專利名稱:分析事件的制作方法
分析事件
背景技術(shù):
從電信網(wǎng)絡(luò)到辦公室打印機的幾乎所有復(fù)雜的系統(tǒng)都包括事件監(jiān)視器,其生成提供能夠用來維修系統(tǒng)的信息的事件流(例如,信息消息、警告和錯誤消息)。根據(jù)系統(tǒng)的類型和大小,典型的一天中可以生成幾百個或者甚至幾百萬個事件。把此類大量的事件整理歸類的過程是繁重的,并且妨礙操作員識別故障并修理系統(tǒng)的能力。為此原因,許多系統(tǒng)包括自動化事件過濾系統(tǒng),其嘗試濾出不能提供信息的事件以便減少呈現(xiàn)給用戶的事件的數(shù)目。事件過濾規(guī)則通常由目標(biāo)系統(tǒng)領(lǐng)域的專家主要基于他或她對正在被監(jiān)視的系統(tǒng)的知識來編寫和確認(rèn)。此過程通常涉及大量的反復(fù)試驗。需要的是用于在開發(fā)事件過濾規(guī)則時幫助領(lǐng)域?qū)<壹捌渌脩舻南到y(tǒng)和方法。
發(fā)明內(nèi)容
在一方面,本發(fā)明的特征在于一種方法,依照該方法,基于描述事件的事件記錄來識別一個或多個事件的序列。確定表示序列中的一些序列之間的距離的相應(yīng)距離值?;诰嚯x值來構(gòu)造目標(biāo)度量空間中的點的配置,其中,每個點表示序列中的相應(yīng)一個序列。在顯示器上呈現(xiàn)該配置的可視表示。本發(fā)明的特征還在于可操作用于實現(xiàn)上述發(fā)明方法的裝置和存儲促使計算機實現(xiàn)上述發(fā)明方法的計算機可讀指令的計算機可讀介質(zhì)。通過以下說明(包括附圖和權(quán)利要求),本發(fā)明的其它特征和優(yōu)點將變得顯而易見。
圖1是事件分析系統(tǒng)的實施例的方框圖。圖2是事件分析方法的實施例的流程圖。圖3是其中已識別了兩個事件序列的示例性事件流的示意圖。圖4是確定目標(biāo)度量空間中的點的配置的多維標(biāo)度方法的實施例的流程圖。圖5是用于圖1的事件分析系統(tǒng)的圖形用戶界面的實施例的示意圖。圖6是用于圖1的事件分析系統(tǒng)的圖形用戶界面的實施例的示意圖,示出將一組序列合并的結(jié)果。圖7是由圖1的事件分析系統(tǒng)的實施例生成的報告的實施例的示意圖,所述報告示出應(yīng)用過濾規(guī)則的結(jié)果。圖8是實現(xiàn)圖1的事件分析系統(tǒng)的實施例的計算機的實施例的方框圖。
具體實施例方式在以下說明中,使用相同的附圖標(biāo)記來識別相同的元件。此外,附圖意圖以圖表的方式來說明示例性實施例的主要特征。附圖并不意圖描繪實際實施例的每個特征或所描繪元件的相對尺寸,并且不是按比例繪制的。
I.介紹
本文所述的實施例提供了使得領(lǐng)域?qū)<壹捌渌脩裟軌蚍治鍪录鞑㈤_發(fā)事件過濾規(guī)則的事件分析系統(tǒng)和方法。某些實施例在事件流內(nèi)發(fā)現(xiàn)顯著的事件序列并提供用于對所發(fā)現(xiàn)的序列進(jìn)行可視化、分析和概括的工具。在這些實施例的某些中,在顯示器上將事件序列可視化為二維配置的點,其中,通過被更接近地分組在一起的點來表示相似的序列并通過更遠(yuǎn)地間隔開的點來表示無關(guān)的序列。此類可視化允許用戶容易地認(rèn)出頻繁地發(fā)生的情形并使得他們能夠容易地針對給定情形將重要事件與不重要事件分離。這樣,這些實施例給用戶提供其能夠用來定義濾出事件的規(guī)則的對于事件數(shù)據(jù)的認(rèn)識。某些實施例提供用于將事件流精煉為事件過濾規(guī)則的工具和用于確認(rèn)那些事件過濾規(guī)則的工具。II.分析事件 A.介紹
圖1示出包括事件映射器12、距離計算器14和可視化引擎16的事件分析系統(tǒng)10的實施例。圖2示出由事件分析系統(tǒng)10實現(xiàn)的事件分析方法的實施例。依照圖2的方法,事件映射器12基于描述一個或多個事件的事件記錄20來識別那些事件的序列(圖2,方框18)。在此過程中,事件映射器12識別相關(guān)事件的序列。事件映射器12生成定義所識別的相關(guān)事件的序列的輸出M。在所示的實施例中,輸出M被傳遞至距離計算器14和可視化引擎16。在其它實施例中,輸出M被以表格或其它數(shù)據(jù)結(jié)構(gòu)的形式存儲在能夠被距離計算器14和可視化引擎16訪問的數(shù)據(jù)庫22中。距離計算器14確定表示序列M中的一些序列之間的距離的相應(yīng)距離值(圖2,方框沈)。通常,用來計算距離值的距離度量可以對應(yīng)于多種不同距離度量中的一個或多個。 下面詳細(xì)地描述在距離計算器14的實施例中用來計算距離值的示例性距離度量。距離計算器14向可視化引擎16傳送包含所計算的距離值的輸出觀??梢暬?6基于距離值觀來構(gòu)造目標(biāo)度量空間中的點的配置(圖2,方框30)。 該配置中的每個點表示事件序列中的相應(yīng)的一個且每個序列中的組成事件對應(yīng)于相應(yīng)點的屬性。目標(biāo)度量空間通常是P維歐幾里得空間,其中,P是大于一的整數(shù)值。在所示的實施例中,目標(biāo)度量空間是二維歐幾里得空間??梢暬?6將成對的序列之間的接近性或相異性轉(zhuǎn)換成目標(biāo)度量空間中的全局結(jié)構(gòu),其中,該全局結(jié)構(gòu)中的點之間的歐幾里得距離反映成對的序列之間的相異性。這樣,相似的序列被更接近地分組在一起且無關(guān)序列被更遠(yuǎn)地間隔開??梢暬?6生成定義點配置的輸出32?;谟煽梢暬?6生成的輸出32,在顯示器34上呈現(xiàn)該配置的可視表示(圖 2,方框36)。在所示的實施例中,目標(biāo)度量空間對應(yīng)于二維歐幾里得空間(即,p=2),并且該配置在顯示器34上被可視化為二維圖像38。在本實施例中,圖像38中的點的不同的大小和陰影表示同一事件序列的不同發(fā)生數(shù)目。在圖像38中,點之間的相對間距反映點之間的相異性的水平。因此,對應(yīng)于相似事件序列的點相互更接近地隔開,并且對應(yīng)于不相似事件序列的點相互更遠(yuǎn)地間隔開。此類可視化允許用戶容易地認(rèn)出頻繁地發(fā)生的情形并使得他們能夠容易地針對給定情形將重要事件與不重要事件分離。這樣,這些實施例給用戶提供其能夠用來定義濾出事件的規(guī)則的對于事件數(shù)據(jù)的認(rèn)識,如下面詳細(xì)描述的。B.將事件與點相關(guān)聯(lián)如上文所述,事件映射器12基于描述一個或多個事件的事件記錄20來識別那些事件的序列(圖2,方框18)。在此過程中,事件記錄20被輸入到事件映射器12中。在所示的實施例中,事件映射器12從數(shù)據(jù)庫22接收事件記錄20,數(shù)據(jù)庫22可以是本地或遠(yuǎn)程數(shù)據(jù)庫。在其它實施例中,事件映射器12可以從另一源接收事件記錄20(例如,直接從最初生成事件記錄20的目標(biāo)系統(tǒng)的事件生成組件接收事件記錄20)。事件記錄20通常對應(yīng)于由目標(biāo)系統(tǒng)(例如,電信網(wǎng)絡(luò)或印刷機)的事件生成組件生成并寫入日志文件的消息。在某些實施例中,每個事件記錄20通常包括報頭字段(例如, 時間戳、源/目的地地址、路由標(biāo)識符、優(yōu)先等級)和有效負(fù)荷數(shù)據(jù),所述有效負(fù)荷數(shù)據(jù)通常包括描述觸發(fā)事件記錄的生成的事件的性質(zhì)的數(shù)據(jù)(例如事件代碼和其它參數(shù)值)。在某些實施例中,由提取、傳輸和加載(ETL)應(yīng)用來處理事件記錄20,所述應(yīng)用處理事件日志文件 (例如通過執(zhí)行諸如數(shù)據(jù)清潔的常規(guī)倉庫功能),將已處理事件數(shù)據(jù)格式化成預(yù)定義記錄格式,并將結(jié)果得到的事件記錄20加載到數(shù)據(jù)庫22中。事件映射器12處理事件記錄20以識別相關(guān)事件(例如,涉及同一物理現(xiàn)象或問題的事件)的序列。在某些實施例中,事件記錄20通常對應(yīng)于按照與事件相關(guān)聯(lián)的參數(shù)值(例如,諸如時間戳值的時間參數(shù)值或諸如序列號值的其它參數(shù)值)排序的事件的相應(yīng)序列(或級聯(lián))。在這些實施例中,事件映射器12解析事件記錄20以得到先后順序信息(例如,時間戳數(shù)據(jù)或序列號數(shù)據(jù))和描述對應(yīng)事件的有效負(fù)荷數(shù)據(jù)。事件映射器12然后基于一個或多個領(lǐng)域特定序列定義來識別事件序列。示例性序列定義通常包括定義事件序列的開始的至少一個打開(opening)條件和定義事件序列的結(jié)束的至少一個關(guān)閉(closing)條件。通常在基于正在被監(jiān)視的系統(tǒng)的領(lǐng)域特定知識提出的打開和關(guān)閉定義的廣泛測試和確認(rèn)之后確定打開和關(guān)閉條件。在一個示例性實施例中,已經(jīng)針對可從美國加利福尼亞州帕洛阿爾托市的惠普公司獲得的INDIGO 數(shù)字印刷機的實施例定義了以下打開和關(guān)閉條件。打開序列條件
在印刷機正在印刷的同時發(fā)生并將促使印刷機在緊接著的時間幀中停止印刷的事件(機器狀態(tài)=PRINT_STATE (印刷狀態(tài))且事件緊急程度=ERRURG_IMMEDIATELY或 ERRURG_SEPERATI0N)o關(guān)閉序列條件
PRINT_JOB_INTERRUPT (印刷作業(yè)中斷)事件之后η秒(通常η = 2)?!腜RINT_STATE到非印刷狀態(tài)的機器狀態(tài)變化?!ぷ詮男蛄斜淮蜷_以來已經(jīng)印刷了 k個印刷品(通常k = 7)。·自從序列被打開以來已逝去了 y秒(通常y = 15)?!ば碌淖鳂I(yè)開始印刷,即發(fā)生PRINT_JOB_START (印刷作業(yè)開始)事件。事件映射器12通過向經(jīng)解析的事件記錄數(shù)據(jù)應(yīng)用打開和關(guān)閉條件來識別事件序列。圖3示出其中已經(jīng)識別了兩個事件序列44、46的事件42的示例性流40。在某些實施例中,事件映射器12生成將事件記錄20與已識別序列中的相應(yīng)一些序列相關(guān)聯(lián)的數(shù)據(jù)結(jié)構(gòu)(例如,表格)。C.確定距離 1.介紹如上文所述,距離計算器14確定表示點M中的一些點之間的距離的相應(yīng)距離值(圖2, 方框26)。通常,用來計算距離值的距離度量可以對應(yīng)于多種不同距離度量中的一個或多個。在某些實施例中,距離度量反映點的組成事件之間的固有差異。在這些實施例的某些中,距離度量對于反映正在被監(jiān)視的系統(tǒng)中的不同問題的事件序列產(chǎn)生較大的距離值,并在反映相同問題的事件序列之間產(chǎn)生較低(例如,非常低,或者甚至為零)的值。定義距離度量的過程通常取決于正在被監(jiān)視的系統(tǒng)的詳細(xì)知識。可以使用各種不同的距離度量來計算距離觀,包括但不限于以下距離度量及其變化
有序距離度量
余弦距離度量(例如,無序距離度量) 部分有序距離度量 Jaccard距離度量
可以單獨地或相組合地使用這些距離度量。2.有序距離度量
有序距離度量(也稱為“編輯距離”)基于通過替換事件、刪除事件和插入事件來將一個序列轉(zhuǎn)換成另一個的確定的成本來測量事件序列之間的距離,其中,可以根據(jù)與事件相關(guān)聯(lián)的一個或多個參數(shù)(例如,事件類型)不同地對每個操作的成本進(jìn)行加權(quán)。在某些實施例中,將一對事件序列Sl和s2之間的有序距離度量定義為將Sl變成 s2所需的點變化的最小數(shù)目,其中,點變化是(1)改變事件;(2)插入事件;或(3)刪除事件中的一個。可以以多種不同的方式來計算有序距離度量。在某些實施例中,基于在網(wǎng)站 www. esse, monash. edu. au/ lloyd/tildeAlgDS/ Dynamic/Edit/中描述的動態(tài)編程方法來計算有序距離度量。依照該方法,以下遞推關(guān)系定義串si和s2之間的有序距離d(sl,s2)
權(quán)利要求
1.一種事件分析方法,包括基于描述一個或多個事件的事件記錄(20)來識別所述事件的序列(44、46);確定表示所述序列(44、46)中的一些序列之間的距離的相應(yīng)距離值(28);基于距離值(28)來構(gòu)造目標(biāo)度量空間中的點的配置,其中,每個點表示所述序列(44、 46)中的相應(yīng)一個;以及在顯示器(34 )上呈現(xiàn)所述配置的可視表示(38 )。
2.權(quán)利要求1的方法,其中,所述識別包括基于一個或多個序列定義來識別事件序列 (44、46),其中,每個序列定義包括定義事件序列的開始的至少一個條件和定義事件序列的結(jié)束的至少一個條件。
3.權(quán)利要求1的方法,其中,所述確定包括基于距離度量來查明成對序列(44、46)之間的相應(yīng)距離。
4.權(quán)利要求3的方法,其中,所述查明包括基于分配給事件中的相應(yīng)事件的可變權(quán)重值來確定所述距離。
5.權(quán)利要求1的方法,還包括在顯示器(34)上呈現(xiàn)使得用戶能夠?qū)κ录蛄?44、46) 中的一些事件序列執(zhí)行操作的圖形用戶界面(62、100)。
6.權(quán)利要求5的方法,還包括響應(yīng)于通過圖形用戶界面(62、100)接收到的用戶輸入來將事件序列(44、46)中的一些事件序列合并。
7.權(quán)利要求6的方法,其中,所述合并包括識別在事件序列(44、46)間被共同地共享的事件,并且還包括以識別所識別的事件的相應(yīng)排序的格式在圖形用戶界面(100)中呈現(xiàn)所識別的事件。
8.權(quán)利要求7的方法,還包括在圖形用戶界面(100)中顯示滿足所識別的事件的相應(yīng)排序的事件列表。
9.權(quán)利要求5的方法,其中,所述識別包括解析事件記錄(20)的流,基于該解析來識別一組事件序列(44、46),并基于通過圖形用戶界面(62)接收到的用戶輸入來選擇已識別組中的一個或多個事件序列。
10.權(quán)利要求5的方法,還包括在圖形用戶界面(62)中呈現(xiàn)一個或多個用戶可選距離度量,并且其中,所述確定包括基于所述距離度量中的用戶選擇的一個所選距離度量來查明成對序列(44、46)之間的相應(yīng)距離。
11.權(quán)利要求5的方法,還包括接收事件過濾規(guī)則的用戶指定,針對一組事件序列 (44,46)應(yīng)用所指定的事件過濾規(guī)則,并在顯示器(34)上呈現(xiàn)滿足指定的事件過濾規(guī)則的事件序列(44、46)中的一些和未能滿足指定的事件過濾規(guī)則的所述組中的事件序列(44、 46)中的一些。
12.—種事件分析系統(tǒng),包括計算機可讀存儲器(124、128),其存儲計算機可讀指令;以及耦合到所述存儲器(1對、1觀)的數(shù)據(jù)處理單元(122),其在操作中用于執(zhí)行所述指令并至少部分地基于所述指令的執(zhí)行在操作中用于實施包括以下步驟的操作基于描述一個或多個事件的事件記錄(20)來識別所述事件的序列(44、46);確定表示所述序列(44、46)中的一些序列之間的距離的相應(yīng)距離值(28);基于距離值(28)來構(gòu)造目標(biāo)度量空間中的點的配置,其中,每個點表示所述序列(44、46)中的相應(yīng)一個;以及在顯示器(34)上呈現(xiàn)所述配置的可視表示(38)。
13.權(quán)利要求12的設(shè)備,其中,基于所述指令的執(zhí)行,數(shù)據(jù)處理單元(122)在操作中用于實施包括以下步驟的操作在顯示器(34)上呈現(xiàn)包括使得用戶能夠?qū)κ录蛄?44、46) 中的一些事件序列實施包括以下至少之一的操作的界面的圖形用戶界面(62、100):選擇在所述確定時使用的多個距離度量中的一個;將序列(44、46)中的一些合并;以及針對一組事件序列(44、46)應(yīng)用所指定的事件過濾規(guī)則,并在顯示器(34)上呈現(xiàn)滿足指定的事件過濾規(guī)則的事件序列(44、46)中的一些和未能滿足指定的事件過濾規(guī)則的所述組中的事件序列(44、46)中的一些。
14.一種存儲計算機可讀指令的計算機可讀介質(zhì),所述計算機可讀指令在被計算機執(zhí)行時促使計算機實施包括以下步驟的操作基于描述一個或多個事件的事件記錄(20)來識別所述事件的序列(44、46); 確定表示所述序列(44、46)中的一些序列之間的距離的相應(yīng)距離值(28); 基于距離值(28)來構(gòu)造目標(biāo)度量空間中的點的配置,其中,每個點表示所述序列(44、 46)中的相應(yīng)一個;以及在顯示器(34 )上呈現(xiàn)所述配置的可視表示(38 )。
15.權(quán)利要求14的計算機可讀介質(zhì),其中,在被計算執(zhí)行時,所述計算機可讀指令促使計算機實施包括以下步驟的操作在顯示器(34)上呈現(xiàn)包括使得用戶能夠?qū)κ录蛄兄械囊恍┦录蛄袑嵤┌ㄒ韵轮辽僦坏牟僮鞯慕缑娴膱D形用戶界面(62、100):選擇在所述確定時使用的多個距離度量中的一個;將序列(44、46)中的一些合并;以及針對一組事件序列(44、46)應(yīng)用所指定的事件過濾規(guī)則,并在顯示器(34)上呈現(xiàn)滿足指定的事件過濾規(guī)則的事件序列(44、46)中的一些和未能滿足指定的事件過濾規(guī)則的所述組中的事件序列(44、46)中的一些。
全文摘要
其中基于描述一個或多個事件的事件記錄(20)來識別所述事件的序列(44、46)的事件分析方法和設(shè)備。確定表示所述序列(44、46)中的一些之間的距離的相應(yīng)距離值(28)。基于距離值(28)來構(gòu)造目標(biāo)度量空間中的點的配置,其中,每個點表示序列(44、46)中的相應(yīng)一個。在顯示器(34)上呈現(xiàn)所述配置的可視表示(38)。
文檔編號G06F17/00GK102257487SQ200880132252
公開日2011年11月23日 申請日期2008年10月7日 優(yōu)先權(quán)日2008年10月7日
發(fā)明者斯泰林 C., 拉姆·阿拉德, 查?!ち_斯鮑姆, 邁克爾·阿哈倫, 魯思·伯格曼 申請人:惠普開發(fā)有限公司