The application provides an alarm root cause analysis method, device, device and storage medium, which relates to the field of operation and maintenance technology. This application provides a dual correlation-based method for root cause analysis of alarms, which can integrate the temporal correlation of different alarms and the topological correlation of different alarms to extract root cause alarm information from a large number of alarms. By clustering multiple alarms based on the temporal correlation information of alarms, the root cause alarm information can be obtained according to the target classes that meet the topological correlation conditions. The alarm with strong correlation in both time sequence and topology can be screened out, while the noise information with occasional adjacent in time and the noise information with occasional adjacent in topology can be filtered out, thus the alarm root can be avoided by noise information. \u56e0\u5206\u6790\u7684\u5e72\u6270\uff0c\u63d0\u9ad8\u544a\u8b66\u6839\u56e0\u5206\u6790\u7684\u51c6\u786e\u6027\u3002 At the same time, it does not need a lot of business domain knowledge, nor does it need to define reasoning rules manually, which saves the cost of alarm root cause analysis.
【技术实现步骤摘要】
告警根因分析方法、装置、设备及存储介质
本申请涉及运维
,特别涉及一种告警根因分析方法、装置、设备及存储介质。
技术介绍
在运维技术中,告警是指被管理的网元在检测到异常事件时生成的通知消息,告警可以视为网元对该异常事件的响应。随着网元数量的飞速增长、网络规模逐渐扩大、网络架构日益复杂,网络在运行时每天都会产生海量的告警,需要分析这些告警中的根因告警,以便根据根因告警定位故障。目前在进行告警根因分析时,会将任一时间窗划分为多个时间段,获取该时间窗的多个告警,根据每个告警的发生时间,确定每个告警对应的时间段。之后,将每个时间段作为一个项集,得到多个项集。之后,采用关联规则挖掘算法,根据每个项集中告警的数量、每个项集的支持度以及置信度,对所有项集进行频繁项集挖掘,得到支持度大于支持度阈值且置信度大于置信度阈值的频繁项集。之后,对频繁项集进行根因推理,输出告警关联规则,该告警关联规则包括多个告警,其中一个告警是告警关联规则中该告警以外的其他告警的根因告警,因此通过告警关联规则,即可确定根因告警。由于网络在运行时经常产生噪声信息,导致获取到的告警通常也会混杂大量的噪声...
【技术保护点】
1.一种告警根因分析方法,其特征在于,所述方法包括:获取多个告警;基于所述多个告警的时序关联信息,对所述多个告警进行聚类,得到至少一个类,所述时序关联信息用于指示不同告警在时间维度的关联程度;基于所述至少一个类的拓扑关联信息,获取所述至少一个类中的目标类,所述拓扑关联信息用于指示对应类中不同告警在空间维度的关联程度,所述目标类的拓扑关联信息符合拓扑关联条件;基于至少一个所述目标类,输出根因告警信息。
【技术特征摘要】
1.一种告警根因分析方法,其特征在于,所述方法包括:获取多个告警;基于所述多个告警的时序关联信息,对所述多个告警进行聚类,得到至少一个类,所述时序关联信息用于指示不同告警在时间维度的关联程度;基于所述至少一个类的拓扑关联信息,获取所述至少一个类中的目标类,所述拓扑关联信息用于指示对应类中不同告警在空间维度的关联程度,所述目标类的拓扑关联信息符合拓扑关联条件;基于至少一个所述目标类,输出根因告警信息。2.根据权利要求1所述的方法,其特征在于,所述基于所述多个告警的时序关联信息,对所述多个告警进行聚类,包括:基于所述多个告警的时序关联信息,对所述多个告警进行递归聚类。3.根据权利要求2所述的方法,其特征在于,所述基于所述多个告警的时序关联信息,对所述多个告警进行递归聚类,包括:对于至少一层递归中的当前层递归,基于所述当前层递归的类的时序关联信息,对所述当前层递归的类中的多个告警进行聚类,得到所述当前层递归的类的至少一个子类。4.根据权利要求3所述的方法,其特征在于,所述基于所述至少一个类的拓扑关联信息,获取所述至少一个类中的目标类,包括:基于所述当前层递归的类的拓扑关联信息,确定所述当前层递归的类符合所述拓扑关联条件;结束递归聚类,将所述当前层递归的类输出为目标类;或者,基于所述当前层递归的类的拓扑关联信息,确定所述当前层递归的类不符合所述拓扑关联条件;将所述当前层递归的类的子类作为所述当前层递归的下一层递归的类,执行所述下一层递归。5.根据权利要求1所述的方法,其特征在于,所述基于所述至少一个类的拓扑关联信息,获取所述至少一个类中的目标类之前,所述方法还包括:根据所述类中的告警以及所述多个告警的告警源拓扑,生成至少一个告警链,每个告警链用于指示所述类中至少一个告警的传播流程;根据所述至少一个告警链,获取所述类的拓扑关联信息。6.根据权利要求5所述的方法,其特征在于,所述根据所述至少一个告警链,获取所述类的拓扑关联信息,包括下述至少一个步骤:根据每个告警链对应的告警的数量、所述至少一个告警链的数量以及所述类中告警的总数量中的至少一项,获取所述类的拓扑熵,所述拓扑熵用于指示所述类中告警分布在所述至少一个告警链的混乱程度;根据每个告警链中相邻告警源的数量,获取所述类的第一拓扑分数,所述第一拓扑分数与所述相邻告警源的数量正相关;根据每个告警链中告警源在所述告警源拓扑中的层数,获取所述类的第二拓扑分数,所述第二拓扑分数与所述层数正相关。7.根据权利要求5所述的方法,其特征在于,所述根据所述类中的告警以及所述多个告警的告警源拓扑,生成至少一个告警链,包括:从所述告警源拓扑中获取至少一个拓扑链;根据所述类中的告警的告警源,将所述类中的告警分配给所述至少一个拓扑链中对应的告警源;对于所述至少一个拓扑链中的任一拓扑链,根据所述拓扑链中已分配告警的至少一个告警源,生成一个告警链。8.根据权利要求5所述的方法,其特征在于,所述方法还包括:遍历所述类中的告警的至少一种分配方式,得到所述至少一种分配方式对应的至少一个告警链集合;相应地,所述根据所述至少一个告警链,获取所述类的拓扑关联信息,包括:获取所述类的至少一个告警链集合的拓扑关联信息;根据所述至少一个告警链集合的拓扑关联信息,选取所述至少一个告警链集合中拓扑关联程度最高的目标告警链集合;根据所述目标告警链集合中的至少一个告警链,获取所述类的拓扑关联信息。9.根据权利要求1所述的方法,其特征在于,所述基于所述至少一个类的拓扑关联信息,获取所述至少一个类中的目标类,包括下述至少一个步骤:对于所述至少一个类中的任一类,当所述类的拓扑熵小于所述类的至少一个子类的拓扑熵时,将所述类获取为目标类;对于所述至少一个类中的任一类,当所述类的拓扑熵小于拓扑熵阈值时,将所述类获取为目标类;对于所述至少一个类中的任一类,当所述类的第一拓扑分数大于所述所述类的至少一个子类的第一拓扑分数时,将所述类获取为目标类;对于所述至少一个类中的任一类,当所述类的第一拓扑分数大于第一拓扑分数阈值时,将所述类获取为目标类;对于所述至少一个类中的任一类,当所述类的第二拓扑分数大于所述类的至少一个子类的第二拓扑分数时,将所述类获取为目标类;对于所述至少一个类中的任一类,当所述类的第二拓扑分数大于第二拓扑分数阈值时,将所述类获取为目标类。10.根据权利要求1至9任一项所述的方法,其特征在于,所述基于所述多个告警的时序关联信息,对所述多个告警进行聚类之前,所述方法还包括:根据所述多个告警的发生时间,获取所述多个告警的向量,每个向量用于指示对应告警的发生时间;对于所述多个告警中的任两个告警,根据所述两个告警的向量之间的距离或相似度,获取所述两个告警的时序关联信息。11.根据权利要求1所述的方法,其特征在于,所述基于至少一个所述目标类,输出根因告警信息,包括:将至少一个所述目标类的至少一个告警链输出为所述根因告警信息。12.一种计算设...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。