經(jīng)由增量的系統(tǒng)警報(bào)關(guān)聯(lián)的制作方法
【專利摘要】概括而言����,提供了針對(duì)經(jīng)由增量對(duì)系統(tǒng)警報(bào)的關(guān)聯(lián)的技術(shù)?����?梢酝ㄟ^將每個(gè)警報(bào)與時(shí)間上在其周圍的����、至多到特定的時(shí)間窗口的警報(bào)進(jìn)行比較而生成警報(bào)對(duì)。接著,可以計(jì)算每一個(gè)警報(bào)對(duì)的增量����,并且分析那些增量的集合以確定數(shù)值方面的差值?��?梢詫㈤撝祽?yīng)用于數(shù)值�����,并且在彼此的某距離內(nèi)的警報(bào)被認(rèn)為表示關(guān)聯(lián)�����。接著,每個(gè)警報(bào)被提供有所有其他相關(guān)的警報(bào)���,因此降低了監(jiān)視噪聲��,并且使得對(duì)警報(bào)的根本原因的標(biāo)識(shí)更加容易��。
【專利說明】經(jīng)由増量的系統(tǒng)譬報(bào)關(guān)聯(lián)
【背景技術(shù)】
[0001] 在任何高度可用的復(fù)雜的分布式系統(tǒng)(例如��,基于云的電子郵件服務(wù))中���,系統(tǒng)維 護(hù)的一個(gè)關(guān)鍵方面是監(jiān)視系統(tǒng)的健康狀態(tài)W確保該系統(tǒng)確實(shí)可用����。由于警報(bào)是從許多不同 的硬件組件和軟件組件發(fā)出的�����,因此監(jiān)視可能會(huì)高度復(fù)雜并且存在噪聲�。經(jīng)常地,單個(gè)根本 原因問題可W生成多于一個(gè)警報(bào)�����,并且有時(shí)可W從許多不同的組件中生成許多警報(bào)�����。無論 是手動(dòng)地或者自動(dòng)地處理運(yùn)些警報(bào)都可能是困難的���、昂貴的�,并且如果該警報(bào)被單獨(dú)處理���, 還有可能自我失?����。╯elf-defeating)��。
[0002] 在復(fù)雜的分布式系統(tǒng)中將多個(gè)有關(guān)的警報(bào)關(guān)聯(lián)在一起可W用于確保更快且更準(zhǔn) 確地標(biāo)識(shí)和處理每個(gè)根本原因��。針對(duì)運(yùn)樣的關(guān)聯(lián)的典型的方法可W包括將每個(gè)警報(bào)作為η 維空間中的點(diǎn)��,并且使用聚類或其他機(jī)器學(xué)習(xí)技術(shù)來對(duì)關(guān)系進(jìn)行標(biāo)識(shí)�����。運(yùn)可能會(huì)有困難����,因 為不是所有的實(shí)質(zhì)屬性都可W輕易地用數(shù)值來表征。此外��,由于系統(tǒng)特性會(huì)變化�����,因此之前 所形成的聚類可能不能創(chuàng)建針對(duì)未來進(jìn)行概括的好的規(guī)則����。
【發(fā)明內(nèi)容】
[0003] 提供了該
【發(fā)明內(nèi)容】
W用簡(jiǎn)化的形式介紹在下文的【具體實(shí)施方式】中所進(jìn)一步描述 的概念的選擇。該
【發(fā)明內(nèi)容】
不旨在排他性地標(biāo)識(shí)所要求保護(hù)的主題的關(guān)鍵特征或本質(zhì)特 征��,也不旨在用于幫助確定所要求保護(hù)的主題的范圍����。
[0004] 實(shí)施例針對(duì)經(jīng)由增量的系統(tǒng)警報(bào)的關(guān)聯(lián),所述增量是對(duì)警報(bào)之間的"距離"和"相 似度"的測(cè)量�����。在一些示例中����,可W通過將每個(gè)警報(bào)與時(shí)間上在其周圍的、至多到特定的時(shí) 間窗口的警報(bào)進(jìn)行比較而生成警報(bào)對(duì)���。接著��,可W計(jì)算每一個(gè)警報(bào)對(duì)的增量����,并且分析那些 增量的集合W確定數(shù)值方面的差值����?�?蒞將闊值應(yīng)用于數(shù)值��,并且在彼此的一定距離內(nèi)的 警報(bào)被認(rèn)為表示關(guān)聯(lián)���。接著,每個(gè)警報(bào)被提供有所有其他有關(guān)的警報(bào)����,因此降低了監(jiān)視噪聲 并且使得對(duì)警報(bào)的根本原因的標(biāo)識(shí)更加容易。
[0005] 運(yùn)些W及其他特征和優(yōu)點(diǎn)將從W下的【具體實(shí)施方式】的閱讀和對(duì)相關(guān)聯(lián)的附圖的 回顧中顯而易見����。應(yīng)當(dāng)理解的是,前述的一般性描述和W下的【具體實(shí)施方式】都是解釋性的���, 而不限制所要求保護(hù)的方面����。
【附圖說明】
[0006] 圖1示出了基于云的示例環(huán)境���,其中,可W通過對(duì)增量進(jìn)行使用的關(guān)聯(lián)而分析警 報(bào)����。
[0007] 圖2示出了針對(duì)兩個(gè)示例警報(bào)的增量的概念性計(jì)算����。
[0008] 圖3示出了經(jīng)由警報(bào)對(duì)的增量的計(jì)算W及與闊值的比較對(duì)警報(bào)的關(guān)聯(lián)的框圖����。
[0009] 圖4是網(wǎng)絡(luò)化環(huán)境,其中�����,可W實(shí)現(xiàn)根據(jù)實(shí)施例的系統(tǒng)�����。
[0010] 圖5是示例計(jì)算操作環(huán)境的框圖����,其中,可W實(shí)現(xiàn)實(shí)施例;并且
[0011] 圖6示出了根據(jù)實(shí)施例的針對(duì)經(jīng)由增量而將系統(tǒng)警報(bào)關(guān)聯(lián)起來的過程的邏輯流程 圖��。
【具體實(shí)施方式】
[0012] 如在上文中簡(jiǎn)要地描述的�����,提供了系統(tǒng)W用于監(jiān)視具有大量組件的復(fù)雜的、分布 式系統(tǒng)中的系統(tǒng)警報(bào)����。可W通過將每個(gè)警報(bào)與時(shí)間上在其周圍的警報(bào)進(jìn)行比較而生成警報(bào) 對(duì)�����。接著�����,可W計(jì)算針對(duì)每個(gè)警報(bào)對(duì)的增量���,并且可W分析那些增量的集合W用于確定在數(shù) 值方面的差值�����?��?蒞將數(shù)值與闊值進(jìn)行比較W找到在彼此的一定距離內(nèi)的、被認(rèn)為表示關(guān) 聯(lián)(corr e lat i on)的警報(bào)��。
[0013] 在W下的【具體實(shí)施方式】中���,對(duì)形成了其一部分并且在其中作為說明而示出了具體 的實(shí)施例或示例的附圖進(jìn)行了參考���。可W組合運(yùn)些方面���、可W利用其它方面�����、并且可W做出 結(jié)構(gòu)改變而不脫離本公開的精神或范圍��。因此���,W下的【具體實(shí)施方式】將不被看作是限制性 意義,并且本發(fā)明的范圍是由所附權(quán)利要求及其等同物所限定的�。
[0014] 盡管將在結(jié)合在個(gè)人計(jì)算機(jī)的操作系統(tǒng)上運(yùn)行的應(yīng)用程序而執(zhí)行的程序模塊的 一般性的上下文中描述一些實(shí)施例,但是本領(lǐng)域技術(shù)人員將理解的是�����,也可W結(jié)合其它程 序模塊來實(shí)現(xiàn)運(yùn)些方面�。
[0015] 通常而言,程序模塊包括例程�、程序�、組件�、數(shù)據(jù)結(jié)構(gòu)、W及執(zhí)行特定的任務(wù)或?qū)崿F(xiàn) 特定的抽象數(shù)據(jù)類型的其他類型的結(jié)構(gòu)����。此外,本領(lǐng)域技術(shù)人員將理解的是��,可W利用包括 手持設(shè)備����、多處理器系統(tǒng)、基于微處理器的或可編程的消費(fèi)性電子產(chǎn)品�、微型計(jì)算機(jī)、大型 計(jì)算機(jī)����、W及類似的計(jì)算設(shè)備在內(nèi)的其它計(jì)算機(jī)系統(tǒng)配置來實(shí)踐實(shí)施例。還可W在其中任 務(wù)是由通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備來執(zhí)行的分布式計(jì)算環(huán)境中實(shí)現(xiàn)實(shí)施例�。在分布 式計(jì)算環(huán)境中,程序模塊既可W位于本地的存儲(chǔ)器存儲(chǔ)設(shè)備中�����,也可W位于遠(yuǎn)程的存儲(chǔ)器 存儲(chǔ)設(shè)備中。
[0016] 可W將實(shí)施例實(shí)現(xiàn)為計(jì)算機(jī)實(shí)現(xiàn)的過程(方法)����、計(jì)算系統(tǒng)、或者諸如計(jì)算機(jī)程序 產(chǎn)品或計(jì)算機(jī)可讀介質(zhì)之類的制品��。計(jì)算機(jī)程序產(chǎn)品可W是可W由計(jì)算機(jī)系統(tǒng)讀取的計(jì)算 機(jī)存儲(chǔ)介質(zhì)���,并且對(duì)包括指令的計(jì)算機(jī)程序進(jìn)行編碼W使得計(jì)算機(jī)或計(jì)算系統(tǒng)執(zhí)行示例過 程。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)是計(jì)算機(jī)可讀存儲(chǔ)器設(shè)備����。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可W例如經(jīng)由易 失性計(jì)算機(jī)存儲(chǔ)器、非易失性存儲(chǔ)器����、硬盤驅(qū)動(dòng)器、閃存驅(qū)動(dòng)器�、軟盤、或者光盤��、W及類似 的介質(zhì)中的一個(gè)或多個(gè)而被實(shí)現(xiàn)�。
[0017] 在該說明書通篇中,術(shù)語(yǔ)"平臺(tái)"可W是用于分析通過使用增量的關(guān)聯(lián)的系統(tǒng)警報(bào) 的軟件組件和硬件組件的組合��。平臺(tái)的示例包括但不限于:在多個(gè)服務(wù)器上執(zhí)行的托管服 務(wù)、在單個(gè)計(jì)算設(shè)備上執(zhí)行的應(yīng)用�、W及類似的系統(tǒng)。術(shù)語(yǔ)"服務(wù)器"通常是指通常在網(wǎng)絡(luò)化 環(huán)境中執(zhí)行一個(gè)或多個(gè)軟件程序的計(jì)算設(shè)備����。然而,服務(wù)器還可W被實(shí)現(xiàn)為在被視為是網(wǎng) 絡(luò)上的服務(wù)器的一個(gè)或多個(gè)計(jì)算設(shè)備上執(zhí)行的虛擬服務(wù)器(軟件程序)�����。在下文中提供了關(guān) 于運(yùn)些技術(shù)和示例操作的更多的細(xì)節(jié)���。
[001引圖1示出了根據(jù)一些實(shí)施例的基于云的示例環(huán)境�,其中��,可W通過使用增量的關(guān)聯(lián) 而分析警報(bào)�。
[0019]如圖100中所示,諸如基于云的電子郵件服務(wù)之類的分布式服務(wù)可W包括多個(gè)組 件�����,例如服務(wù)器102�、專用設(shè)備108W及類似的組件。運(yùn)些服務(wù)器和專用設(shè)備可W單獨(dú)地或者 W共享的方式來執(zhí)行各種任務(wù)����。一些服務(wù)器可W是在不同環(huán)境下?lián)尾煌巧耐ㄓ梅?wù) 器��,而其它的服務(wù)器可W是執(zhí)行特定的任務(wù)的專用服務(wù)器�����。例如����,一些服務(wù)器可W管理訂閱 者檔案;其他的服務(wù)器可w是在場(chǎng)服務(wù)器��、目錄服務(wù)器等�。服務(wù)的訂閱者可w通過多種客戶 端設(shè)備106對(duì)服務(wù)進(jìn)行訪問����。除了硬件組件之外,本文中所描述的服務(wù)還可W包含大量的和 多種軟件組件�。此外,每個(gè)訂閱者(例如�,客戶端設(shè)備110)都可W與服務(wù)的每個(gè)組件進(jìn)行交 互。
[0020] 因此�,分布式服務(wù)可能需要監(jiān)視并確保其硬件和軟件組件的無縫操作,W便維持 訂閱者的滿意度�。在具有大量的和多種組件及客戶端設(shè)備)的情況下,由于許多警報(bào)是 從許多不同的硬件和軟件組件中發(fā)出的,因此監(jiān)視可能是高度復(fù)雜的并且具有噪聲����。無論 是手動(dòng)地還是自動(dòng)地處理運(yùn)樣的警報(bào),都可能是困難的����、昂貴的,并且如果與相同的根本原 因相關(guān)聯(lián)的警報(bào)被單獨(dú)處理�����,還可能自我失敗���。
[0021] 在根據(jù)實(shí)施例的系統(tǒng)中����,可W將警報(bào)作為對(duì)來處理(而不是單獨(dú)地處理運(yùn)些項(xiàng) 目)�����,并且使用警報(bào)對(duì)之間的增量作為待由機(jī)器學(xué)習(xí)技術(shù)所分析的數(shù)據(jù)�。增量可W是對(duì)警報(bào) 之間"距離"或"相似性"的測(cè)量。盡管絕對(duì)數(shù)值常常難W分配��,但是相對(duì)數(shù)值較容易。例如��, 如果生成警報(bào)的機(jī)器將被包括在分析中�,則絕對(duì)模式可W包括對(duì)每個(gè)機(jī)器加上編號(hào),使得 數(shù)字之間的較大的差表示關(guān)系較不太可能存在���,或者每個(gè)機(jī)器可W必須有其自身的維度����, 并且具有可能的值0或1�。在相對(duì)的情況下,如果兩個(gè)警報(bào)是相同的���,則運(yùn)兩個(gè)警報(bào)的機(jī)器屬 性之間的差可W簡(jiǎn)單地是0,并且如果運(yùn)兩個(gè)警報(bào)是不同的,則為1(或者根據(jù)距離度量����,差 可W更大或更低)。
[0022] 因此�����,在根據(jù)實(shí)施例的系統(tǒng)中�����,分析服務(wù)器112可W通過一個(gè)或多個(gè)網(wǎng)絡(luò)102而從 服務(wù)的不同的組件中接收警報(bào),W及從客戶端設(shè)備中接收警報(bào)��,并且采用機(jī)器學(xué)習(xí)技術(shù)��、使 用警報(bào)對(duì)之間的增量來分析警報(bào)��。
[0023] 圖2示出了根據(jù)一些實(shí)施例的針對(duì)兩個(gè)示例警報(bào)的增量的概念性計(jì)算�。
[0024] 可W通過將每個(gè)警報(bào)與時(shí)間上在其周圍的、至多到特定的時(shí)間窗口的警報(bào)進(jìn)行比 較而生成警報(bào)對(duì)��。接著�,可W計(jì)算每一個(gè)警報(bào)對(duì)的增量,并且分析那些增量的集合W確定絕 對(duì)數(shù)值方面的差�����。接著可W將闊值應(yīng)用于數(shù)值�����,并且在一定距離內(nèi)的警報(bào)被認(rèn)為表示關(guān)聯(lián)�。 接著,每個(gè)警報(bào)被提供有所有其他有關(guān)的警報(bào)�����,因此降低了監(jiān)視噪聲并且使得對(duì)警報(bào)的根 本原因的標(biāo)識(shí)更加容易。警報(bào)關(guān)聯(lián)還可W用于實(shí)際地抑制多余的警報(bào)而不是僅僅對(duì)其進(jìn)行 報(bào)告�����。通過該方式���,多余的警報(bào)可W不會(huì)不必要地到達(dá)末端用戶處�����。此外���,可W手動(dòng)地或者 自動(dòng)地處理警報(bào)?���?蒞在兩種情況中的任何一種中實(shí)現(xiàn)在本文中所描述的關(guān)聯(lián)邏輯��。
[0025] 現(xiàn)在關(guān)注硬件組件��,圖200示出了發(fā)出兩個(gè)不同的警報(bào)202和206的兩種不同的機(jī) 器(例如����,服務(wù)器����、專用設(shè)備等)204和208��。警報(bào)202和206可W是相關(guān)的(相關(guān)于相同的根本 原因)或不相關(guān)的����。在根據(jù)實(shí)施例的系統(tǒng)中,分析服務(wù)器可W對(duì)警報(bào)的增量進(jìn)行分析并且對(duì) 警報(bào)是否關(guān)聯(lián)于相同的問題進(jìn)行識(shí)別��。分析服務(wù)器可W標(biāo)識(shí)警報(bào)對(duì)212W及發(fā)出運(yùn)些警報(bào) 的機(jī)器之間的點(diǎn)210,而不是分析獨(dú)立的機(jī)器和警報(bào)���。
[0026] 如在圖200中所示���,可W由分析服務(wù)器來使用機(jī)器204和208之間的點(diǎn)210處的警報(bào) (A+B)212,而不是來自機(jī)器204的警報(bào)202與來自機(jī)器208的警報(bào)206。接著����,可W做出關(guān)于機(jī) 器是否可W從警報(bào)方面被認(rèn)為是相同的(相同的根本原因)的決策。如果它們是相同的��,貝U 可W分配0值,如果不相同����,則可W分配1值,運(yùn)簡(jiǎn)化了分析過程�。當(dāng)然,其它方法也可W用于 標(biāo)識(shí)警報(bào)對(duì)W及它們的起源點(diǎn)��。實(shí)施例不限于由硬件組件所發(fā)出的警報(bào)��。警報(bào)可W由硬件 組件�����、軟件組件����、及兩者任何組合來發(fā)出(并且如在本文中所描述的那樣被分析)。在一些示 例中�����,屬性的比較可W相對(duì)簡(jiǎn)單(例如���,如果它們是相等的,貝幢為0;如果它們不相等���,則差 為1)或者高度復(fù)雜(例如�����,使用復(fù)雜的自然語(yǔ)言技術(shù)來分析自由形式的文本的相似度)�����。
[0027]圖3示出了根據(jù)一些實(shí)施例的經(jīng)由對(duì)警報(bào)對(duì)的增量的計(jì)算W及與闊值的比較的���、 對(duì)警報(bào)的關(guān)聯(lián)的框圖�。
[00%]圖300呈現(xiàn)了使用增量的警報(bào)分析過程的概述����。過程可W開始于對(duì)警報(bào)的比較302 W得到警報(bào)對(duì)304?���?蒞接著計(jì)算警報(bào)對(duì)增量306,并且與闊值進(jìn)行比較(308)。超過闊值的 值可W用于確定警報(bào)之間的關(guān)聯(lián)310���。
[0029] 為了生成并分析增量�,由系統(tǒng)所生成的警報(bào)被匯集到一個(gè)地方中。該地方可W需 要足夠可縮放來承擔(dān)監(jiān)視負(fù)載��,同時(shí)執(zhí)行在本文中所描述的計(jì)算�。在其它實(shí)施例中,數(shù)據(jù)還 可W被劃分并且基于所述劃分而被分析���。在接收到警報(bào)之后�,分析服務(wù)器可W執(zhí)行W下操 作:(1)找到在之前的時(shí)間窗口(例如�,1小時(shí)、1天等)中的警報(bào)�����。(2)將運(yùn)些警報(bào)中的每個(gè)中 的有關(guān)屬性與新的警報(bào)進(jìn)行比較��。對(duì)于每個(gè)屬性對(duì)����,可W計(jì)算數(shù)值增量。通常而言��,每個(gè)增 量可W具有相同的范圍(例如��,在0和1之間�����,其中0表示屬性是相同的�,而1表示屬性可W相 差的最大值)。(3)每個(gè)屬性可W具有與其相關(guān)聯(lián)的權(quán)重����,該權(quán)重確定該屬性有多重要。權(quán)重 可W根據(jù)例如使用梯度下降算法的一些實(shí)施例而得知�。(4)給定一組權(quán)重和一組增量,可W 用多種方式來計(jì)算差值����。歐幾里得距離和S型函數(shù)是兩個(gè)示例。還可W使用其它關(guān)聯(lián)方法��。 差值計(jì)算的結(jié)果可W是0和1之間的歸一化的值����,其中時(shí)旨示相同的警報(bào)而1指示沒有任何相 似性的警報(bào)。(5)將手動(dòng)地或者通過其它機(jī)器學(xué)習(xí)算法來確定闊值���。闊值可W指示什么值可 W是最大值���,該最大值仍然被認(rèn)為標(biāo)識(shí)警報(bào)之間的可能的關(guān)系�。(6)每個(gè)所發(fā)現(xiàn)的關(guān)系可W 被存儲(chǔ)在數(shù)據(jù)庫(kù)或類似的數(shù)據(jù)存儲(chǔ)中�。(7)當(dāng)警報(bào)被發(fā)送給支持工程師W用于手動(dòng)處理或 者由修理服務(wù)自動(dòng)地處理時(shí),相關(guān)的警報(bào)可W被提供為分組�����,而不是迫使支持工程師或服 務(wù)單獨(dú)地處理所述警報(bào)����。
[0030] 在一些實(shí)施例中,可W接收到關(guān)于關(guān)聯(lián)是否有效的直接用戶反饋�,并且所述反饋 用于改進(jìn)機(jī)器學(xué)習(xí)算法。在其它實(shí)施例中�����,可W采用各種技術(shù)W從與系統(tǒng)的用戶交互中推 斷用戶反饋�����,W便確定所呈現(xiàn)的關(guān)聯(lián)是否有效���。
[0031] 在圖1-3中所描繪的示例應(yīng)用����、設(shè)備、和模塊僅僅是出于說明的目的而提供的��。實(shí) 施例不限于在示例圖中所示出的配置和內(nèi)容����,并且可W使用采用在本文中所描述的原理的 其它算法�、配置、客戶端應(yīng)用�、服務(wù)提供商、W及模塊而被實(shí)現(xiàn)��。
[0032] 圖4是示例網(wǎng)絡(luò)化環(huán)境����,其中,可W實(shí)現(xiàn)實(shí)施例��。除了本地安裝的應(yīng)用�,還可W結(jié)合 可W經(jīng)由在一個(gè)或多個(gè)服務(wù)器406或者獨(dú)立的服務(wù)器414上執(zhí)行的軟件來實(shí)現(xiàn)的托管的應(yīng) 用和服務(wù)而布置基于增量的警報(bào)分析。托管的服務(wù)或應(yīng)用可W通過網(wǎng)絡(luò)410與獨(dú)立的計(jì)算 設(shè)備(例如����,手持式計(jì)算機(jī)、臺(tái)式計(jì)算機(jī)401�、膝上型計(jì)算機(jī)402��、智能電話403��、平板計(jì)算機(jī) (或平板電腦)("客戶端設(shè)備"))上的客戶端應(yīng)用進(jìn)行通信�,并且控制呈現(xiàn)給用戶的用戶界 面�����。
[0033] 客戶端設(shè)備401-403可W用于訪問由托管的服務(wù)或應(yīng)用所提供的功能��。服務(wù)器406 或服務(wù)器414中的一個(gè)或多個(gè)可W用于提供上文中所討論的多種服務(wù)��。相關(guān)的數(shù)據(jù)可W被 存儲(chǔ)在可W由服務(wù)器406中的任何一個(gè)或者由數(shù)據(jù)庫(kù)服務(wù)器408來管理的一個(gè)或多個(gè)數(shù)據(jù) 存儲(chǔ)(例如��,數(shù)據(jù)存儲(chǔ)409)中�。
[0034] 網(wǎng)絡(luò)410可W包括服務(wù)器、客戶端�、互聯(lián)網(wǎng)服務(wù)提供商、W及通信介質(zhì)的任何拓?fù)?結(jié)構(gòu)��。根據(jù)實(shí)施例的系統(tǒng)可W具有靜態(tài)的拓?fù)浣Y(jié)構(gòu)或動(dòng)態(tài)的拓?fù)浣Y(jié)構(gòu)��。網(wǎng)絡(luò)410可W包括諸 如企業(yè)網(wǎng)絡(luò)之類的安全網(wǎng)絡(luò)��,諸如無線開放網(wǎng)絡(luò)之類的非安全網(wǎng)絡(luò)��,或者互聯(lián)網(wǎng)。網(wǎng)絡(luò)410 還可W協(xié)調(diào)通過諸如公共交換電話網(wǎng)絡(luò)(PSTN)或蜂窩網(wǎng)絡(luò)之類的其它網(wǎng)絡(luò)的通信�����。網(wǎng)絡(luò) 410在本文中所描述的節(jié)點(diǎn)之間提供通信�����。作為示例而非限制���,網(wǎng)絡(luò)410可W包括無線介質(zhì), 例如聲學(xué)��、RF���、紅外�、和其它無線介質(zhì)����。
[0035] 可W采用計(jì)算設(shè)備、應(yīng)用���、數(shù)據(jù)源��、W及數(shù)據(jù)分布系統(tǒng)的許多其它配置來分析使用 增量的系統(tǒng)警報(bào)�����,而不是獨(dú)立的警報(bào)�����。此外����,在圖4中所討論的網(wǎng)絡(luò)化環(huán)境僅僅用于說明的 目的。實(shí)施例不限于示例應(yīng)用���、模塊���、或過程。
[0036] 圖5和相關(guān)聯(lián)的討論旨在提供關(guān)于其中可W實(shí)現(xiàn)實(shí)施例的合適的計(jì)算環(huán)境的簡(jiǎn) 短�、概括的描述。參考圖5,示出了根據(jù)實(shí)施例的應(yīng)用的示例計(jì)算操作環(huán)境(例如���,計(jì)算設(shè)備 500)的框圖����。在基本配置中,計(jì)算設(shè)備500可W是在本文中所討論的示例設(shè)備中的任何一 個(gè)�����,并且可W包括至少一個(gè)處理單元502和系統(tǒng)存儲(chǔ)器504��。計(jì)算設(shè)備500還可W包括在執(zhí)行 程序的過程中協(xié)作的多個(gè)處理單元�。取決于計(jì)算設(shè)備的確切的配置和類型,系統(tǒng)存儲(chǔ)器504 可W是易失性的(例如���,RAM)�、非易失性的(例如�,ROM、閃速存儲(chǔ)器等)或者兩者的一些組合�。 系統(tǒng)存儲(chǔ)器504通常包括適用于控制平臺(tái)的操作的操作系統(tǒng)506,例如����,來自Washington州 Redmond市的MICROSOFT公司的WINDOWS⑧操作系統(tǒng)、WIND0WSMOBILE⑧操作系統(tǒng)�、或 者WINDOWS PHONE⑥操作系統(tǒng)。系統(tǒng)存儲(chǔ)器504還可W包括一個(gè)或多個(gè)軟件應(yīng)用�,例如,警 報(bào)分析應(yīng)用522和關(guān)聯(lián)模塊524。
[0037] 關(guān)聯(lián)模塊524可W結(jié)合主機(jī)服務(wù)或者警報(bào)分析應(yīng)用522來運(yùn)行�����,并且將警報(bào)作為對(duì) 來處理(而不是單獨(dú)地處理警報(bào))��,并且將警報(bào)對(duì)之間的增量作為待由機(jī)器學(xué)習(xí)技術(shù)分析的 數(shù)據(jù)���?��?蒞通過將每個(gè)警報(bào)與時(shí)間上在其周圍的其它警報(bào)進(jìn)行比較而生成警報(bào)對(duì)??蒞計(jì) 算針對(duì)每個(gè)警報(bào)對(duì)的增量,并且可W分析那些增量的集合W確定在絕對(duì)數(shù)值方面的差值����。 接著可W應(yīng)用闊值而確定在一定距離內(nèi)的警報(bào)W表示關(guān)聯(lián)。在圖5中由虛線508內(nèi)的那些組 件示出了該基本配置�。
[0038] 計(jì)算設(shè)備500可W具有額外的特征或功能。例如����,計(jì)算設(shè)備500還可W包括額外的 數(shù)據(jù)存儲(chǔ)設(shè)備(可移動(dòng)的和/或不可移動(dòng)的),例如�,磁盤、光盤、或磁帶�。在圖5中由可移動(dòng)存 儲(chǔ)設(shè)備509和不可移動(dòng)存儲(chǔ)設(shè)備510示出了運(yùn)樣額外的存儲(chǔ)設(shè)備。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可W 包括W用于存儲(chǔ)信息(例如�,計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)��、程序模塊���、或其它數(shù)據(jù))的任何方 法或技術(shù)實(shí)現(xiàn)的易失性的和非易失性的���、可移動(dòng)的和不可移動(dòng)的介質(zhì)。系統(tǒng)存儲(chǔ)器504�、可 移動(dòng)存儲(chǔ)設(shè)備509、和不可移動(dòng)存儲(chǔ)設(shè)備510全部都是計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的示例�����。計(jì)算機(jī) 存儲(chǔ)介質(zhì)包括但不限于RAM����、R0M����、邸PROM、閃速存儲(chǔ)器或其它存儲(chǔ)器技術(shù)、CD-ROM���、數(shù)字通用 盤(DVD)�、或其它光存儲(chǔ)設(shè)備�、盒式磁帶、磁帶����、磁盤存儲(chǔ)設(shè)備或其它磁存儲(chǔ)設(shè)備、或者可W 用于存儲(chǔ)期望的信息并且可W由計(jì)算設(shè)備500存取的任何其它介質(zhì)���。任何運(yùn)樣的計(jì)算機(jī)可 讀存儲(chǔ)介質(zhì)都可W是計(jì)算設(shè)備500的一部分�。計(jì)算設(shè)備500還可W具有輸入設(shè)備512,例如����, 鍵盤、鼠標(biāo)��、筆�����、語(yǔ)音輸入設(shè)備����、觸摸輸入設(shè)備��、用于檢測(cè)手勢(shì)的光學(xué)捕獲設(shè)備�����、W及類似的 輸入設(shè)備���。也可W包括諸如顯示器、揚(yáng)聲器�����、打印機(jī)��、和其它類型是輸出設(shè)備之類的輸出設(shè) 備514��。運(yùn)些設(shè)備是本領(lǐng)域中公知的并且不需要在運(yùn)里詳細(xì)討論�。
[0039] 計(jì)算設(shè)備500還可W包含通信連接516,其允許設(shè)備例如通過分布式計(jì)算環(huán)境中的 有線或無線網(wǎng)絡(luò)、衛(wèi)星鏈路����、蜂窩鏈路、W及類似的機(jī)制來與其它設(shè)備518進(jìn)行通信�����。其它設(shè) 備518可W包括執(zhí)行通信應(yīng)用的計(jì)算機(jī)設(shè)備���、其它目錄或策略服務(wù)器�����、和類似的設(shè)備��。通信 連接516是通信介質(zhì)的一個(gè)示例�。通信介質(zhì)可W在其中包括計(jì)算機(jī)可讀指令�、數(shù)據(jù)結(jié)構(gòu)、程 序模塊��、或者已調(diào)的數(shù)據(jù)信號(hào)(例如��,載波或其它傳輸機(jī)制���,并且包括任何信息傳遞介質(zhì))中 的其它數(shù)據(jù)�。術(shù)語(yǔ)"已調(diào)制的數(shù)據(jù)信號(hào)"是指運(yùn)樣的信號(hào):具有使該信號(hào)的特性中的一個(gè)或 多個(gè)W如將信息編碼在信號(hào)中的方式來設(shè)置或改變的信號(hào)��。作為示例而非限制���,通信介質(zhì) 包括諸如有線網(wǎng)絡(luò)或直接有線連接之類的有線介質(zhì)���,W及諸如聲學(xué)�����、RF���、紅外、和其它無線 介質(zhì)之類的無線介質(zhì)�����。
[0040] 示例實(shí)施例還包括方法��。運(yùn)些方法可包括在該文檔中所描述的結(jié)構(gòu)的多種方 式被實(shí)現(xiàn)�����。一種運(yùn)樣的方式是通過在該文檔中所描述的類型的設(shè)備的機(jī)器操作����。
[0041] 另一種可選的方式是針對(duì)結(jié)合執(zhí)行一些操作的一個(gè)或多個(gè)人類操作者而將被執(zhí) 行的方法的獨(dú)立操作中的一個(gè)或多個(gè)。運(yùn)些人類操作者不需要彼此處于同一位置�����,但每個(gè) 操作者可W與執(zhí)行程序的一部分的機(jī)器在一起。
[0042] 圖6示出了根據(jù)實(shí)施例的針對(duì)經(jīng)由增量的對(duì)系統(tǒng)警報(bào)進(jìn)行關(guān)聯(lián)的過程的邏輯流程 圖�����。過程600可W被實(shí)現(xiàn)為監(jiān)視系統(tǒng)或應(yīng)用的一部分���。
[0043] 過程600開始于操作610,其中,監(jiān)視和/或分析應(yīng)用可W確定在時(shí)間上在新的警報(bào) 周圍的警報(bào)�����,例如��,具有預(yù)先確定的時(shí)間窗口(例如���,一小時(shí)�、一天等)����。在操作620處,可W通 過將所確定的警報(bào)的屬性與新的警報(bào)進(jìn)行比較來確定增量��。為了方便計(jì)算,可W在絕對(duì)數(shù) 值方面表達(dá)差值�。
[0044] 在可選的操作630處,可W確定警報(bào)的屬性的權(quán)重�����。權(quán)重可W是預(yù)先確定的��、手動(dòng) 輸入的��、或者通過機(jī)器學(xué)習(xí)技術(shù)所得知的�。在操作640處,可W確定闊值W確定關(guān)聯(lián)���?����?蒞將 闊值應(yīng)用至增量���,例如,使用距離來表示關(guān)聯(lián)�����。在操作650處可W將超過闊值的值呈現(xiàn)為關(guān) 于彼此的警報(bào)。
[0045] 警報(bào)關(guān)聯(lián)還可W用于實(shí)際地抑制多余的警報(bào)而不是僅僅對(duì)其進(jìn)行報(bào)告���,使得多余 的警報(bào)可W不會(huì)不必要地到達(dá)末端用戶處�����。此外,可W手動(dòng)地或者自動(dòng)地處理警報(bào)�����?�?蒞在 兩種場(chǎng)景中實(shí)現(xiàn)在本文中所描述的關(guān)聯(lián)過程��。
[0046] 被包括在過程600中的操作是出于解釋說明的目的的�。可W通過具有更少或額外 的步驟的類似的過程W及與使用在本文中所描述的原理的操作不同的順序來實(shí)現(xiàn)對(duì)根據(jù) 實(shí)施例的通過使用增量的關(guān)聯(lián)的系統(tǒng)警報(bào)進(jìn)行分析�。
[0047] W上的說明書、示例�����、和數(shù)據(jù)提供了對(duì)實(shí)施例的組成部分的制造和使用的完整說 明。盡管已經(jīng)用特定于結(jié)構(gòu)特征和/或方法行為的語(yǔ)言描述了主題��,但應(yīng)當(dāng)理解的是��,在所 附權(quán)利要求中所定義的主題非必須限于在上文中所描述的具體的特征或行為���。相反�����,在上 文中所描述的具體的特征和行為是作為實(shí)現(xiàn)權(quán)利要求和實(shí)施例的示例形式而公開的��。
【主權(quán)項(xiàng)】
1. 一種方法�,其至少部分在計(jì)算設(shè)備中被執(zhí)行以提供對(duì)使用增量的系統(tǒng)警報(bào)的分析����, 所述方法包括: 檢測(cè)新的警報(bào); 在檢測(cè)到所述新的警報(bào)之前���,確定預(yù)先確定的時(shí)間段內(nèi)的多個(gè)警報(bào)���; 確定所述多個(gè)警報(bào)中的每個(gè)與所述新的警報(bào)之間的增量; 計(jì)算針對(duì)每個(gè)增量的差值�; 確定關(guān)聯(lián)閾值�����;以及 將其差值高于所述關(guān)聯(lián)閾值的警報(bào)標(biāo)識(shí)為彼此相關(guān)����。2. 根據(jù)權(quán)利要求1所述的方法���,還包括: 將被標(biāo)識(shí)為與所述新的警報(bào)相關(guān)的所述警報(bào)與所述新的警報(bào)一起呈現(xiàn)給以下中的一 個(gè):支持工程師與系統(tǒng)健康監(jiān)視服務(wù)����。3. 根據(jù)權(quán)利要求1所述的方法���,其中,確定所述增量包括: 將所述多個(gè)警報(bào)中的每個(gè)的一個(gè)或多個(gè)屬性與所述新的警報(bào)的對(duì)應(yīng)的屬性進(jìn)行比較�����。4. 根據(jù)權(quán)利要求3所述的方法���,其中��,確定所述增量包括: 計(jì)算預(yù)先確定的范圍內(nèi)的每個(gè)增量的數(shù)值����。5. 根據(jù)權(quán)利要求4所述的方法,其中�,所述預(yù)先確定的范圍是0和1之間,0指示相同的屬 性而1指示區(qū)別的屬性���。6. 根據(jù)權(quán)利要求3所述的方法��,還包括: 給每個(gè)屬性分配權(quán)重���。7. 根據(jù)權(quán)利要求6所述的方法,還包括: 采用機(jī)器學(xué)習(xí)算法來確定所述權(quán)重��。8. 根據(jù)權(quán)利要求7所述的方法��,其中��,所述機(jī)器學(xué)習(xí)算法是梯度下降算法�。9. 根據(jù)權(quán)利要求1所述的方法,還包括: 基于確定與每個(gè)增量相關(guān)聯(lián)的警報(bào)之間的距離來計(jì)算每個(gè)增量的差值���。10. 根據(jù)權(quán)利要求1所述的方法�,還包括以下中的一個(gè): 接收用戶反饋以確認(rèn)所呈現(xiàn)的關(guān)聯(lián)的有效性��;以及 從與處理所述警報(bào)的系統(tǒng)的用戶交互中推斷所述用戶反饋,以確認(rèn)所述所呈現(xiàn)的關(guān)聯(lián) 的所述有效性�����。11. 一種用于提供對(duì)使用增量的系統(tǒng)警報(bào)的分析的計(jì)算設(shè)備�����,所述計(jì)算設(shè)備包括: 存儲(chǔ)器�����; 耦合至所述存儲(chǔ)器的處理器�����,所述處理器執(zhí)行警報(bào)分析應(yīng)用�����,其中����,所述處理器被配置 為: 檢測(cè)新的警報(bào)���; 在檢測(cè)到所述新的警報(bào)之前�����,確定預(yù)先確定的時(shí)間段內(nèi)的多個(gè)警報(bào)�����; 確定所述多個(gè)警報(bào)中的每個(gè)與所述新的警報(bào)之間的增量�; 計(jì)算針對(duì)每個(gè)增量的差值; 確定關(guān)聯(lián)閾值���; 采用機(jī)器學(xué)習(xí)算法來將其差值高于所述關(guān)聯(lián)閾值的警報(bào)標(biāo)識(shí)為彼此相關(guān);并且 將被標(biāo)識(shí)為與所述新的警報(bào)相關(guān)的所述警報(bào)與所述新的警報(bào)一起呈現(xiàn)給以下中的一 個(gè):支持工程師與系統(tǒng)健康監(jiān)視服務(wù)�。12. 根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備��,其中��,所述處理器還被配置為: 在支持關(guān)于所呈現(xiàn)的警報(bào)之間的關(guān)聯(lián)的有效性的用戶反饋的用戶界面上�����,呈現(xiàn)被標(biāo)識(shí) 為與所述新的警報(bào)相關(guān)的所述警報(bào)以及所述新的警報(bào);并且 調(diào)整所采用的用于將所述警報(bào)標(biāo)識(shí)為相關(guān)的所述機(jī)器學(xué)習(xí)算法���。13. 根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備�����,其中�����,所述處理器被配置為: 給所述警報(bào)的每個(gè)屬性分配權(quán)重;并且 采用歐幾里得距離函數(shù)和S型函數(shù)中的一個(gè)���,基于所述增量和與每個(gè)屬性相關(guān)聯(lián)的權(quán) 重來計(jì)算警報(bào)對(duì)的差值�����。14. 根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備�,其中����,所述處理器被配置為: 存儲(chǔ)每個(gè)經(jīng)標(biāo)識(shí)的關(guān)系和對(duì)應(yīng)的警報(bào)對(duì)。15. -種具有存儲(chǔ)于其上的�、用于提供對(duì)使用增量的系統(tǒng)警報(bào)的分析的指令的計(jì)算機(jī) 可讀存儲(chǔ)器設(shè)備,所述指令包括: 檢測(cè)新的警報(bào)�; 在檢測(cè)到所述新的警報(bào)之前����,確定預(yù)先確定的時(shí)間段內(nèi)的多個(gè)警報(bào)�; 通過將所述多個(gè)警報(bào)中的每個(gè)的一個(gè)或多個(gè)屬性與所述新的警報(bào)的對(duì)應(yīng)的屬性進(jìn)行 比較�����,來確定所述多個(gè)警報(bào)中的每個(gè)與所述新的警報(bào)之間的增量�����; 給每個(gè)屬性分配權(quán)重����; 計(jì)算針對(duì)每個(gè)增量的差值; 確定關(guān)聯(lián)閾值���; 將其差值高于所述關(guān)聯(lián)閾值的警報(bào)標(biāo)識(shí)為彼此相關(guān)�;以及 將被標(biāo)識(shí)為與所述新的警報(bào)相關(guān)的所述警報(bào)與所述新的警報(bào)一起呈現(xiàn)給以下中的一 個(gè):支持工程師與系統(tǒng)健康監(jiān)視服務(wù)����。
【文檔編號(hào)】G06F21/55GK105830083SQ201480069295
【公開日】2016年8月3日
【申請(qǐng)日】2014年12月11日
【發(fā)明人】A·薩多夫斯基, J·阿夫納
【申請(qǐng)人】微軟技術(shù)許可有限責(zé)任公司