一种告警收敛方法、装置及电子设备和存储介质与流程

1.本技术涉及业务处理技术领域，更具体地说，涉及一种告警收敛方法、装置及一种电子设备和一种计算机可读存储介质。


背景技术：

2.随着运维监控业务的复杂化，设备的多样化，经常会导致“告警风暴”问题，即告警量激增。在现有的部分监控系统中，支持用户手动设置规则，进而完成告警事件的去重、收敛、静默、抑制。将海量的告警事件汇聚到多条告警事件组内，分发给业务人员。
3.在上述技术方案中，运维人员需要不断维护收敛规则，人力成本较高。另外，收敛结果依赖于已知的收敛规则，收敛结果比较单一，无法挖掘出告警事件之间的关联性。
4.因此，如何自动实现告警收敛是本领域技术人员需要解决的技术问题。


技术实现要素：

5.本技术的目的在于提供一种告警收敛方法、装置及一种电子设备和一种计算机可读存储介质，自动实现告警收敛。
6.为实现上述目的，本技术提供了一种告警收敛方法，包括：
7.获取告警事件，基于所述告警事件的告警等级确定所述告警事件的权重；其中，所述权重与所述告警等级呈正相关；
8.利用关联分析算法基于不同的告警事件的权重对不同的告警事件之间的关联性进行分析，以生成告警收敛规则；
9.利用所述告警收敛规则对实时接收的告警事件进行收敛分析。
10.其中，所述获取告警事件，包括：
11.从不同的告警源系统中获取告警事件；
12.将所述告警事件中的告警字段映射为统一的标准字段。
13.其中，所述利用所述告警收敛规则对实时接收的告警事件进行收敛分析，包括：
14.利用所述告警收敛规则将实时接收到的告警事件划分为告警事件组，并输出所述告警事件组。
15.其中，所述输出所述告警事件组之后，还包括：
16.确定所述告警事件组对应的收敛规则；
17.基于所述收敛规则对收敛错误的告警事件进行标注，并提高所述收敛错误的告警事件的权重。
18.其中，所述确定所述告警事件组对应的收敛规则，包括：
19.利用语义分析技术抽取所述告警事件组中每条告警事件的关键信息；
20.利用聚类算法对所述告警事件组中每条告警事件的关键信息进行分析，得到所述告警事件组对应的收敛规则。
21.其中，所述确定所述告警事件组对应的收敛规则，包括：
22.在利用所述告警收敛规则将实时接收到的告警事件划分为告警事件组的过程中，将所述告警事件组匹配到的告警收敛规则确定为所述告警事件组对应的收敛规则。
23.其中，所述输出所述告警事件组，包括：
24.对所述告警事件组进行告警抑制操作和/或告警静默操作后进行输出。
25.为实现上述目的，本技术提供了一种告警收敛装置，包括：
26.获取模块，用于获取告警事件，基于所述告警事件的告警等级确定所述告警事件的权重；其中，所述权重与所述告警等级呈正相关；
27.生成模块，用于利用关联分析算法基于不同的告警事件的权重对不同的告警事件之间的关联性进行分析，以生成告警收敛规则；
28.收敛模块，用于利用所述告警收敛规则对实时接收的告警事件进行收敛分析，以将实时接收到的告警事件划分为告警事件组。
29.为实现上述目的，本技术提供了一种电子设备，包括：
30.存储器，用于存储计算机程序；
31.处理器，用于执行所述计算机程序时实现如上述告警收敛方法的步骤。
32.为实现上述目的，本技术提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述告警收敛方法的步骤。
33.通过以上方案可知，本技术提供的一种告警收敛方法，包括：获取告警事件，基于所述告警事件的告警等级确定所述告警事件的权重；其中，所述权重与所述告警等级呈正相关；利用关联分析算法基于不同的告警事件的权重对不同的告警事件之间的关联性进行分析，以生成告警收敛规则；利用所述告警收敛规则对实时接收的告警事件进行收敛分析。
34.本技术提供的告警收敛方法，引入机器学习算法，通过关联分析算法对不同的告警事件之间的关联性进行分析，基于不同的告警事件的权重自动生成告警收敛规则，完成告警事件的智能收敛，提高了生成的告警收敛规则准确性，提供更具灵活性的收敛结果，同时减少了维护成本。本技术还公开了一种告警收敛装置及一种电子设备和一种计算机可读存储介质，同样能实现上述技术效果。
35.应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本技术。
附图说明
36.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：
37.图1为根据一示例性实施例示出的一种告警收敛方法的流程图；
38.图2为根据一示例性实施例示出的另一种告警收敛方法的流程图；
39.图3为根据一示例性实施例示出的一种确定告警事件组的收敛规则的示意图；
40.图4为根据一示例性实施例示出的一种告警收敛装置的结构图；
41.图5为根据一示例性实施例示出的一种电子设备的结构图。
具体实施方式
42.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。另外，在本技术实施例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。
43.本技术实施例公开了一种告警收敛方法，自动实现告警收敛。
44.参见图1，根据一示例性实施例示出的一种告警收敛方法的流程图，如图1所示，包括：
45.s101：获取告警事件，基于所述告警事件的告警等级确定所述告警事件的权重；其中，所述权重与所述告警等级呈正相关；
46.本实施例的目的在于对多条告警事件进行告警收敛，告警收敛是对一段时间内的告警事件按照预设规则进行分组，从而将多条告警事件汇聚到一个告警事件组内。
47.在具体实施中，首先获取告警事件，作为一种可行的实施方式，可以从不同的告警源系统中获取告警事件，告警源系统可以包括prometheus，zabbix，skywalking等。可以理解的是，来源于不同告警源系统的告警事件具有不同的告警字段。例如，prometheus告警字段包括alert_name、alert_target、alert_content、alert_level、start_time，zabbix告警字段包括trigger_name、host_name、content、trigger_severity、event_time。因此，可以将来源于不同告警源系统的告警事件的告警字段映射为统一的标准字段，例如name、target、content、level、start_time等。
48.其次，引入先验知识：告警级别高的告警事件更容易被关注到。因此，本实施例根据告警级别字段，赋予告警事件初始权重，权重与告警等级呈正相关，即高告警级别的告警事件予以较大权重，低告警级别的告警事件予以较小权重。同样本实施例支持权重的自适应调整，用户可以根据实际情况调整各告警事件的权重。
49.s102：利用关联分析算法基于不同的告警事件的权重对不同的告警事件之间的关联性进行分析，以生成告警收敛规则；
50.在本步骤中，利用关联分析算法基于不同的告警事件的权重对不同的告警事件之间的关联性进行分析，自动生成告警收敛规则。该步骤为定时触发，需要满足在预设时间段内获取的告警事件的样本量达到预设值。
51.s103：利用所述告警收敛规则对实时接收的告警事件进行收敛分析。
52.本步骤使用流处理机制，加载上一步骤生成的告警收敛规则，对实时接收的告警事件进行收敛分析，以实现告警收敛，即将多条单一的告警事件划分为告警事件组。
53.作为一种优选实施方式，本步骤可以包括：利用所述告警收敛规则将实时接收到的告警事件划分为告警事件组，并输出所述告警事件组。在具体实施中，可以对告警事件组进行告警抑制操作、告警静默操作后进行输出。告警抑制是指针对同一类型的告警事件，输出高级别的告警事件，而忽略掉低级别的告警事件，也即对于同一告警事件组，仅输出组内
高级别的告警事件，而忽略掉组内低级别的告警事件。告警静默是指对于设定时间段内，已经输出某一告警事件后，若再接收到相同的告警事件，则不进行输出。
54.本技术实施例提供的告警收敛方法，引入机器学习算法，通过关联分析算法对不同的告警事件之间的关联性进行分析，基于不同的告警事件的权重自动生成告警收敛规则，完成告警事件的智能收敛，提高了生成的告警收敛规则准确性，提供更具灵活性的收敛结果，同时减少了维护成本。
55.本技术实施例公开了一种告警收敛方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：
56.参见图2，根据一示例性实施例示出的另一种告警收敛方法的流程图，如图2所示，包括：
57.s201：获取告警事件；
58.s202：基于所述告警事件的告警等级确定所述告警事件的权重；其中，所述权重与所述告警等级呈正相关；
59.s203：利用关联分析算法基于不同的告警事件的权重对不同的告警事件之间的关联性进行分析，以生成告警收敛规则；
60.s204：利用所述告警收敛规则对实时接收的告警事件进行收敛分析，以将实时接收到的告警事件划分为告警事件组；
61.s205：输出所述告警事件组；
62.s206：确定所述告警事件组对应的收敛规则；
63.在本步骤中，确定不同告警事件组中多条告警事件的收敛规则。作为一种可行的实施方式，本步骤包括：在利用所述告警收敛规则将实时接收到的告警事件划分为告警事件组的过程中，将所述告警事件组匹配到的告警收敛规则确定为所述告警事件组对应的收敛规则。在具体实施中，可以直接将告警收敛过程中告警时间组匹配到的告警收敛规则确定为收敛规则。
64.作为另一种可行的实施方式，本步骤包括：利用语义分析技术抽取所述告警事件组中每条告警事件的关键信息；利用聚类算法对所述告警事件组中每条告警事件的关键信息进行分析，得到所述告警事件组对应的收敛规则。在具体实施中，如图3所示，对于收敛后的告警事件组，使用语义分析技术，抽象业务模型，抽取每条告警事件的关键信息，可以包括告警名称、告警内容、告警时间、告警级别等，结合聚类算法分析不同告警事件组中告警事件的联系，即不同告警事件组的收敛规则。
65.s207：基于所述收敛规则对收敛错误的告警事件进行标注，并提高所述收敛错误的告警事件的权重。
66.在具体实施中，用户可以基于不同告警事件组的收敛规则，使用反馈机制，针对收敛错误的告警事件组及其中的告警事件进行标注。在下一周期生成告警收敛规则时增大标注的收敛错误的告警事件的权重，对告警收敛规则进行迭代优化。
67.由此可见，本实施例支持人工标注，对于收敛错误的告警事件赋予更高的样本权重，增强关联分析算法对收敛错误的告警事件的针对性，进一步提高了生成的告警收敛规则准确性。
68.下面对本技术实施例提供的一种告警收敛装置进行介绍，下文描述的一种告警收
敛装置与上文描述的一种告警收敛方法可以相互参照。
69.参见图4，根据一示例性实施例示出的一种告警收敛装置的结构图，如图4所示，包括：
70.获取模块401，用于获取告警事件，基于所述告警事件的告警等级确定所述告警事件的权重；其中，所述权重与所述告警等级呈正相关；
71.生成模块402，用于利用关联分析算法基于不同的告警事件的权重对不同的告警事件之间的关联性进行分析，以生成告警收敛规则；
72.收敛模块403，用于利用所述告警收敛规则对实时接收的告警事件进行收敛分析。
73.本技术实施例提供的告警收敛装置，引入机器学习算法，通过关联分析算法对不同的告警事件之间的关联性进行分析，基于不同的告警事件的权重自动生成告警收敛规则，完成告警事件的智能收敛，提高了生成的告警收敛规则准确性，提供更具灵活性的收敛结果，同时减少了维护成本。
74.在上述实施例的基础上，作为一种优选实施方式，所述获取模块401包括：
75.获取单元，用于从不同的告警源系统中获取告警事件；
76.映射单元，用于将所述告警事件中的告警字段映射为统一的标准字段；
77.生成单元，用于利用关联分析算法定时对不同的告警事件之间的关联性进行分析，以生成告警收敛规则。
78.在上述实施例的基础上，作为一种优选实施方式，所述收敛模块403具体为利用所述告警收敛规则将实时接收到的告警事件划分为告警事件组，并输出所述告警事件组的模块。
79.在上述实施例的基础上，作为一种优选实施方式，还包括：
80.确定模块，用于确定所述告警事件组对应的收敛规则；
81.标注模块，用于基于所述收敛规则对收敛错误的告警事件进行标注，并提高所述收敛错误的告警事件的权重。
82.在上述实施例的基础上，作为一种优选实施方式，所述确定模块包括：
83.抽取单元，用于利用语义分析技术抽取所述告警事件组中每条告警事件的关键信息；
84.聚类单元，用于利用聚类算法对所述告警事件组中每条告警事件的关键信息进行分析，得到所述告警事件组对应的收敛规则。
85.在上述实施例的基础上，作为一种优选实施方式，所述确定模块具体为在利用所述告警收敛规则将实时接收到的告警事件划分为告警事件组的过程中，将所述告警事件组匹配到的告警收敛规则确定为所述告警事件组对应的收敛规则的模块。
86.在上述实施例的基础上，作为一种优选实施方式，所述收敛模块403具体为利用所述告警收敛规则将实时接收到的告警事件划分为告警事件组，并对所述告警事件组进行告警抑制操作和/或告警静默操作后进行输出的模块。
87.关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
88.基于上述程序模块的硬件实现，且为了实现本技术实施例的方法，本技术实施例还提供了一种电子设备，图5为根据一示例性实施例示出的一种电子设备的结构图，如图5
所示，电子设备包括：
89.通信接口1，能够与其它设备比如网络设备等进行信息交互；
90.处理器2，与通信接口1连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述一个或多个技术方案提供的告警收敛方法。而所述计算机程序存储在存储器3上。
91.当然，实际应用时，电子设备中的各个组件通过总线系统4耦合在一起。可理解，总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图5中将各种总线都标为总线系统4。
92.本技术实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括：用于在电子设备上操作的任何计算机程序。
93.可以理解，存储器3可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom，read only memory)、可编程只读存储器(prom，programmable read
‑
only memory)、可擦除可编程只读存储器(eprom，erasable programmable read
‑
only memory)、电可擦除可编程只读存储器(eeprom，electrically erasable programmable read
‑
only memory)、磁性随机存取存储器(fram，ferromagnetic random access memory)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(cd
‑
rom，compact disc read
‑
only memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram，random access memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，static random access memory)、同步静态随机存取存储器(ssram，synchronous static random access memory)、动态随机存取存储器(dram，dynamic random access memory)、同步动态随机存取存储器(sdram，synchronous dynamic random access memory)、双倍数据速率同步动态随机存取存储器(ddrsdram，double data rate synchronous dynamic random access memory)、增强型同步动态随机存取存储器(esdram，enhanced synchronous dynamic random access memory)、同步连接动态随机存取存储器(sldram，synclink dynamic random access memory)、直接内存总线随机存取存储器(drram，direct rambus random access memory)。本技术实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
94.上述本技术实施例揭示的方法可以应用于处理器2中，或者由处理器2实现。处理器2可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、dsp，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器3，处理器2读取存储器3中的程序，结合其硬件完成前述方法的步骤。
95.处理器2执行所述程序时实现本技术实施例的各个方法中的相应流程，为了简洁，
在此不再赘述。
96.在示例性实施例中，本技术实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的存储器3，上述计算机程序可由处理器2执行，以完成前述方法所述步骤。计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flash memory、磁表面存储器、光盘、或cd
‑
rom等存储器。
97.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
98.或者，本技术上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本技术各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
99.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。