分析事件的製作方法

2023-07-03 13:33:01

專利名稱：分析事件的製作方法
分析事件
背景技術：
從電信網絡到辦公室印表機的幾乎所有複雜的系統都包括事件監視器，其生成提供能夠用來維修系統的信息的事件流(例如，信息消息、警告和錯誤消息)。根據系統的類型和大小，典型的一天中可以生成幾百個或者甚至幾百萬個事件。把此類大量的事件整理歸類的過程是繁重的，並且妨礙操作員識別故障並修理系統的能力。為此原因，許多系統包括自動化事件過濾系統，其嘗試濾出不能提供信息的事件以便減少呈現給用戶的事件的數目。事件過濾規則通常由目標系統領域的專家主要基於他或她對正在被監視的系統的知識來編寫和確認。此過程通常涉及大量的反覆試驗。需要的是用於在開發事件過濾規則時幫助領域專家及其它用戶的系統和方法。

發明內容
在一方面，本發明的特徵在於一種方法，依照該方法，基於描述事件的事件記錄來識別一個或多個事件的序列。確定表示序列中的一些序列之間的距離的相應距離值。基於距離值來構造目標度量空間中的點的配置，其中，每個點表示序列中的相應一個序列。在顯示器上呈現該配置的可視表示。本發明的特徵還在於可操作用於實現上述發明方法的裝置和存儲促使計算機實現上述發明方法的計算機可讀指令的計算機可讀介質。通過以下說明(包括附圖和權利要求)，本發明的其它特徵和優點將變得顯而易見。


圖1是事件分析系統的實施例的方框圖。圖2是事件分析方法的實施例的流程圖。圖3是其中已識別了兩個事件序列的示例性事件流的示意圖。圖4是確定目標度量空間中的點的配置的多維標度方法的實施例的流程圖。圖5是用於圖1的事件分析系統的圖形用戶界面的實施例的示意圖。圖6是用於圖1的事件分析系統的圖形用戶界面的實施例的示意圖，示出將一組序列合併的結果。圖7是由圖1的事件分析系統的實施例生成的報告的實施例的示意圖，所述報告示出應用過濾規則的結果。圖8是實現圖1的事件分析系統的實施例的計算機的實施例的方框圖。
具體實施例方式在以下說明中，使用相同的附圖標記來識別相同的元件。此外，附圖意圖以圖表的方式來說明示例性實施例的主要特徵。附圖並不意圖描繪實際實施例的每個特徵或所描繪元件的相對尺寸，並且不是按比例繪製的。
I.介紹
本文所述的實施例提供了使得領域專家及其它用戶能夠分析事件流並開發事件過濾規則的事件分析系統和方法。某些實施例在事件流內發現顯著的事件序列並提供用於對所發現的序列進行可視化、分析和概括的工具。在這些實施例的某些中，在顯示器上將事件序列可視化為二維配置的點，其中，通過被更接近地分組在一起的點來表示相似的序列並通過更遠地間隔開的點來表示無關的序列。此類可視化允許用戶容易地認出頻繁地發生的情形並使得他們能夠容易地針對給定情形將重要事件與不重要事件分離。這樣，這些實施例給用戶提供其能夠用來定義濾出事件的規則的對於事件數據的認識。某些實施例提供用於將事件流精煉為事件過濾規則的工具和用於確認那些事件過濾規則的工具。II.分析事件 A.介紹
圖1示出包括事件映射器12、距離計算器14和可視化引擎16的事件分析系統10的實施例。圖2示出由事件分析系統10實現的事件分析方法的實施例。依照圖2的方法，事件映射器12基於描述一個或多個事件的事件記錄20來識別那些事件的序列(圖2，方框18)。在此過程中，事件映射器12識別相關事件的序列。事件映射器12生成定義所識別的相關事件的序列的輸出M。在所示的實施例中，輸出M被傳遞至距離計算器14和可視化引擎16。在其它實施例中，輸出M被以表格或其它數據結構的形式存儲在能夠被距離計算器14和可視化引擎16訪問的資料庫22中。距離計算器14確定表示序列M中的一些序列之間的距離的相應距離值(圖2，方框沈)。通常，用來計算距離值的距離度量可以對應於多種不同距離度量中的一個或多個。 下面詳細地描述在距離計算器14的實施例中用來計算距離值的示例性距離度量。距離計算器14向可視化引擎16傳送包含所計算的距離值的輸出觀。可視化引擎16基於距離值觀來構造目標度量空間中的點的配置(圖2，方框30)。 該配置中的每個點表示事件序列中的相應的一個且每個序列中的組成事件對應於相應點的屬性。目標度量空間通常是P維歐幾裡得空間，其中，P是大於一的整數值。在所示的實施例中，目標度量空間是二維歐幾裡得空間。可視化引擎16將成對的序列之間的接近性或相異性轉換成目標度量空間中的全局結構，其中，該全局結構中的點之間的歐幾裡得距離反映成對的序列之間的相異性。這樣，相似的序列被更接近地分組在一起且無關序列被更遠地間隔開。可視化引擎16生成定義點配置的輸出32。基於由可視化引擎16生成的輸出32，在顯示器34上呈現該配置的可視表示(圖 2，方框36)。在所示的實施例中，目標度量空間對應於二維歐幾裡得空間(即，p=2)，並且該配置在顯示器34上被可視化為二維圖像38。在本實施例中，圖像38中的點的不同的大小和陰影表示同一事件序列的不同發生數目。在圖像38中，點之間的相對間距反映點之間的相異性的水平。因此，對應於相似事件序列的點相互更接近地隔開，並且對應於不相似事件序列的點相互更遠地間隔開。此類可視化允許用戶容易地認出頻繁地發生的情形並使得他們能夠容易地針對給定情形將重要事件與不重要事件分離。這樣，這些實施例給用戶提供其能夠用來定義濾出事件的規則的對於事件數據的認識，如下面詳細描述的。B.將事件與點相關聯如上文所述，事件映射器12基於描述一個或多個事件的事件記錄20來識別那些事件的序列(圖2，方框18)。在此過程中，事件記錄20被輸入到事件映射器12中。在所示的實施例中，事件映射器12從資料庫22接收事件記錄20，資料庫22可以是本地或遠程資料庫。在其它實施例中，事件映射器12可以從另一源接收事件記錄20(例如，直接從最初生成事件記錄20的目標系統的事件生成組件接收事件記錄20)。事件記錄20通常對應於由目標系統(例如，電信網絡或印刷機)的事件生成組件生成並寫入日誌文件的消息。在某些實施例中，每個事件記錄20通常包括報頭欄位(例如， 時間戳、源/目的地地址、路由標識符、優先等級)和有效負荷數據，所述有效負荷數據通常包括描述觸發事件記錄的生成的事件的性質的數據(例如事件代碼和其它參數值)。在某些實施例中，由提取、傳輸和加載(ETL)應用來處理事件記錄20，所述應用處理事件日誌文件 (例如通過執行諸如數據清潔的常規倉庫功能)，將已處理事件數據格式化成預定義記錄格式，並將結果得到的事件記錄20加載到資料庫22中。事件映射器12處理事件記錄20以識別相關事件(例如，涉及同一物理現象或問題的事件)的序列。在某些實施例中，事件記錄20通常對應於按照與事件相關聯的參數值(例如，諸如時間戳值的時間參數值或諸如序列號值的其它參數值)排序的事件的相應序列(或級聯)。在這些實施例中，事件映射器12解析事件記錄20以得到先後順序信息(例如，時間戳數據或序列號數據)和描述對應事件的有效負荷數據。事件映射器12然後基於一個或多個領域特定序列定義來識別事件序列。示例性序列定義通常包括定義事件序列的開始的至少一個打開(opening)條件和定義事件序列的結束的至少一個關閉(closing)條件。通常在基於正在被監視的系統的領域特定知識提出的打開和關閉定義的廣泛測試和確認之後確定打開和關閉條件。在一個示例性實施例中，已經針對可從美國加利福尼亞州帕洛阿爾託市的惠普公司獲得的INDIGO 數字印刷機的實施例定義了以下打開和關閉條件。打開序列條件
在印刷機正在印刷的同時發生並將促使印刷機在緊接著的時間幀中停止印刷的事件(機器狀態=PRINT_STATE (印刷狀態)且事件緊急程度=ERRURG_IMMEDIATELY或 ERRURG_SEPERATI0N)o關閉序列條件
PRINT_JOB_INTERRUPT (印刷作業中斷)事件之後η秒(通常η = 2)。·從PRINT_STATE到非印刷狀態的機器狀態變化。·自從序列被打開以來已經印刷了 k個印刷品(通常k = 7)。·自從序列被打開以來已逝去了 y秒(通常y = 15)。·新的作業開始印刷，即發生PRINT_JOB_START (印刷作業開始)事件。事件映射器12通過向經解析的事件記錄數據應用打開和關閉條件來識別事件序列。圖3示出其中已經識別了兩個事件序列44、46的事件42的示例性流40。在某些實施例中，事件映射器12生成將事件記錄20與已識別序列中的相應一些序列相關聯的數據結構(例如，表格)。C.確定距離 1.介紹如上文所述，距離計算器14確定表示點M中的一些點之間的距離的相應距離值(圖2， 方框26)。通常，用來計算距離值的距離度量可以對應於多種不同距離度量中的一個或多個。在某些實施例中，距離度量反映點的組成事件之間的固有差異。在這些實施例的某些中，距離度量對於反映正在被監視的系統中的不同問題的事件序列產生較大的距離值，並在反映相同問題的事件序列之間產生較低(例如，非常低，或者甚至為零)的值。定義距離度量的過程通常取決於正在被監視的系統的詳細知識。可以使用各種不同的距離度量來計算距離觀，包括但不限於以下距離度量及其變化
有序距離度量
餘弦距離度量(例如，無序距離度量) 部分有序距離度量 Jaccard距離度量
可以單獨地或相組合地使用這些距離度量。2.有序距離度量
有序距離度量(也稱為「編輯距離」)基於通過替換事件、刪除事件和插入事件來將一個序列轉換成另一個的確定的成本來測量事件序列之間的距離，其中，可以根據與事件相關聯的一個或多個參數(例如，事件類型)不同地對每個操作的成本進行加權。在某些實施例中，將一對事件序列Sl和s2之間的有序距離度量定義為將Sl變成 s2所需的點變化的最小數目，其中，點變化是(1)改變事件；(2)插入事件；或(3)刪除事件中的一個。可以以多種不同的方式來計算有序距離度量。在某些實施例中，基於在網站 www. esse, monash. edu. au/ lloyd/tildeAlgDS/ Dynamic/Edit/中描述的動態編程方法來計算有序距離度量。依照該方法，以下遞推關係定義串si和s2之間的有序距離d(sl，s2)
權利要求
1.一種事件分析方法，包括基於描述一個或多個事件的事件記錄(20)來識別所述事件的序列(44、46)；確定表示所述序列(44、46)中的一些序列之間的距離的相應距離值(28)；基於距離值(28)來構造目標度量空間中的點的配置，其中，每個點表示所述序列(44、 46)中的相應一個；以及在顯示器(34 )上呈現所述配置的可視表示(38 )。
2.權利要求1的方法，其中，所述識別包括基於一個或多個序列定義來識別事件序列 (44、46)，其中，每個序列定義包括定義事件序列的開始的至少一個條件和定義事件序列的結束的至少一個條件。
3.權利要求1的方法，其中，所述確定包括基於距離度量來查明成對序列(44、46)之間的相應距離。
4.權利要求3的方法，其中，所述查明包括基於分配給事件中的相應事件的可變權重值來確定所述距離。
5.權利要求1的方法，還包括在顯示器(34)上呈現使得用戶能夠對事件序列(44、46) 中的一些事件序列執行操作的圖形用戶界面(62、100)。
6.權利要求5的方法，還包括響應於通過圖形用戶界面(62、100)接收到的用戶輸入來將事件序列(44、46)中的一些事件序列合併。
7.權利要求6的方法，其中，所述合併包括識別在事件序列(44、46)間被共同地共享的事件，並且還包括以識別所識別的事件的相應排序的格式在圖形用戶界面(100)中呈現所識別的事件。
8.權利要求7的方法，還包括在圖形用戶界面(100)中顯示滿足所識別的事件的相應排序的事件列表。
9.權利要求5的方法，其中，所述識別包括解析事件記錄(20)的流，基於該解析來識別一組事件序列(44、46)，並基於通過圖形用戶界面(62)接收到的用戶輸入來選擇已識別組中的一個或多個事件序列。
10.權利要求5的方法，還包括在圖形用戶界面(62)中呈現一個或多個用戶可選距離度量，並且其中，所述確定包括基於所述距離度量中的用戶選擇的一個所選距離度量來查明成對序列(44、46)之間的相應距離。
11.權利要求5的方法，還包括接收事件過濾規則的用戶指定，針對一組事件序列 (44,46)應用所指定的事件過濾規則，並在顯示器(34)上呈現滿足指定的事件過濾規則的事件序列(44、46)中的一些和未能滿足指定的事件過濾規則的所述組中的事件序列(44、 46)中的一些。
12.—種事件分析系統，包括計算機可讀存儲器(124、128)，其存儲計算機可讀指令；以及耦合到所述存儲器(1對、1觀)的數據處理單元(122)，其在操作中用於執行所述指令並至少部分地基於所述指令的執行在操作中用於實施包括以下步驟的操作基於描述一個或多個事件的事件記錄(20)來識別所述事件的序列(44、46)；確定表示所述序列(44、46)中的一些序列之間的距離的相應距離值(28)；基於距離值(28)來構造目標度量空間中的點的配置，其中，每個點表示所述序列(44、46)中的相應一個；以及在顯示器(34)上呈現所述配置的可視表示(38)。
13.權利要求12的設備，其中，基於所述指令的執行，數據處理單元(122)在操作中用於實施包括以下步驟的操作在顯示器(34)上呈現包括使得用戶能夠對事件序列(44、46) 中的一些事件序列實施包括以下至少之一的操作的界面的圖形用戶界面(62、100):選擇在所述確定時使用的多個距離度量中的一個；將序列(44、46)中的一些合併；以及針對一組事件序列(44、46)應用所指定的事件過濾規則，並在顯示器(34)上呈現滿足指定的事件過濾規則的事件序列(44、46)中的一些和未能滿足指定的事件過濾規則的所述組中的事件序列(44、46)中的一些。
14.一種存儲計算機可讀指令的計算機可讀介質，所述計算機可讀指令在被計算機執行時促使計算機實施包括以下步驟的操作基於描述一個或多個事件的事件記錄(20)來識別所述事件的序列(44、46)； 確定表示所述序列(44、46)中的一些序列之間的距離的相應距離值(28)； 基於距離值(28)來構造目標度量空間中的點的配置，其中，每個點表示所述序列(44、 46)中的相應一個；以及在顯示器(34 )上呈現所述配置的可視表示(38 )。
15.權利要求14的計算機可讀介質，其中，在被計算執行時，所述計算機可讀指令促使計算機實施包括以下步驟的操作在顯示器(34)上呈現包括使得用戶能夠對事件序列中的一些事件序列實施包括以下至少之一的操作的界面的圖形用戶界面(62、100):選擇在所述確定時使用的多個距離度量中的一個；將序列(44、46)中的一些合併；以及針對一組事件序列(44、46)應用所指定的事件過濾規則，並在顯示器(34)上呈現滿足指定的事件過濾規則的事件序列(44、46)中的一些和未能滿足指定的事件過濾規則的所述組中的事件序列(44、46)中的一些。
全文摘要
其中基於描述一個或多個事件的事件記錄(20)來識別所述事件的序列(44、46)的事件分析方法和設備。確定表示所述序列(44、46)中的一些之間的距離的相應距離值(28)。基於距離值(28)來構造目標度量空間中的點的配置，其中，每個點表示序列(44、46)中的相應一個。在顯示器(34)上呈現所述配置的可視表示(38)。
文檔編號G06F17/00GK102257487SQ200880132252
公開日2011年11月23日 申請日期2008年10月7日 優先權日2008年10月7日
發明者斯泰林 C., 拉姆·阿拉德, 查希·羅斯鮑姆, 麥可·阿哈倫, 魯思·伯格曼 申請人:惠普開發有限公司