一种日志告警处理方法和装置转让专利
申请号 : CN202110581089.5
文献号 : CN113259166B
文献日 : 2021-10-01
发明人 : 曲星宇 , 姜海昆 , 范宇
申请人 : 长扬科技(北京)有限公司
摘要 :
本发明涉及一种日志告警处理方法和装置,该方法包括:利用所述存储介质接收由多类型终端设备上报的日志;对携带有第一属性信息的日志进行处理,得到包括第二属性信息的告警对象;其中,所述第一属性信息用于包括告警内容和日志来源,所述第二属性信息包括告警内容、日志来源和告警级别;对所述告警对象的第二属性信息进行哈希计算,并将计算结果存储在所述内存中;针对每一个告警对象,根据所述计算结果,确定所述存储介质是否存储该告警对象。本发明的方案能够降低管理平台在接收告警消息时的运行压力。
权利要求 :
1.一种日志告警处理方法,其特征在于,应用于管理平台,所述管理平台包括内存和存储介质,所述方法包括:
利用所述存储介质接收由多类型终端设备上报的日志;
对携带有第一属性信息的日志进行处理,得到包括第二属性信息的告警对象;其中,所述第一属性信息用于包括告警内容和日志来源,所述第二属性信息包括告警内容、日志来源和告警级别;
对所述告警对象的第二属性信息进行哈希计算,并将计算结果存储在所述内存中;
针对每一个告警对象,根据所述计算结果,确定所述存储介质是否存储该告警对象;
所述对携带有第一属性信息的日志进行处理,得到包括第二属性信息的告警对象,包括:
获取所述管理平台的多个告警标签;其中,所述告警标签用于表征所述管理平台关注的日志告警类别;
如果所述第一属性信息中的告警内容包括至少一个告警标签,则将携带有该第一属性信息的日志确定为告警消息;
对所述告警消息进行处理,得到包括第二属性信息的告警对象;
所述对所述告警消息进行处理,得到包括第二属性信息的告警对象,包括:构建告警标签和告警级别的映射关系;
基于所述映射关系和所述告警消息中的告警内容包括的告警标签,确定所述告警消息的告警级别;
将所述告警消息和该告警消息的告警级别进行封装,得到包括第二属性信息的告警对象;
所述针对每一个告警对象,根据所述计算结果,确定所述存储介质是否存储该告警对象,包括:
针对每一个告警对象,根据所述计算结果,确定该告警对象是否重复;
如果重复,则通过计数类为AtomicLong的方式更新所述内存中针对该告警对象的出现次数,并确定所述存储介质不存储该告警对象;
如果不重复,则确定所述存储介质存储该告警对象;
在所述通过计数类为AtomicLong的方式更新所述内存中针对该告警对象的出现次数之后,进一步包括:
在到达所述内存首次存储与该告警对象对应的计算结果的时间点之后的第一预设时长时,将所述内存中针对该告警对象的出现次数同步到所述存储介质中;
在所述确定所述存储介质存储该告警对象之后,包括:获取所述存储介质首次存储该告警对象的唯一地址,以利用所述唯一地址存储所述内存中针对该告警对象的出现次数。
2.根据权利要求1所述的方法,其特征在于,在所述确定所述存储介质存储该告警对象之后,进一步包括:
在到达所述内存首次存储与该告警对象对应的计算结果的时间点之后的第二预设时长时,如果所述内存中针对该告警对象的出现次数确定为1次,则删除所述内存存储的与该告警对象对应的计算结果;其中,所述第二预设时长大于所述第一预设时长。
3.一种日志告警处理装置,其特征在于,应用于管理平台,所述管理平台包括内存和存储介质,所述装置包括:
接收模块,用于利用所述存储介质接收由多类型终端设备上报的日志;
处理模块,用于对携带有第一属性信息的日志进行处理,得到包括第二属性信息的告警对象;其中,所述第一属性信息用于包括告警内容和日志来源,所述第二属性信息包括告警内容、日志来源和告警级别;
计算模块,用于对所述告警对象的第二属性信息进行哈希计算,并将计算结果存储在所述内存中;
确定模块,用于针对每一个告警对象,根据所述计算结果,确定所述存储介质是否存储该告警对象;
所述处理模块,用于执行如下操作:获取所述管理平台的多个告警标签;其中,所述告警标签用于表征所述管理平台关注的日志告警类别;
如果所述第一属性信息中的告警内容包括至少一个告警标签,则将携带有该第一属性信息的日志确定为告警消息;
对所述告警消息进行处理,得到包括第二属性信息的告警对象;
在本发明的一个实施例中,所述处理模块在执行所述对所述告警消息进行处理,得到包括第二属性信息的告警对象时,还用于执行如下操作:构建告警标签和告警级别的映射关系;
基于所述映射关系和所述告警消息中的告警内容包括的告警标签,确定所述告警消息的告警级别;
将所述告警消息和该告警消息的告警级别进行封装,得到包括第二属性信息的告警对象;
所述确定模块,用于执行如下操作:针对每一个告警对象,根据所述计算结果,确定所述告警对象是否重复;
如果重复,则通过计数类为AtomicLong的方式更新所述内存中针对该告警对象的出现次数,并确定所述存储介质不存储该告警对象;
如果不重复,则确定所述存储介质存储该告警对象;
所述确定模块,还用于执行如下操作:在到达所述内存首次存储与该告警对象对应的计算结果的时间点之后的第一预设时长时,将所述内存中针对该告警对象的出现次数同步到所述存储介质中;
所述确定模块,还用于执行如下操作:获取所述存储介质首次存储该告警对象的唯一地址,以利用所述唯一地址存储所述内存中针对该告警对象的出现次数。
4.一种日志告警处理设备,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1‑2中任一项所述的方法。
5.一种计算机可读介质,其特征在于,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行权利要求1‑2中任一项所述的方法。
说明书 :
一种日志告警处理方法和装置
技术领域
[0001] 本发明涉及计算机技术领域,尤其涉及日志告警处理方法和装置。
背景技术
[0002] 日志文件作为跟踪每台终端设备的活动以及该终端设备与其它终端设备的网络交互情形的重要记录,能够反映系统的运行情况。
[0003] 现有技术中,终端设备一旦产生告警消息,会发送至相关管理平台,但是由于终端设备产生的告警消息的数量较多,且告警消息中存在重复消息,如此会给管理平台带来较
大且不必要的运行压力。
大且不必要的运行压力。
[0004] 因此,针对以上不足,需要提供一种日志告警处理方法和装置。
发明内容
[0005] 本发明要解决的技术问题在于管理平台在接收告警消息时存在较大的运行压力,针对现有技术中的缺陷,提供一种日志告警处理方法和装置。
[0006] 为了解决上述技术问题,本发明提供了一种日志告警处理方法,应用于管理平台,所述管理平台包括内存和存储介质,所述方法包括:
[0007] 利用所述存储介质接收由多类型终端设备上报的日志;
[0008] 对携带有第一属性信息的日志进行处理,得到包括第二属性信息的告警对象;其中,所述第一属性信息用于包括告警内容和日志来源,所述第二属性信息包括告警内容、日
志来源和告警级别;
志来源和告警级别;
[0009] 对所述告警对象的第二属性信息进行哈希计算,并将计算结果存储在所述内存中;
[0010] 针对每一个告警对象,根据所述计算结果,确定所述存储介质是否存储该告警对象。
[0011] 在一种可能的实现方式中,所述对携带有第一属性信息的日志进行处理,得到包括第二属性信息的告警对象,包括:
[0012] 获取所述管理平台的多个告警标签;其中,所述告警标签用于表征所述管理平台关注的日志告警类别;
[0013] 如果所述第一属性信息中的告警内容包括至少一个告警标签,则将携带有该第一属性信息的日志确定为告警消息;
[0014] 对所述告警消息进行处理,得到包括第二属性信息的告警对象。
[0015] 在一种可能的实现方式中,所述对所述告警消息进行处理,得到包括第二属性信息的告警对象,包括:
[0016] 构建告警标签和告警级别的映射关系;
[0017] 基于所述映射关系和所述告警消息中的告警内容包括的告警标签,确定所述告警消息的告警级别;
[0018] 将所述告警消息和该告警消息的告警级别进行封装,得到包括第二属性信息的告警对象。
[0019] 在一种可能的实现方式中,所述针对每一个告警对象,根据所述计算结果,确定所述存储介质是否存储该告警对象,包括:
[0020] 针对每一个告警对象,根据所述计算结果,确定该告警对象是否重复;
[0021] 如果重复,则通过计数类为AtomicLong的方式更新所述内存中针对该告警对象的出现次数,并确定所述存储介质不存储该告警对象;
[0022] 如果不重复,则确定所述存储介质存储该告警对象。
[0023] 在一种可能的实现方式中,在所述通过计数类为AtomicLong的方式更新所述内存中针对该告警对象的出现次数之后,进一步包括:
[0024] 在到达所述内存首次存储与该告警对象对应的计算结果的时间点之后的第一预设时长时,将所述内存中针对该告警对象的出现次数同步到所述存储介质中。
[0025] 在一种可能的实现方式中,在所述确定所述存储介质存储该告警对象之后,包括:
[0026] 获取所述存储介质首次存储该日志的唯一地址,以利用所述唯一地址存储所述内存中针对该告警对象的出现次数。
[0027] 在一种可能的实现方式中,在所述确定所述存储介质存储该告警对象之后,进一步包括:
[0028] 在到达所述内存首次存储与该告警对象对应的计算结果的时间点之后的第二预设时长时,如果所述内存中针对该告警对象的出现次数确定为1次,则删除所述内存存储的
与该告警对象对应的计算结果;其中,所述第二预设时长大于所述第一预设时长。
与该告警对象对应的计算结果;其中,所述第二预设时长大于所述第一预设时长。
[0029] 本发明还提供了一种日志告警处理装置,应用于管理平台,所述管理平台包括内存和存储介质,所述装置包括:
[0030] 接收模块,用于利用所述存储介质接收由多类型终端设备上报的日志;
[0031] 处理模块,用于对携带有第一属性信息的日志进行处理,得到包括第二属性信息的告警对象;其中,所述第一属性信息用于包括告警内容和日志来源,所述第二属性信息包
括告警内容、日志来源和告警级别;
括告警内容、日志来源和告警级别;
[0032] 计算模块,用于对所述告警对象的第二属性信息进行哈希计算,并将计算结果存储在所述内存中;
[0033] 确定模块,用于针对每一个告警对象,根据所述计算结果,确定所述存储介质是否存储该告警对象。
[0034] 本发明还提供了一种日志告警处理设备,包括:至少一个存储器和至少一个处理器;
[0035] 所述至少一个存储器,用于存储机器可读程序;
[0036] 所述至少一个处理器,用于调用所述机器可读程序,执行如上述所述的方法。
[0037] 本发明还提供了一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行如上述所述的方法。
[0038] 实施本发明的日志告警方法和装置,具有以下有益效果:
[0039] 本发明所提供的技术方案,通过对告警对象的第二属性信息进行哈希计算,并将计算结果存储在内存中,然后根据计算结果,确定存储介质是否存储该告警对象。上述方案
无需将告警对象存储在内存中,然后再确定存储介质是否存储该告警对象,而是只是将对
告警对象的第二属性信息进行哈希计算的计算结果存储在内存中,由于哈希计算的计算结
果具有唯一性,因此可以利用该计算结果,来确定存储介质是否存储该告警日志,从而节省
了内存的存储空间,进而有利于降低管理平台在接收告警消息时的运行压力。
无需将告警对象存储在内存中,然后再确定存储介质是否存储该告警对象,而是只是将对
告警对象的第二属性信息进行哈希计算的计算结果存储在内存中,由于哈希计算的计算结
果具有唯一性,因此可以利用该计算结果,来确定存储介质是否存储该告警日志,从而节省
了内存的存储空间,进而有利于降低管理平台在接收告警消息时的运行压力。
附图说明
[0040] 图1是本发明一个实施例提供的日志告警处理方法的流程图;
[0041] 图2是本发明另一个实施例提供的日志告警处理方法的流程图;
[0042] 图3是本发明一个实施例提供的日志告警处理设备的示意图;
[0043] 图4是本发明一个实施例提供的日志告警处理装置的示意图。
具体实施方式
[0044] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是
本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人
员在没有做出创造性劳动的前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人
员在没有做出创造性劳动的前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0045] 图1示出根据一个实施例的日志告警处理方法的流程图。可以理解,该方法可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。下面以该方法通过管理平
台(例如日志服务器)来执行进行说明。
台(例如日志服务器)来执行进行说明。
[0046] 参见图1,该方法包括:
[0047] 步骤101:利用存储介质接收由多类型终端设备上报的日志。
[0048] 在一些实施方式中,各个终端设备在运行时会产生log的事件记录,即日志文件。日志文件作为一个内容不断在增长的文件,就像终端设备的生命记录仪,详细记录下了终
端设备运行的点点滴滴。其中,多类型终端设备例如可以是工业监测审计、工业防火墙、工
业网闸、工控安全评估系统、工控等保检查工具箱、漏洞扫描系统、入侵防御系统、数据库审
计、安全运维管理平台、堡垒机、入侵检测系统等,具体可根据实际应用场景确定,在此不做
限制。不难理解的是,日志服务器的运维人员可以通过分析查看日志文件,来及时了解各终
端设备的软硬件信息,检查配置过程中的错误及错误发生的原因。
端设备运行的点点滴滴。其中,多类型终端设备例如可以是工业监测审计、工业防火墙、工
业网闸、工控安全评估系统、工控等保检查工具箱、漏洞扫描系统、入侵防御系统、数据库审
计、安全运维管理平台、堡垒机、入侵检测系统等,具体可根据实际应用场景确定,在此不做
限制。不难理解的是,日志服务器的运维人员可以通过分析查看日志文件,来及时了解各终
端设备的软硬件信息,检查配置过程中的错误及错误发生的原因。
[0049] 在本实施例中,日志服务器是通过存储介质来接收各多类型终端设备上报的日志,并将这些日志发送至日志处理引擎进行处理。可以理解的是,各终端设备产生的日志并
不都是告警日志,例如登录日志、时间日志就不是告警日志,而登录失败日志及其时间日志
则是告警日志,因此需要从众多日志中提取告警日志。
不都是告警日志,例如登录日志、时间日志就不是告警日志,而登录失败日志及其时间日志
则是告警日志,因此需要从众多日志中提取告警日志。
[0050] 在一些实施方式中,在存储介质接收各终端设备发来的日志后,加入多线程的消息队列,以等待处理,这可以提高日志服务器对日志的处理效率和抗并发能力。
[0051] 步骤102:对携带有第一属性信息的日志进行处理,得到包括第二属性信息的告警对象。
[0052] 在步骤102中,第一属性信息用于包括告警内容和日志来源,第二属性信息包括告警内容、日志来源和告警级别。其中,告警内容即为该条日志的具体内容,例如登录失败内
容。日志来源即为发来该日志的终端设备的唯一标识,在此对唯一标识不进行具体限定,例
如硬盘编号、MAC地址、IP地址等的组合。
容。日志来源即为发来该日志的终端设备的唯一标识,在此对唯一标识不进行具体限定,例
如硬盘编号、MAC地址、IP地址等的组合。
[0053] 在一些实施方式中,步骤102具体可以包括如下步骤:
[0054] 获取管理平台的多个告警标签;其中,告警标签用于表征管理平台关注的日志告警类别;
[0055] 如果第一属性信息中的告警内容包括至少一个告警标签,则将携带有该第一属性信息的日志确定为告警消息;
[0056] 对告警消息进行处理,得到包括第二属性信息的告警对象。
[0057] 在本实施例中,管理平台预先设置有多个告警标签,以在众多日志中提取到告警日志(即告警消息),然后再对告警消息进行处理,得到告警对象,以利用告警对象包括的第
二属性信息确定告警消息是否重复。具体地,如果第一属性信息中的告警内容包括至少一
个告警标签,则将携带有该第一属性信息的日志确定为告警消息。
二属性信息确定告警消息是否重复。具体地,如果第一属性信息中的告警内容包括至少一
个告警标签,则将携带有该第一属性信息的日志确定为告警消息。
[0058] 此外,这些告警标签可以是基于预设的正则表达式,具体地,将一条条日志与正则表达式进行匹配,若当前正则表达式返回了正确的结果,则确定匹配当前正则表达式的日
志为告警消息。
志为告警消息。
[0059] 由于告警消息中不包括告警级别,这不利于管理人员对告警消息作出及时的处理。也就是说,如果管理平台根据告警消息确定出该日志的告警级别后,管理人员可以根据
该日志的告警级别及时作出处理措施。
该日志的告警级别及时作出处理措施。
[0060] 在一些实施方式中,步骤对告警消息进行处理,得到包括第二属性信息的告警对象,可以包括如下步骤:
[0061] 构建告警标签和告警级别的映射关系;
[0062] 基于映射关系和告警消息中的告警内容包括的告警标签,确定告警消息的告警级别;
[0063] 将告警消息和该告警消息的告警级别进行封装,得到包括第二属性信息的告警对象。
[0064] 在本发明实施例中,通过利用预先构建的告警标签和告警级别的映射关系,基于映射关系和告警消息中的告警内容包括的告警标签,确定告警消息的告警级别,从而可以
方便管理人员根据该告警消息的告警级别及时作出处理措施。
方便管理人员根据该告警消息的告警级别及时作出处理措施。
[0065] 可以理解的是,告警等级也可以由管理人员自行修改,以适应个性化设置。
[0066] 步骤103:对告警对象的第二属性信息进行哈希计算,并将计算结果存储在内存中。
[0067] 现有技术中,一般是采用将告警消息直接存储在内存中,然后判断告警消息是否重复,这占用太多的内存空间,如此不利于降低日志服务器的运行压力。
[0068] 在步骤103中,通过将对告警对象的第二属性信息进行哈希计算,并将计算结果存储在内存中,以利用计算结果(即哈希数据)来判断告警消息是否重复,这不会占用太多的
内存空间,如此有利于降低日志服务器的运行压力。
内存空间,如此有利于降低日志服务器的运行压力。
[0069] 步骤104:针对每一个告警对象,根据计算结果,确定存储介质是否存储该告警对象。
[0070] 如果管理人员不主动修改告警等级,则可根据计算结果确定告警对象、告警消息或日志是否重复;如果管理人员主动修改告警等级,则可根据计算结果确定告警消息或日
志是否重复。这是因为告警等级是基于告警消息的告警内容获得的。因此,在步骤104中,针
对的是管理人员不主动修改告警等级的情形。也就是说,如果针对每一个告警对象,计算结
果存在重复,则表明存储介质已经存储有与该告警对象的告警内容、日志来源和告警级别
均相同的告警对象,如此不用再将该告警对象存储于存储介质中;反之,如果针对每一个告
警对象,计算结果不存在重复,则表明存储介质未存储有与该告警对象的告警内容、日志来
源和告警级别均相同的日志,如此需要将该告警对象存储于存储介质中。
志是否重复。这是因为告警等级是基于告警消息的告警内容获得的。因此,在步骤104中,针
对的是管理人员不主动修改告警等级的情形。也就是说,如果针对每一个告警对象,计算结
果存在重复,则表明存储介质已经存储有与该告警对象的告警内容、日志来源和告警级别
均相同的告警对象,如此不用再将该告警对象存储于存储介质中;反之,如果针对每一个告
警对象,计算结果不存在重复,则表明存储介质未存储有与该告警对象的告警内容、日志来
源和告警级别均相同的日志,如此需要将该告警对象存储于存储介质中。
[0071] 现有技术中,如果告警对象重复,计数的方式通常会采用清零操作。具体而言,例如,在执行清零操作前的预设次数为5次,执行清零操作的过程中,如果新产生2次,如果采
用清零操作,则结果为0次,实际应该是2次。为了解决该技术问题,在一些实施方式中,步骤
104具体可以包括如下步骤:
用清零操作,则结果为0次,实际应该是2次。为了解决该技术问题,在一些实施方式中,步骤
104具体可以包括如下步骤:
[0072] 针对每一个告警对象,根据计算结果,确定该告警对象是否重复;
[0073] 如果重复,则通过计数类为AtomicLong的方式更新内存中针对该告警对象的出现次数,并确定存储介质不存储该告警对象;
[0074] 如果不重复,则确定存储介质存储该告警对象。
[0075] 在本实施例中,利用计数类为AtomicLong的方式更新内存中针对该告警对象的出现次数,有利于确保线程的安全性,即确保次数计数的安全性,同时也可以减少数据丢失的
概率。
概率。
[0076] 现有技术中,在终端设备的数量较多时,告警消息的数量会随着终端设备数量的增多而大量增加,如果短时间内出现大量重复告警,并发量会大大提高。如果重复告警全部
显示,则不容易查找到有效的告警信息,在大量重复的告警中筛选重要的告警信息,无疑会
消耗大量的时间和精力,事倍功半,插入速度也无法满足需求。
显示,则不容易查找到有效的告警信息,在大量重复的告警中筛选重要的告警信息,无疑会
消耗大量的时间和精力,事倍功半,插入速度也无法满足需求。
[0077] 而在本实施例中,通过针对每一个告警对象,根据计算结果,确定告警对象是否重复,如果重复,则确定存储介质不存储该告警对象,如此可以实现重复的告警对象的合并,
从而可以提高并发数据的处理能力。
从而可以提高并发数据的处理能力。
[0078] 进一步地,在一些实施方式中,在步骤通过计数类为AtomicLong的方式更新内存中针对该告警对象的出现次数之后,进一步包括:
[0079] 在到达内存首次存储与该告警对象对应的计算结果的时间点之后的第一预设时长时,将内存中针对该告警对象的出现次数同步到存储介质中。
[0080] 在本实施例中,通过利用对内存首次存储与该告警对象对应的计算结果的时间点之后的时间的限制,将内存中针对该告警对象的出现次数同步到存储介质中的限制条件设
置为时间的限制,相比于限制条件为次数的限制(例如当出现次数到达预设次数时,执行将
内存中针对该告警对象的出现次数同步到存储介质中),有利于确保数据安全落地(即同步
到存储介质中),从而可避免丢失数据。也就是说,限制条件为次数的限制可能存在的问题
为:在内存中,存储次数达不到触发存储到存储介质的条件,如果中间出现断电、服务器宕
机、服务中断等问题时,会造成数据丢失。
置为时间的限制,相比于限制条件为次数的限制(例如当出现次数到达预设次数时,执行将
内存中针对该告警对象的出现次数同步到存储介质中),有利于确保数据安全落地(即同步
到存储介质中),从而可避免丢失数据。也就是说,限制条件为次数的限制可能存在的问题
为:在内存中,存储次数达不到触发存储到存储介质的条件,如果中间出现断电、服务器宕
机、服务中断等问题时,会造成数据丢失。
[0081] 在一些实施方式中,第一预设时长可以为10秒。
[0082] 在一些实施方式中,在到达内存首次存储与该告警对象对应的计算结果的时间点之后的第一预设时长之内,如果内存中针对该告警对象的出现次数达到预设的次数阈值,
为了提高对告警对象处理的及时性,有必要将该告警对象的告警等级提高,例如可以产生
告警语音,以提示管理人员及时处理。
为了提高对告警对象处理的及时性,有必要将该告警对象的告警等级提高,例如可以产生
告警语音,以提示管理人员及时处理。
[0083] 进一步地,在一些实施方式中,在步骤确定存储介质存储该告警对象之后,包括:
[0084] 获取存储介质首次存储该日志的唯一地址,以利用唯一地址存储内存中针对该告警对象的出现次数。
[0085] 在本实施例中,为实现将内存中针对该告警对象的出现次数同步到存储介质中,需要在告警对象首次存储到存储介质中后,返回存储该告警对象的唯一地址,以将后续出
现重复的出现次数这一数据同步到该唯一地址中,实现数据的落地。
现重复的出现次数这一数据同步到该唯一地址中,实现数据的落地。
[0086] 进一步地,在一些实施方式中,在步骤确定存储介质存储该告警对象之后,进一步包括:
[0087] 在到达内存首次存储与该告警对象对应的计算结果的时间点之后的第二预设时长时,如果内存中针对该告警对象的出现次数确定为1次,则删除内存存储的与该告警对象
对应的计算结果;其中,第二预设时长大于第一预设时长。
对应的计算结果;其中,第二预设时长大于第一预设时长。
[0088] 在本实施例中,如果在到达内存首次存储与该告警对象对应的计算结果的时间点之后的第二预设时长时,内存中针对该告警对象的出现次数一直为1次,则代表该告警对象
的表现不突出,未避免该告警对象的计算结果占用内存空间,可以删除内存存储的与该告
警对象对应的计算结果,从而可以增加内存空间,以进一步降低管理平台在接收告警消息
时的运行压力。
的表现不突出,未避免该告警对象的计算结果占用内存空间,可以删除内存存储的与该告
警对象对应的计算结果,从而可以增加内存空间,以进一步降低管理平台在接收告警消息
时的运行压力。
[0089] 在一些实施方式中,第二预设时长可以为24小时。
[0090] 可见,在上述图1所示过程中,通过对告警对象的第二属性信息进行哈希计算,并将计算结果存储在内存中,然后根据计算结果,确定存储介质是否存储该告警对象。上述方
案无需将告警对象存储在内存中,然后再确定存储介质是否存储该告警对象,而是只是将
对告警对象的第二属性信息进行哈希计算的计算结果存储在内存中,由于哈希计算的计算
结果具有唯一性,因此可以利用该计算结果,来确定存储介质是否存储该告警对象,从而节
省了内存的存储空间,进而有利于降低管理平台在接收告警消息时的运行压力。
案无需将告警对象存储在内存中,然后再确定存储介质是否存储该告警对象,而是只是将
对告警对象的第二属性信息进行哈希计算的计算结果存储在内存中,由于哈希计算的计算
结果具有唯一性,因此可以利用该计算结果,来确定存储介质是否存储该告警对象,从而节
省了内存的存储空间,进而有利于降低管理平台在接收告警消息时的运行压力。
[0091] 图2示出根据另一个实施例的日志告警处理方法的流程图。参见图2,该方法包括:
[0092] 步骤201:利用存储介质接收由多类型终端设备上报的日志。
[0093] 步骤202:获取管理平台的多个告警标签。
[0094] 步骤203:如果第一属性信息中的告警内容包括至少一个告警标签,则将携带有该第一属性信息的日志确定为告警消息。
[0095] 步骤204:构建告警标签和告警等级的映射关系。
[0096] 步骤205:基于映射关系和告警消息中的告警内容包括的告警标签,确定告警消息的告警等级。
[0097] 步骤206:将告警消息和该告警消息的告警等级进行封装,得到包括第二属性信息的告警对象。
[0098] 步骤207:对告警对象的第二属性信息进行哈希计算,并将计算结果存储在内存中。
[0099] 步骤208:针对每一个告警对象,根据计算结果,确定告警对象是否重复。如果重复,则执行步骤209;如果不重复,则执行步骤210。
[0100] 步骤209:通过计数类为AtomicLong的方式更新内存中针对该告警对象的出现次数,并确定存储介质不存储该告警对象。
[0101] 步骤210:确定存储介质存储该告警对象。
[0102] 如图3和图4所示,本发明实施例提供了一种日志告警处理设备和日志告警处理装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层
面而言,如图3所示,为本发明实施例提供的日志告警装置的一种硬件结构图,除了图3所示
的处理器、内存、网络接口、以及非易失性存储器之外,该实施例中的设备通常还可以包括
其它硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意
义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到
内存中运行形成的。
面而言,如图3所示,为本发明实施例提供的日志告警装置的一种硬件结构图,除了图3所示
的处理器、内存、网络接口、以及非易失性存储器之外,该实施例中的设备通常还可以包括
其它硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意
义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到
内存中运行形成的。
[0103] 如图4所示,本实施例提供的日志告警处理装置,包括:
[0104] 接收模块401,用于利用所述存储介质接收由多类型终端设备上报的日志;
[0105] 处理模块402,用于对携带有第一属性信息的日志进行处理,得到包括第二属性信息的告警对象;其中,所述第一属性信息用于包括告警内容和日志来源,所述第二属性信息
包括告警内容、日志来源和告警级别;
包括告警内容、日志来源和告警级别;
[0106] 计算模块403,用于对所述告警对象的第二属性信息进行哈希计算,并将计算结果存储在所述内存中;
[0107] 确定模块404,用于针对每一个告警对象,根据所述计算结果,确定所述存储介质是否存储该告警对象。
[0108] 在本发明实施例中,接收模块401可用于执行上述方法实施例中的步骤101,处理模块402可用于执行上述方法实施例中的步骤102,计算模块403可用于执行上述方法实施
例中的步骤103,确定模块404可用于执行上述方法实施例中的步骤104。
例中的步骤103,确定模块404可用于执行上述方法实施例中的步骤104。
[0109] 在本发明的一个实施例中,所述处理模块402,用于执行如下操作:
[0110] 获取所述管理平台的多个告警标签;其中,所述告警标签用于表征所述管理平台关注的日志告警类别;
[0111] 如果所述第一属性信息中的告警内容包括至少一个告警标签,则将携带有该第一属性信息的日志确定为告警消息;
[0112] 对所述告警消息进行处理,得到包括第二属性信息的告警对象。
[0113] 在本发明的一个实施例中,所述处理模块402在执行所述对所述告警消息进行处理,得到包括第二属性信息的告警对象时,还用于执行如下操作:
[0114] 构建告警标签和告警级别的映射关系;
[0115] 基于所述映射关系和所述告警消息中的告警内容包括的告警标签,确定所述告警消息的告警级别;
[0116] 将所述告警消息和该告警消息的告警级别进行封装,得到包括第二属性信息的告警对象。
[0117] 在本发明的一个实施例中,所述确定模块404,用于执行如下操作:
[0118] 针对每一个告警对象,根据所述计算结果,确定所述告警对象是否重复;
[0119] 如果重复,则通过计数类为AtomicLong的方式更新所述内存中针对该告警对象的出现次数,并确定所述存储介质不存储该告警对象;
[0120] 如果不重复,则确定所述存储介质存储该告警对象。
[0121] 在本发明的一个实施例中,所述确定模块404,还用于执行如下操作:
[0122] 在到达所述内存首次存储与该告警对象对应的计算结果的时间点之后的第一预设时长时,将所述内存中针对该告警对象的出现次数同步到所述存储介质中。
[0123] 在本发明的一个实施例中,所述确定模块404,还用于执行如下操作:
[0124] 获取所述存储介质首次存储该告警对象的唯一地址,以利用所述唯一地址存储所述内存中针对该告警对象的出现次数。
[0125] 在本发明的一个实施例中,所述确定模块404,还用于执行如下操作:
[0126] 在到达所述内存首次存储与该告警对象对应的计算结果的时间点之后的第二预设时长时,如果所述内存中针对该告警对象的出现次数确定为1次,则删除所述内存存储的
与该告警对象对应的计算结果;其中,所述第二预设时长大于所述第一预设时长。
与该告警对象对应的计算结果;其中,所述第二预设时长大于所述第一预设时长。
[0127] 可以理解的是,本发明实施例示意的结构并不构成对日志告警装置的具体限定。在本发明的另一些实施例中,日志告警装置可以包括比图示更多或者更少的部件,或者组
合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者
软件和硬件的组合来实现。
合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者
软件和硬件的组合来实现。
[0128] 上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
[0129] 本发明实施例还提供了一种日志告警处理设备,包括:至少一个存储器和至少一个处理器;
[0130] 至少一个存储器,用于存储机器可读程序;
[0131] 至少一个处理器,用于调用机器可读程序,执行本发明任一实施例中的日志告警处理方法。
[0132] 本发明实施例还提供了一种计算机可读介质,存储用于使一计算机执行如本文的日志告警处理方法的指令。具体地,可以提供配有存储介质的方法或者装置,在该存储介质
上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该方法或者装置的计
算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该方法或者装置的计
算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
[0133] 在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
[0134] 用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD‑ROM、CD‑R、CD‑RW、DVD‑ROM、DVD‑RAM、DVD‑RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,
可以由通信网络从服务器计算机上下载程序代码。
可以由通信网络从服务器计算机上下载程序代码。
[0135] 此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作方法等来完成部分或者全部的实际操作,从而
实现上述实施例中任意一项实施例的功能。
实现上述实施例中任意一项实施例的功能。
[0136] 此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中,随后基于程
序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而
实现上述实施例中任一实施例的功能。
序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而
实现上述实施例中任一实施例的功能。
[0137] 最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可
以对前述各实施例所记载的技术方案进行修复,或者对其中部分技术特征进行等同替换;
而这些修复或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和
范围。
以对前述各实施例所记载的技术方案进行修复,或者对其中部分技术特征进行等同替换;
而这些修复或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和
范围。