敛规则的告警对象为为服务器类型标识；同机房收敛规则的告警对象为机房标识；同省份收敛规则的告警对象为所处的省份标识。

具体实施过程中，获取模块801和处理模块802的功能可由服务器及其配套设备完成。

本申请实施例提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述任意可能的实现方式中的方法。

本申请实施例提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任意可能的实现方式中的方法

综上，本发明实施例提供一种确定告警源的方法及装置，包括：获取第一设备上报的告警数据；根据预先设定的收敛规则对告警数据进行收敛；收敛规则用于对第二设备导致的同一根源告警数据进行收敛；第二设备与第一设备具有网络互联关系；若告警数据满足收敛规则，确定告警数据的告警源。第一设备为监控手段覆盖下的设备，可直接上报告警数据。通过收敛规则对来自第一设备的告警数据进行收敛，而不是逐个排查，可以大大提高告警数据的处理速度，快速定位告警源。此外，第二设备即可以是监控手段覆盖下的设备，也可以是监控手段覆盖之外的设备，收敛规则对第二设备导致的同一根源告警数据进行收敛，可以将告警源定位到第二设备，与现有技术只能定位到监控手段覆盖内的设备相比，本方案能够提高告警源定位的准确性。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。