向量空间中的日志分析制造技术

本公开的实施例涉及向量空间中的日志分析。所公开的实施例基于对系统日志文件的分析来提供补救动作的标识。在一些示例实施例中，来自系统日志文件的消息被用作输入以在向量空间内生成向量。日志消息的各部分可以生成集群到向量空间中的区域中的向量。向量空间的区域与一个或多个补救动作相关联。在一些示例实施例中，所公开的实施例被配置为：在日志文件中的活动映射到向量空间的与一个或多个补救动作相关联的区域时，执行一个或多个补救动作。在一些示例实施例中，补救动作可以包括将问题报告提交给问题跟踪数据库。问题报告提交给问题跟踪数据库。问题报告提交给问题跟踪数据库。

【技术实现步骤摘要】
向量空间中的日志分析


[0001]本申请总体上涉及由计算机系统生成的日志文件的分析。具体地，一些实施例采用机器学习技术将日志文件信息与已知系统行为的数据库相关。

技术介绍

[0002]许多计算机系统在正常操作期间遇到异常状况。这些状况可以在日志文件中被注明。随着时间的流逝，描述在系统操作期间发生的各种状况的条目集合被创建。当系统无法正常执行其功能时，可以分析日志文件以确定问题的原因和可能的解决方案。但是，这种分析只有在问题已经发生之后才发生，这导致至少损失了系统的一些生产能力。因此，需要监测计算机系统的改进的方法。

技术实现思路

[0003]根据本公开的一些实施例，提供了一种方法，包括：基于准则，将多个日志消息分配给第一消息块；基于被分配给第一消息块的消息的内容，在向量空间中生成消息块向量；确定向量空间中的消息块向量的位置在向量空间中的经定义的体积内，经定义的体积与补救动作相关联；基于确定，执行补救动作。
[0004]根据本公开的另一些实施例，提供了一种包括指令的非瞬态计算机可读存储介质，该指令在被执行时将硬件处理电路配置为执行操作，操作包括：基于准则，将多个日志消息分配给第一消息块；基于被分配给第一消息块的消息的内容，在向量空间中生成消息块向量；确定向量空间中的消息块向量的位置在向量空间中的经定义的体积内，经定义的体积与补救动作相关联；基于确定，执行补救动作。
[0005]根据本公开的又一些实施例，提供了一种系统，包括：硬件处理电路；存储指令的一个或多个硬件存储器，该指令在被执行时将硬件处理电路配置为执行操作，操作包括：基于准则，将多个日志消息分配给第一消息块；基于被分配给第一消息块的消息的内容，在向量空间中生成消息块向量；确定向量空间中的消息块向量的位置在向量空间中的经定义的体积内，经定义的体积与补救动作相关联；基于确定，执行补救动作。
附图说明
[0006]在附图的各个图中以示例而非限制的方式图示了本公开，其中相似的附图标记指示相似的元素，并且其中：
[0007]图1是实现一个或多个所公开的实施例的示例系统的概览图。
[0008]图2是实现一个或多个所公开的实施例的示例接入点的框图。
[0009]图3A是示出对一个或多个所公开的实施例中的日志数据的处理的数据流程图。
[0010]图3B示出了示例网络管理装置。
[0011]图4示出了示例网络节点。
[0012]图5示出了示例通信设备。
[0013]图6A图示了可以被包括在一个或多个设备的系统日志中的示例消息600A。
[0014]图6B图示了来自在将上面讨论的一种或多种启发法应用于图6A中所图示的日志条目之后的、缩减的系统日志的示例消息。
[0015]图7A示出了由对图6B的消息的分析得出的示例表。
[0016]图7B图示了可以由一个或多个所公开的实施例生成的、消息块到消息块向量的示例映射。
[0017]图8是用于训练和信息存储过程的方法的流程图。
[0018]图9是可以在一个或多个所公开的实施例中实现的用于检测消息块的方法的流程图。
[0019]图10是用于生成针对消息块的消息块向量的方法的流程图。
[0020]图11是示出了在处理块中的每个消息时如何递增地更新消息块向量的序列图。
[0021]图12A是用于标识由于日志文件中包括的一个或多个消息而要被采取的补救动作的示例方法的流程图。
[0022]图12B是在一些实施例中用于生成消息块向量的示例方法的流程图。
[0023]图12C是在一些实施例中用于生成消息块向量的示例方法的流程图。
[0024]图13图示了可以由一个或多个所公开的实施例实现的示例数据结构。
[0025]图14图示了在其上可以执行本文所讨论的任何一种或多种技术(例如方法)的示例机器的框图。
具体实施方式
[0026]以下描述和附图充分图示了特定实施例，以使本领域技术人员能够实践它们。其他实施例可以并入结构、逻辑、电气、过程和其他变化。一些实施例的部分和特征可以被包括在其他实施例的那些部分或特征中，或代替其他实施例的那些部分或特征。权利要求中阐述的实施例涵盖那些权利要求的所有可用等效物。
[0027]提供所公开的实施例以用于对经由网络系统的日志消息所提供的信息的分析和表征。联网或分布式系统频繁提供系统日志。系统日志记录关于操作期间的系统操作的信息。在正常操作期间，可以生成一些日志消息以记录系统的操作参数。在特殊情形期间，生成附加日志消息以记录有助于诊断和解决可能存在的难题(issue)的信息。
[0028]当出现问题时，负责维护联网或分布式系统的工程师可以查阅系统日志以深入了解其操作，并制定故障排除策略。
[0029]提供所公开的实施例以用于向量空间中的这种系统日志的分析。在一些实施例中，个体日志消息被分组为相关消息的块。该分组可以基于每个消息的到达或生成时间。例如，彼此的阈值逝去时间内的消息可以被分组为一个块。备选地，可以基于消息本身的内容来对消息进行分组。例如，在一些方面，可以将由共同计算机/设备、共同软件组件或模块、或共同子系统所生成的消息分组为消息块。在一些情况下，基于消息满足多个准则(例如，在彼此的逝去时间内并由共同设备生成)来对消息进行分组。
[0030]可以对消息进行处理以从每个消息中移除不太相关的信息。例如，在一些方面，对消息进行处理以移除字段标签、标点符号或其他不太相关的信息。然后基于被分配给消息块的消息的内容生成向量。当附加消息被分配给特定块时，将重新生成针对消息块的向量。
[0031]针对消息块生成的向量对应于向量空间。在一些实施例中，消息块是特定的第一系统问题或难题的症状。通过将向量投影到向量空间中，可以在向量空间中定义包括该向量的体积(volume)。然后，该体积或集群可以与特定的系统问题或难题相关联。每个特定的问题或难题也可以与一个或多个补救动作相关联。因此，所公开的实施例还可以将一个或多个动作与向量空间中的体积或集群相关联。
[0032]因此，如果第二消息块(从第二系统难题中得出)被标识有也落入经定义的体积内的所得向量，则所公开的实施例可以推断：与第一难题类似的第二难题本身已经存在，并且与第一难题相关联的补救动作也适用于第二难题。
[0033]因此，提供所公开的实施例以用于在解决网络或分布式系统难题时的改进的响应时间。通过将块内的消息投影到向量空间中，可以关联类似的难题，使得共同的根本原因和/或补救动作可以被标识。
[0034]图1是实现一个或多个所公开的实施例的示例系统100的概览图。示例系统100包括：多个接入点(AP 1 142、
…
、AP X 144、AP 1'150、...、AP X'152)，其中接入点可以是无线接入点、路由器、交换机或能够提供网络接入的任何其他设备；多个认证、授权和记账(AAA)服务器(作为示例仅示出一个AAA服务器110)本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，包括：基于准则，将多个日志消息分配给第一消息块；基于被分配给所述第一消息块的所述消息的内容，在向量空间中生成消息块向量；确定所述向量空间中的所述消息块向量的位置在所述向量空间中的经定义的体积内，所述经定义的体积与补救动作相关联；基于所述确定，执行所述补救动作。2.根据权利要求1所述的方法，还包括：针对所述多个日志消息中的每个日志消息，生成消息向量，其中所述消息块向量的所述生成基于所述消息向量中的每个消息向量。3.根据权利要求1所述的方法，还包括：接收第一日志消息；将所述第一日志消息分配给第二消息块；基于所述分配，基于被分配给包括所述第一日志消息的所述第二消息块的消息，在所述向量空间中生成第二消息块向量；第二确定所述向量空间中的所述第二消息块向量的第二位置不在所述向量空间中的经定义的体积内；以及响应于所述第二确定，禁止任何补救动作的执行。4.根据权利要求3所述的方法，还包括：基于第二准则，将第二多个消息分配给所述第二消息块；基于所述第二多个消息和所述第一日志消息，生成第三消息块向量；第三确定所述向量空间中的所述第三消息块向量的第三位置在所述向量空间中的第二经定义的体积内；以及响应于所述第三确定，选择性地执行与所述第二体积相关联的第二补救动作。5.根据权利要求1所述的方法，其中所述消息块向量的所述生成包括将所述多个日志消息的内容提供给机器学习算法，并且所述机器学习算法输出所述消息块向量。6.根据权利要求1所述的方法，还包括：第一确定第一日志消息不满足所述准则，并且第二确定所述第一日志消息满足与第二消息块相关联的第二准则，以及响应于所述第一确定和所述第二确定，将所述第一日志消息与所述第二消息块相关联。7.一种包括指令的非瞬态计算机可读存储介质，所述指令在被执行时将硬件处理电路配置为执行操作，所述操作包括：基于准则，将多个日志消息分配给第一消息块；基于被分配给所述第一消息块的所述消息的内容，在向量空间中生成消息块向量；确定所述向量空间中的所述消息块向量的位置在所述向量空间中的经定义的体积内，所述经定义的体积与补救动作相关联；基于所述确定，执行所述补救动作。8.根据权利要求7所述的非瞬态计算机可读存储介质，所述操作还包括：针对所述多个日志消息中的每个日志消息，生成消息向量，其中所述消息块向量的所述生成基于所述消息向量中的每个消息向量。9.根据权利要求7所述的非瞬态计算机可读存储介质，所述操作还包括：接收第一日志消息；
将所述第一日志消息分配给第二消息块；基于所述分配，基于被分配给包括所述第一日志消息的所述第二消息块的消息，在所述向量空间中生成第二消息块向量；第二确定所述向量空间中的所述第二消息块向量的第二位置不在所述向量空间中的经定义的体积内；以及响应于所述第二确定，禁止任何补救动作的执行。10.根据权利要求9所述的非瞬...

【专利技术属性】
技术研发人员：王继生，G，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：