經(jīng)由增量的系統(tǒng)警報關(guān)聯(lián)的制作方法
【專利摘要】概括而言,提供了針對經(jīng)由增量對系統(tǒng)警報的關(guān)聯(lián)的技術(shù)��?����?梢酝ㄟ^將每個警報與時間上在其周圍的��、至多到特定的時間窗口的警報進(jìn)行比較而生成警報對�����。接著����,可以計算每一個警報對的增量,并且分析那些增量的集合以確定數(shù)值方面的差值��??梢詫㈤撝祽?yīng)用于數(shù)值,并且在彼此的某距離內(nèi)的警報被認(rèn)為表示關(guān)聯(lián)���。接著����,每個警報被提供有所有其他相關(guān)的警報���,因此降低了監(jiān)視噪聲�,并且使得對警報的根本原因的標(biāo)識更加容易����。
【專利說明】經(jīng)由増量的系統(tǒng)譬報關(guān)聯(lián)
【背景技術(shù)】
[0001] 在任何高度可用的復(fù)雜的分布式系統(tǒng)(例如�����,基于云的電子郵件服務(wù))中��,系統(tǒng)維 護(hù)的一個關(guān)鍵方面是監(jiān)視系統(tǒng)的健康狀態(tài)W確保該系統(tǒng)確實(shí)可用�。由于警報是從許多不同 的硬件組件和軟件組件發(fā)出的����,因此監(jiān)視可能會高度復(fù)雜并且存在噪聲�����。經(jīng)常地����,單個根本 原因問題可W生成多于一個警報��,并且有時可W從許多不同的組件中生成許多警報。無論 是手動地或者自動地處理運(yùn)些警報都可能是困難的���、昂貴的����,并且如果該警報被單獨(dú)處理���, 還有可能自我失?。╯elf-defeating)�。
[0002] 在復(fù)雜的分布式系統(tǒng)中將多個有關(guān)的警報關(guān)聯(lián)在一起可W用于確保更快且更準(zhǔn) 確地標(biāo)識和處理每個根本原因����。針對運(yùn)樣的關(guān)聯(lián)的典型的方法可W包括將每個警報作為η 維空間中的點(diǎn)��,并且使用聚類或其他機(jī)器學(xué)習(xí)技術(shù)來對關(guān)系進(jìn)行標(biāo)識��。運(yùn)可能會有困難�,因 為不是所有的實(shí)質(zhì)屬性都可W輕易地用數(shù)值來表征。此外,由于系統(tǒng)特性會變化�,因此之前 所形成的聚類可能不能創(chuàng)建針對未來進(jìn)行概括的好的規(guī)則�����。
【發(fā)明內(nèi)容】
[0003] 提供了該
【發(fā)明內(nèi)容】
W用簡化的形式介紹在下文的【具體實(shí)施方式】中所進(jìn)一步描述 的概念的選擇����。該
【發(fā)明內(nèi)容】
不旨在排他性地標(biāo)識所要求保護(hù)的主題的關(guān)鍵特征或本質(zhì)特 征,也不旨在用于幫助確定所要求保護(hù)的主題的范圍。
[0004] 實(shí)施例針對經(jīng)由增量的系統(tǒng)警報的關(guān)聯(lián)����,所述增量是對警報之間的"距離"和"相 似度"的測量。在一些示例中��,可W通過將每個警報與時間上在其周圍的、至多到特定的時 間窗口的警報進(jìn)行比較而生成警報對���。接著�,可W計算每一個警報對的增量�,并且分析那些 增量的集合W確定數(shù)值方面的差值��?����?蒞將闊值應(yīng)用于數(shù)值����,并且在彼此的一定距離內(nèi)的 警報被認(rèn)為表示關(guān)聯(lián)���。接著,每個警報被提供有所有其他有關(guān)的警報����,因此降低了監(jiān)視噪聲 并且使得對警報的根本原因的標(biāo)識更加容易�。
[0005] 運(yùn)些W及其他特征和優(yōu)點(diǎn)將從W下的【具體實(shí)施方式】的閱讀和對相關(guān)聯(lián)的附圖的 回顧中顯而易見。應(yīng)當(dāng)理解的是��,前述的一般性描述和W下的【具體實(shí)施方式】都是解釋性的, 而不限制所要求保護(hù)的方面�����。
【附圖說明】
[0006] 圖1示出了基于云的示例環(huán)境,其中���,可W通過對增量進(jìn)行使用的關(guān)聯(lián)而分析警 報。
[0007] 圖2示出了針對兩個示例警報的增量的概念性計算����。
[0008] 圖3示出了經(jīng)由警報對的增量的計算W及與闊值的比較對警報的關(guān)聯(lián)的框圖�����。
[0009] 圖4是網(wǎng)絡(luò)化環(huán)境��,其中����,可W實(shí)現(xiàn)根據(jù)實(shí)施例的系統(tǒng)�����。
[0010] 圖5是示例計算操作環(huán)境的框圖���,其中��,可W實(shí)現(xiàn)實(shí)施例;并且
[0011] 圖6示出了根據(jù)實(shí)施例的針對經(jīng)由增量而將系統(tǒng)警報關(guān)聯(lián)起來的過程的邏輯流程 圖。
【具體實(shí)施方式】
[0012] 如在上文中簡要地描述的��,提供了系統(tǒng)W用于監(jiān)視具有大量組件的復(fù)雜的、分布 式系統(tǒng)中的系統(tǒng)警報��?��?蒞通過將每個警報與時間上在其周圍的警報進(jìn)行比較而生成警報 對�。接著���,可W計算針對每個警報對的增量,并且可W分析那些增量的集合W用于確定在數(shù) 值方面的差值�����?��?蒞將數(shù)值與闊值進(jìn)行比較W找到在彼此的一定距離內(nèi)的��、被認(rèn)為表示關(guān) 聯(lián)(corr e lat i on)的警報。
[0013] 在W下的【具體實(shí)施方式】中����,對形成了其一部分并且在其中作為說明而示出了具體 的實(shí)施例或示例的附圖進(jìn)行了參考���?��?蒞組合運(yùn)些方面�、可W利用其它方面����、并且可W做出 結(jié)構(gòu)改變而不脫離本公開的精神或范圍���。因此����,W下的【具體實(shí)施方式】將不被看作是限制性 意義,并且本發(fā)明的范圍是由所附權(quán)利要求及其等同物所限定的�。
[0014] 盡管將在結(jié)合在個人計算機(jī)的操作系統(tǒng)上運(yùn)行的應(yīng)用程序而執(zhí)行的程序模塊的 一般性的上下文中描述一些實(shí)施例�����,但是本領(lǐng)域技術(shù)人員將理解的是,也可W結(jié)合其它程 序模塊來實(shí)現(xiàn)運(yùn)些方面。
[0015] 通常而言�,程序模塊包括例程���、程序、組件�����、數(shù)據(jù)結(jié)構(gòu)、W及執(zhí)行特定的任務(wù)或?qū)崿F(xiàn) 特定的抽象數(shù)據(jù)類型的其他類型的結(jié)構(gòu)����。此外,本領(lǐng)域技術(shù)人員將理解的是�����,可W利用包括 手持設(shè)備、多處理器系統(tǒng)���、基于微處理器的或可編程的消費(fèi)性電子產(chǎn)品����、微型計算機(jī)��、大型 計算機(jī)�����、W及類似的計算設(shè)備在內(nèi)的其它計算機(jī)系統(tǒng)配置來實(shí)踐實(shí)施例�。還可W在其中任 務(wù)是由通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備來執(zhí)行的分布式計算環(huán)境中實(shí)現(xiàn)實(shí)施例。在分布 式計算環(huán)境中�,程序模塊既可W位于本地的存儲器存儲設(shè)備中,也可W位于遠(yuǎn)程的存儲器 存儲設(shè)備中�����。
[0016] 可W將實(shí)施例實(shí)現(xiàn)為計算機(jī)實(shí)現(xiàn)的過程(方法)����、計算系統(tǒng)����、或者諸如計算機(jī)程序 產(chǎn)品或計算機(jī)可讀介質(zhì)之類的制品��。計算機(jī)程序產(chǎn)品可W是可W由計算機(jī)系統(tǒng)讀取的計算 機(jī)存儲介質(zhì)�,并且對包括指令的計算機(jī)程序進(jìn)行編碼W使得計算機(jī)或計算系統(tǒng)執(zhí)行示例過 程。計算機(jī)可讀存儲介質(zhì)是計算機(jī)可讀存儲器設(shè)備����。計算機(jī)可讀存儲介質(zhì)可W例如經(jīng)由易 失性計算機(jī)存儲器、非易失性存儲器、硬盤驅(qū)動器��、閃存驅(qū)動器��、軟盤、或者光盤���、W及類似 的介質(zhì)中的一個或多個而被實(shí)現(xiàn)�。
[0017] 在該說明書通篇中�����,術(shù)語"平臺"可W是用于分析通過使用增量的關(guān)聯(lián)的系統(tǒng)警報 的軟件組件和硬件組件的組合��。平臺的示例包括但不限于:在多個服務(wù)器上執(zhí)行的托管服 務(wù)�����、在單個計算設(shè)備上執(zhí)行的應(yīng)用����、W及類似的系統(tǒng)。術(shù)語"服務(wù)器"通常是指通常在網(wǎng)絡(luò)化 環(huán)境中執(zhí)行一個或多個軟件程序的計算設(shè)備��。然而�����,服務(wù)器還可W被實(shí)現(xiàn)為在被視為是網(wǎng) 絡(luò)上的服務(wù)器的一個或多個計算設(shè)備上執(zhí)行的虛擬服務(wù)器(軟件程序)��。在下文中提供了關(guān) 于運(yùn)些技術(shù)和示例操作的更多的細(xì)節(jié)�。
[001引圖1示出了根據(jù)一些實(shí)施例的基于云的示例環(huán)境,其中����,可W通過使用增量的關(guān)聯(lián) 而分析警報��。
[0019]如圖100中所示��,諸如基于云的電子郵件服務(wù)之類的分布式服務(wù)可W包括多個組 件�,例如服務(wù)器102、專用設(shè)備108W及類似的組件�。運(yùn)些服務(wù)器和專用設(shè)備可W單獨(dú)地或者 W共享的方式來執(zhí)行各種任務(wù)。一些服務(wù)器可W是在不同環(huán)境下?lián)尾煌巧耐ㄓ梅?wù) 器�����,而其它的服務(wù)器可W是執(zhí)行特定的任務(wù)的專用服務(wù)器。例如�����,一些服務(wù)器可W管理訂閱 者檔案;其他的服務(wù)器可w是在場服務(wù)器�����、目錄服務(wù)器等����。服務(wù)的訂閱者可w通過多種客戶 端設(shè)備106對服務(wù)進(jìn)行訪問。除了硬件組件之外�,本文中所描述的服務(wù)還可W包含大量的和 多種軟件組件。此外�,每個訂閱者(例如,客戶端設(shè)備110)都可W與服務(wù)的每個組件進(jìn)行交 互���。
[0020] 因此�����,分布式服務(wù)可能需要監(jiān)視并確保其硬件和軟件組件的無縫操作�,W便維持 訂閱者的滿意度。在具有大量的和多種組件及客戶端設(shè)備)的情況下���,由于許多警報是 從許多不同的硬件和軟件組件中發(fā)出的���,因此監(jiān)視可能是高度復(fù)雜的并且具有噪聲。無論 是手動地還是自動地處理運(yùn)樣的警報����,都可能是困難的、昂貴的�,并且如果與相同的根本原 因相關(guān)聯(lián)的警報被單獨(dú)處理,還可能自我失敗�。
[0021] 在根據(jù)實(shí)施例的系統(tǒng)中,可W將警報作為對來處理(而不是單獨(dú)地處理運(yùn)些項(xiàng) 目)�,并且使用警報對之間的增量作為待由機(jī)器學(xué)習(xí)技術(shù)所分析的數(shù)據(jù)。增量可W是對警報 之間"距離"或"相似性"的測量�����。盡管絕對數(shù)值常常難W分配���,但是相對數(shù)值較容易。例如��, 如果生成警報的機(jī)器將被包括在分析中�,則絕對模式可W包括對每個機(jī)器加上編號�,使得 數(shù)字之間的較大的差表示關(guān)系較不太可能存在�����,或者每個機(jī)器可W必須有其自身的維度�����, 并且具有可能的值0或1���。在相對的情況下���,如果兩個警報是相同的,則運(yùn)兩個警報的機(jī)器屬 性之間的差可W簡單地是0,并且如果運(yùn)兩個警報是不同的���,則為1(或者根據(jù)距離度量���,差 可W更大或更低)。
[0022] 因此�����,在根據(jù)實(shí)施例的系統(tǒng)中,分析服務(wù)器112可W通過一個或多個網(wǎng)絡(luò)102而從 服務(wù)的不同的組件中接收警報��,W及從客戶端設(shè)備中接收警報�,并且采用機(jī)器學(xué)習(xí)技術(shù)、使 用警報對之間的增量來分析警報�。
[0023] 圖2示出了根據(jù)一些實(shí)施例的針對兩個示例警報的增量的概念性計算。
[0024] 可W通過將每個警報與時間上在其周圍的��、至多到特定的時間窗口的警報進(jìn)行比 較而生成警報對��。接著���,可W計算每一個警報對的增量���,并且分析那些增量的集合W確定絕 對數(shù)值方面的差。接著可W將闊值應(yīng)用于數(shù)值����,并且在一定距離內(nèi)的警報被認(rèn)為表示關(guān)聯(lián)。 接著�����,每個警報被提供有所有其他有關(guān)的警報��,因此降低了監(jiān)視噪聲并且使得對警報的根 本原因的標(biāo)識更加容易���。警報關(guān)聯(lián)還可W用于實(shí)際地抑制多余的警報而不是僅僅對其進(jìn)行 報告�����。通過該方式��,多余的警報可W不會不必要地到達(dá)末端用戶處�。此外��,可W手動地或者 自動地處理警報����。可W在兩種情況中的任何一種中實(shí)現(xiàn)在本文中所描述的關(guān)聯(lián)邏輯�。
[0025] 現(xiàn)在關(guān)注硬件組件,圖200示出了發(fā)出兩個不同的警報202和206的兩種不同的機(jī) 器(例如�����,服務(wù)器��、專用設(shè)備等)204和208�����。警報202和206可W是相關(guān)的(相關(guān)于相同的根本 原因)或不相關(guān)的。在根據(jù)實(shí)施例的系統(tǒng)中��,分析服務(wù)器可W對警報的增量進(jìn)行分析并且對 警報是否關(guān)聯(lián)于相同的問題進(jìn)行識別���。分析服務(wù)器可W標(biāo)識警報對212W及發(fā)出運(yùn)些警報 的機(jī)器之間的點(diǎn)210,而不是分析獨(dú)立的機(jī)器和警報�。
[0026] 如在圖200中所示���,可W由分析服務(wù)器來使用機(jī)器204和208之間的點(diǎn)210處的警報 (A+B)212,而不是來自機(jī)器204的警報202與來自機(jī)器208的警報206�。接著�,可W做出關(guān)于機(jī) 器是否可W從警報方面被認(rèn)為是相同的(相同的根本原因)的決策。如果它們是相同的���,貝U 可W分配0值���,如果不相同,則可W分配1值����,運(yùn)簡化了分析過程。當(dāng)然����,其它方法也可W用于 標(biāo)識警報對W及它們的起源點(diǎn)。實(shí)施例不限于由硬件組件所發(fā)出的警報���。警報可W由硬件 組件�、軟件組件�����、及兩者任何組合來發(fā)出(并且如在本文中所描述的那樣被分析)���。在一些示 例中����,屬性的比較可W相對簡單(例如�����,如果它們是相等的�����,貝幢為0;如果它們不相等��,則差 為1)或者高度復(fù)雜(例如,使用復(fù)雜的自然語言技術(shù)來分析自由形式的文本的相似度)�。
[0027]圖3示出了根據(jù)一些實(shí)施例的經(jīng)由對警報對的增量的計算W及與闊值的比較的、 對警報的關(guān)聯(lián)的框圖��。
[00%]圖300呈現(xiàn)了使用增量的警報分析過程的概述��。過程可W開始于對警報的比較302 W得到警報對304���?����?蒞接著計算警報對增量306,并且與闊值進(jìn)行比較(308)��。超過闊值的 值可W用于確定警報之間的關(guān)聯(lián)310����。
[0029] 為了生成并分析增量��,由系統(tǒng)所生成的警報被匯集到一個地方中����。該地方可W需 要足夠可縮放來承擔(dān)監(jiān)視負(fù)載,同時執(zhí)行在本文中所描述的計算�。在其它實(shí)施例中���,數(shù)據(jù)還 可W被劃分并且基于所述劃分而被分析。在接收到警報之后����,分析服務(wù)器可W執(zhí)行W下操 作:(1)找到在之前的時間窗口(例如����,1小時、1天等)中的警報�。(2)將運(yùn)些警報中的每個中 的有關(guān)屬性與新的警報進(jìn)行比較。對于每個屬性對�����,可W計算數(shù)值增量�����。通常而言�����,每個增 量可W具有相同的范圍(例如���,在0和1之間�����,其中0表示屬性是相同的�����,而1表示屬性可W相 差的最大值)��。(3)每個屬性可W具有與其相關(guān)聯(lián)的權(quán)重���,該權(quán)重確定該屬性有多重要���。權(quán)重 可W根據(jù)例如使用梯度下降算法的一些實(shí)施例而得知。(4)給定一組權(quán)重和一組增量��,可W 用多種方式來計算差值���。歐幾里得距離和S型函數(shù)是兩個示例�。還可W使用其它關(guān)聯(lián)方法��。 差值計算的結(jié)果可W是0和1之間的歸一化的值,其中時旨示相同的警報而1指示沒有任何相 似性的警報�����。(5)將手動地或者通過其它機(jī)器學(xué)習(xí)算法來確定闊值���。闊值可W指示什么值可 W是最大值���,該最大值仍然被認(rèn)為標(biāo)識警報之間的可能的關(guān)系。(6)每個所發(fā)現(xiàn)的關(guān)系可W 被存儲在數(shù)據(jù)庫或類似的數(shù)據(jù)存儲中���。(7)當(dāng)警報被發(fā)送給支持工程師W用于手動處理或 者由修理服務(wù)自動地處理時,相關(guān)的警報可W被提供為分組����,而不是迫使支持工程師或服 務(wù)單獨(dú)地處理所述警報。
[0030] 在一些實(shí)施例中���,可W接收到關(guān)于關(guān)聯(lián)是否有效的直接用戶反饋���,并且所述反饋 用于改進(jìn)機(jī)器學(xué)習(xí)算法。在其它實(shí)施例中�,可W采用各種技術(shù)W從與系統(tǒng)的用戶交互中推 斷用戶反饋,W便確定所呈現(xiàn)的關(guān)聯(lián)是否有效。
[0031] 在圖1-3中所描繪的示例應(yīng)用���、設(shè)備��、和模塊僅僅是出于說明的目的而提供的����。實(shí) 施例不限于在示例圖中所示出的配置和內(nèi)容��,并且可W使用采用在本文中所描述的原理的 其它算法�����、配置��、客戶端應(yīng)用��、服務(wù)提供商�����、W及模塊而被實(shí)現(xiàn)��。
[0032] 圖4是示例網(wǎng)絡(luò)化環(huán)境��,其中,可W實(shí)現(xiàn)實(shí)施例����。除了本地安裝的應(yīng)用,還可W結(jié)合 可W經(jīng)由在一個或多個服務(wù)器406或者獨(dú)立的服務(wù)器414上執(zhí)行的軟件來實(shí)現(xiàn)的托管的應(yīng) 用和服務(wù)而布置基于增量的警報分析��。托管的服務(wù)或應(yīng)用可W通過網(wǎng)絡(luò)410與獨(dú)立的計算 設(shè)備(例如����,手持式計算機(jī)、臺式計算機(jī)401�、膝上型計算機(jī)402、智能電話403�、平板計算機(jī) (或平板電腦)("客戶端設(shè)備"))上的客戶端應(yīng)用進(jìn)行通信,并且控制呈現(xiàn)給用戶的用戶界 面����。
[0033] 客戶端設(shè)備401-403可W用于訪問由托管的服務(wù)或應(yīng)用所提供的功能�。服務(wù)器406 或服務(wù)器414中的一個或多個可W用于提供上文中所討論的多種服務(wù)。相關(guān)的數(shù)據(jù)可W被 存儲在可W由服務(wù)器406中的任何一個或者由數(shù)據(jù)庫服務(wù)器408來管理的一個或多個數(shù)據(jù) 存儲(例如����,數(shù)據(jù)存儲409)中。
[0034] 網(wǎng)絡(luò)410可W包括服務(wù)器�、客戶端、互聯(lián)網(wǎng)服務(wù)提供商、W及通信介質(zhì)的任何拓?fù)?結(jié)構(gòu)�。根據(jù)實(shí)施例的系統(tǒng)可W具有靜態(tài)的拓?fù)浣Y(jié)構(gòu)或動態(tài)的拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)410可W包括諸 如企業(yè)網(wǎng)絡(luò)之類的安全網(wǎng)絡(luò)����,諸如無線開放網(wǎng)絡(luò)之類的非安全網(wǎng)絡(luò),或者互聯(lián)網(wǎng)����。網(wǎng)絡(luò)410 還可W協(xié)調(diào)通過諸如公共交換電話網(wǎng)絡(luò)(PSTN)或蜂窩網(wǎng)絡(luò)之類的其它網(wǎng)絡(luò)的通信。網(wǎng)絡(luò) 410在本文中所描述的節(jié)點(diǎn)之間提供通信���。作為示例而非限制�����,網(wǎng)絡(luò)410可W包括無線介質(zhì)�, 例如聲學(xué)�、RF、紅外���、和其它無線介質(zhì)��。
[0035] 可W采用計算設(shè)備���、應(yīng)用���、數(shù)據(jù)源、W及數(shù)據(jù)分布系統(tǒng)的許多其它配置來分析使用 增量的系統(tǒng)警報���,而不是獨(dú)立的警報��。此外����,在圖4中所討論的網(wǎng)絡(luò)化環(huán)境僅僅用于說明的 目的���。實(shí)施例不限于示例應(yīng)用��、模塊����、或過程�。
[0036] 圖5和相關(guān)聯(lián)的討論旨在提供關(guān)于其中可W實(shí)現(xiàn)實(shí)施例的合適的計算環(huán)境的簡 短�、概括的描述。參考圖5,示出了根據(jù)實(shí)施例的應(yīng)用的示例計算操作環(huán)境(例如�,計算設(shè)備 500)的框圖�����。在基本配置中��,計算設(shè)備500可W是在本文中所討論的示例設(shè)備中的任何一 個����,并且可W包括至少一個處理單元502和系統(tǒng)存儲器504����。計算設(shè)備500還可W包括在執(zhí)行 程序的過程中協(xié)作的多個處理單元。取決于計算設(shè)備的確切的配置和類型��,系統(tǒng)存儲器504 可W是易失性的(例如���,RAM)�、非易失性的(例如���,ROM��、閃速存儲器等)或者兩者的一些組合����。 系統(tǒng)存儲器504通常包括適用于控制平臺的操作的操作系統(tǒng)506,例如,來自Washington州 Redmond市的MICROSOFT公司的WINDOWS⑧操作系統(tǒng)�、WIND0WSMOBILE⑧操作系統(tǒng)、或 者WINDOWS PHONE⑥操作系統(tǒng)�����。系統(tǒng)存儲器504還可W包括一個或多個軟件應(yīng)用�,例如,警 報分析應(yīng)用522和關(guān)聯(lián)模塊524����。
[0037] 關(guān)聯(lián)模塊524可W結(jié)合主機(jī)服務(wù)或者警報分析應(yīng)用522來運(yùn)行,并且將警報作為對 來處理(而不是單獨(dú)地處理警報)����,并且將警報對之間的增量作為待由機(jī)器學(xué)習(xí)技術(shù)分析的 數(shù)據(jù)?����?蒞通過將每個警報與時間上在其周圍的其它警報進(jìn)行比較而生成警報對��?��?蒞計 算針對每個警報對的增量���,并且可W分析那些增量的集合W確定在絕對數(shù)值方面的差值。 接著可W應(yīng)用闊值而確定在一定距離內(nèi)的警報W表示關(guān)聯(lián)�。在圖5中由虛線508內(nèi)的那些組 件示出了該基本配置。
[0038] 計算設(shè)備500可W具有額外的特征或功能��。例如����,計算設(shè)備500還可W包括額外的 數(shù)據(jù)存儲設(shè)備(可移動的和/或不可移動的),例如�����,磁盤�����、光盤�����、或磁帶��。在圖5中由可移動存 儲設(shè)備509和不可移動存儲設(shè)備510示出了運(yùn)樣額外的存儲設(shè)備�����。計算機(jī)可讀存儲介質(zhì)可W 包括W用于存儲信息(例如,計算機(jī)可讀指令���、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊�����、或其它數(shù)據(jù))的任何方 法或技術(shù)實(shí)現(xiàn)的易失性的和非易失性的��、可移動的和不可移動的介質(zhì)�����。系統(tǒng)存儲器504���、可 移動存儲設(shè)備509、和不可移動存儲設(shè)備510全部都是計算機(jī)可讀存儲介質(zhì)的示例����。計算機(jī) 存儲介質(zhì)包括但不限于RAM�����、R0M、邸PROM����、閃速存儲器或其它存儲器技術(shù)、CD-ROM��、數(shù)字通用 盤(DVD)���、或其它光存儲設(shè)備���、盒式磁帶、磁帶����、磁盤存儲設(shè)備或其它磁存儲設(shè)備、或者可W 用于存儲期望的信息并且可W由計算設(shè)備500存取的任何其它介質(zhì)�����。任何運(yùn)樣的計算機(jī)可 讀存儲介質(zhì)都可W是計算設(shè)備500的一部分。計算設(shè)備500還可W具有輸入設(shè)備512,例如�, 鍵盤、鼠標(biāo)����、筆、語音輸入設(shè)備�、觸摸輸入設(shè)備、用于檢測手勢的光學(xué)捕獲設(shè)備��、W及類似的 輸入設(shè)備�����。也可W包括諸如顯示器�、揚(yáng)聲器、打印機(jī)����、和其它類型是輸出設(shè)備之類的輸出設(shè) 備514。運(yùn)些設(shè)備是本領(lǐng)域中公知的并且不需要在運(yùn)里詳細(xì)討論�。
[0039] 計算設(shè)備500還可W包含通信連接516,其允許設(shè)備例如通過分布式計算環(huán)境中的 有線或無線網(wǎng)絡(luò)、衛(wèi)星鏈路�、蜂窩鏈路、W及類似的機(jī)制來與其它設(shè)備518進(jìn)行通信���。其它設(shè) 備518可W包括執(zhí)行通信應(yīng)用的計算機(jī)設(shè)備�、其它目錄或策略服務(wù)器、和類似的設(shè)備�����。通信 連接516是通信介質(zhì)的一個示例���。通信介質(zhì)可W在其中包括計算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)����、程 序模塊、或者已調(diào)的數(shù)據(jù)信號(例如���,載波或其它傳輸機(jī)制���,并且包括任何信息傳遞介質(zhì))中 的其它數(shù)據(jù)。術(shù)語"已調(diào)制的數(shù)據(jù)信號"是指運(yùn)樣的信號:具有使該信號的特性中的一個或 多個W如將信息編碼在信號中的方式來設(shè)置或改變的信號�����。作為示例而非限制����,通信介質(zhì) 包括諸如有線網(wǎng)絡(luò)或直接有線連接之類的有線介質(zhì)�����,W及諸如聲學(xué)��、RF��、紅外��、和其它無線 介質(zhì)之類的無線介質(zhì)��。
[0040] 示例實(shí)施例還包括方法��。運(yùn)些方法可包括在該文檔中所描述的結(jié)構(gòu)的多種方 式被實(shí)現(xiàn)�。一種運(yùn)樣的方式是通過在該文檔中所描述的類型的設(shè)備的機(jī)器操作����。
[0041] 另一種可選的方式是針對結(jié)合執(zhí)行一些操作的一個或多個人類操作者而將被執(zhí) 行的方法的獨(dú)立操作中的一個或多個。運(yùn)些人類操作者不需要彼此處于同一位置��,但每個 操作者可W與執(zhí)行程序的一部分的機(jī)器在一起���。
[0042] 圖6示出了根據(jù)實(shí)施例的針對經(jīng)由增量的對系統(tǒng)警報進(jìn)行關(guān)聯(lián)的過程的邏輯流程 圖�����。過程600可W被實(shí)現(xiàn)為監(jiān)視系統(tǒng)或應(yīng)用的一部分���。
[0043] 過程600開始于操作610,其中�,監(jiān)視和/或分析應(yīng)用可W確定在時間上在新的警報 周圍的警報�����,例如���,具有預(yù)先確定的時間窗口(例如,一小時��、一天等)���。在操作620處�����,可W通 過將所確定的警報的屬性與新的警報進(jìn)行比較來確定增量���。為了方便計算���,可W在絕對數(shù) 值方面表達(dá)差值。
[0044] 在可選的操作630處��,可W確定警報的屬性的權(quán)重��。權(quán)重可W是預(yù)先確定的��、手動 輸入的�、或者通過機(jī)器學(xué)習(xí)技術(shù)所得知的。在操作640處�����,可W確定闊值W確定關(guān)聯(lián)�。可W將 闊值應(yīng)用至增量���,例如�����,使用距離來表示關(guān)聯(lián)�����。在操作650處可W將超過闊值的值呈現(xiàn)為關(guān) 于彼此的警報���。
[0045] 警報關(guān)聯(lián)還可W用于實(shí)際地抑制多余的警報而不是僅僅對其進(jìn)行報告�,使得多余 的警報可W不會不必要地到達(dá)末端用戶處���。此外�����,可W手動地或者自動地處理警報���。可W在 兩種場景中實(shí)現(xiàn)在本文中所描述的關(guān)聯(lián)過程�。
[0046] 被包括在過程600中的操作是出于解釋說明的目的的�����?�?蒞通過具有更少或額外 的步驟的類似的過程W及與使用在本文中所描述的原理的操作不同的順序來實(shí)現(xiàn)對根據(jù) 實(shí)施例的通過使用增量的關(guān)聯(lián)的系統(tǒng)警報進(jìn)行分析���。
[0047] W上的說明書�����、示例�、和數(shù)據(jù)提供了對實(shí)施例的組成部分的制造和使用的完整說 明。盡管已經(jīng)用特定于結(jié)構(gòu)特征和/或方法行為的語言描述了主題�,但應(yīng)當(dāng)理解的是,在所 附權(quán)利要求中所定義的主題非必須限于在上文中所描述的具體的特征或行為�。相反,在上 文中所描述的具體的特征和行為是作為實(shí)現(xiàn)權(quán)利要求和實(shí)施例的示例形式而公開的���。
【主權(quán)項(xiàng)】
1. 一種方法��,其至少部分在計算設(shè)備中被執(zhí)行以提供對使用增量的系統(tǒng)警報的分析��, 所述方法包括: 檢測新的警報���; 在檢測到所述新的警報之前,確定預(yù)先確定的時間段內(nèi)的多個警報�; 確定所述多個警報中的每個與所述新的警報之間的增量; 計算針對每個增量的差值��; 確定關(guān)聯(lián)閾值�;以及 將其差值高于所述關(guān)聯(lián)閾值的警報標(biāo)識為彼此相關(guān)。2. 根據(jù)權(quán)利要求1所述的方法,還包括: 將被標(biāo)識為與所述新的警報相關(guān)的所述警報與所述新的警報一起呈現(xiàn)給以下中的一 個:支持工程師與系統(tǒng)健康監(jiān)視服務(wù)�����。3. 根據(jù)權(quán)利要求1所述的方法���,其中��,確定所述增量包括: 將所述多個警報中的每個的一個或多個屬性與所述新的警報的對應(yīng)的屬性進(jìn)行比較�。4. 根據(jù)權(quán)利要求3所述的方法���,其中�,確定所述增量包括: 計算預(yù)先確定的范圍內(nèi)的每個增量的數(shù)值�����。5. 根據(jù)權(quán)利要求4所述的方法��,其中���,所述預(yù)先確定的范圍是0和1之間,0指示相同的屬 性而1指示區(qū)別的屬性��。6. 根據(jù)權(quán)利要求3所述的方法��,還包括: 給每個屬性分配權(quán)重。7. 根據(jù)權(quán)利要求6所述的方法����,還包括: 采用機(jī)器學(xué)習(xí)算法來確定所述權(quán)重。8. 根據(jù)權(quán)利要求7所述的方法�,其中,所述機(jī)器學(xué)習(xí)算法是梯度下降算法�。9. 根據(jù)權(quán)利要求1所述的方法,還包括: 基于確定與每個增量相關(guān)聯(lián)的警報之間的距離來計算每個增量的差值�。10. 根據(jù)權(quán)利要求1所述的方法,還包括以下中的一個: 接收用戶反饋以確認(rèn)所呈現(xiàn)的關(guān)聯(lián)的有效性���;以及 從與處理所述警報的系統(tǒng)的用戶交互中推斷所述用戶反饋����,以確認(rèn)所述所呈現(xiàn)的關(guān)聯(lián) 的所述有效性�。11. 一種用于提供對使用增量的系統(tǒng)警報的分析的計算設(shè)備,所述計算設(shè)備包括: 存儲器��; 耦合至所述存儲器的處理器���,所述處理器執(zhí)行警報分析應(yīng)用��,其中��,所述處理器被配置 為: 檢測新的警報���; 在檢測到所述新的警報之前��,確定預(yù)先確定的時間段內(nèi)的多個警報����; 確定所述多個警報中的每個與所述新的警報之間的增量����; 計算針對每個增量的差值; 確定關(guān)聯(lián)閾值���; 采用機(jī)器學(xué)習(xí)算法來將其差值高于所述關(guān)聯(lián)閾值的警報標(biāo)識為彼此相關(guān);并且 將被標(biāo)識為與所述新的警報相關(guān)的所述警報與所述新的警報一起呈現(xiàn)給以下中的一 個:支持工程師與系統(tǒng)健康監(jiān)視服務(wù)�����。12. 根據(jù)權(quán)利要求11所述的計算設(shè)備�,其中����,所述處理器還被配置為: 在支持關(guān)于所呈現(xiàn)的警報之間的關(guān)聯(lián)的有效性的用戶反饋的用戶界面上,呈現(xiàn)被標(biāo)識 為與所述新的警報相關(guān)的所述警報以及所述新的警報;并且 調(diào)整所采用的用于將所述警報標(biāo)識為相關(guān)的所述機(jī)器學(xué)習(xí)算法�。13. 根據(jù)權(quán)利要求11所述的計算設(shè)備,其中�����,所述處理器被配置為: 給所述警報的每個屬性分配權(quán)重;并且 采用歐幾里得距離函數(shù)和S型函數(shù)中的一個�,基于所述增量和與每個屬性相關(guān)聯(lián)的權(quán) 重來計算警報對的差值。14. 根據(jù)權(quán)利要求11所述的計算設(shè)備����,其中,所述處理器被配置為: 存儲每個經(jīng)標(biāo)識的關(guān)系和對應(yīng)的警報對�����。15. -種具有存儲于其上的����、用于提供對使用增量的系統(tǒng)警報的分析的指令的計算機(jī) 可讀存儲器設(shè)備,所述指令包括: 檢測新的警報����; 在檢測到所述新的警報之前,確定預(yù)先確定的時間段內(nèi)的多個警報�����; 通過將所述多個警報中的每個的一個或多個屬性與所述新的警報的對應(yīng)的屬性進(jìn)行 比較,來確定所述多個警報中的每個與所述新的警報之間的增量����; 給每個屬性分配權(quán)重; 計算針對每個增量的差值��; 確定關(guān)聯(lián)閾值�����; 將其差值高于所述關(guān)聯(lián)閾值的警報標(biāo)識為彼此相關(guān)�����;以及 將被標(biāo)識為與所述新的警報相關(guān)的所述警報與所述新的警報一起呈現(xiàn)給以下中的一 個:支持工程師與系統(tǒng)健康監(jiān)視服務(wù)��。
【文檔編號】G06F21/55GK105830083SQ201480069295
【公開日】2016年8月3日
【申請日】2014年12月11日
【發(fā)明人】A·薩多夫斯基, J·阿夫納
【申請人】微軟技術(shù)許可有限責(zé)任公司