【日志解析】【启发式】Drain:一种用于日志解析的深度解析树

最新推荐文章于 2024-07-25 09:48:00 发布
最新推荐文章于 2024-07-25 09:48:00 发布
阅读量1.3k 收藏 2
点赞数 2
分类专栏: 和小白一起读paper 文章标签: 数据挖掘 大数据 人工智能 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44528283/article/details/131098259
版权

Drain:An Online Log Parsing Approach with Fixed Depth Tree

文章目录

1 论文出处

  • 会议/期刊:ICWS(International Conference on Web Services)
  • 级别:CCF-B
  • 时间:2017

2 背景

2.1 背景介绍

  如今,越来越多的开发人员利用现有的Web服务来构建他们自己的系统,在此背景下,基于日志分析的服务管理技术,即利用服务日志来实现自动或半自动的服务管理,已经得到了广泛的研究。因此,应用数据挖掘模型来了解系统行为的日志分析技术被广泛应用于服务管理。

  在这些日志分析技术中使用的大多数数据挖掘模型都需要结构化的输入(例如,一个事件列表或一个矩阵)。但是,原始日志消息通常是非结构化的,因为开发人员可以在源代码中编写自由文本的日志消息。因此,日志分析的第一步是日志解析,其中非结构化日志消息被转换为结构化事件。非结构化日志消息,如下例所述,通常包含各种形式的系统运行时信息:时间戳(记录事件发生的时间)、冗长级别(指示事件的严重性级别,例如,INFO)和原始消息内容(服务操作的自由文本描述)。

2.2 针对问题

  随着日志量的快速增加,在日志收集后使用所有现有日志的离线日志解析方法的模型训练变得非常耗时,而且大多数现有的日志解析方法都集中在离线的、日志的批处理上。

2.3 创新点

  提出了一种在线的流处理日志解析方法,利用深度解析树结构。

3 主要设计思路

3.1 Drain整体结构

  解析树中的每个路径都以一个叶节点结束,该节点存储一个日志组列表,为了简单起见,我们在这里只绘制一个叶节点。每个日志组都有两个部分:日志事件和日志ID。

  • 日志事件是最能描述该组中的日志消息的模板,该组由日志消息的常量部分组成。
  • 日志ID将记录此组中的日志消息的ID。

  解析树的一种特殊设计是,所有叶节点的深度都是相同的,并且由一个预定义的参数深度来固定。例如,图2中的叶节点的深度被固定为3。该参数限制了搜索过程中引流访问的节点数,大大提高了其效率。此外,为了避免树枝爆炸,我们采用了一个参数 ,它限制了一个节点的最大子节点的数量。

3.2 具体步骤

(1)按领域知识进行预处理

  Drain允许用户提供基于表示常用变量的域知识的简单正则表达式,如IP地址和块ID。然后,将删除由这些正则表达式从原始日志消息中匹配的标记。例如,图1中的块id将被“blk[0-9]+”删除。在此步骤中使用的正则表达式通常非常简单,并且一个数据集通常只需要少数这样的正则表达式。例如,在我们的计算部分中使用的数据集最多需要两个这样的正则表达式。

(2)按日志消息长度进行搜索

  解析树中的第一层节点表示日志消息具有不同日志消息长度的日志组,在此步骤中,Drain会根据预处理的日志消息的日志消息长度选择到第一层节点的路径。例如,对于日志消息“Receive from node 4”,将导线引流到图2中的内部节点“Length:4”。这是基于具有相同日志事件的日志消息可能具有相同的日志消息长度的假设。

(3)通过前面的标记进行搜索

  在此步骤中,Drain从步骤2中搜索的一个第一层节点遍历到一个叶节点。这一步是基于日志消息开始位置中的标记更有可能是常量的假设。具体来说,Drain通过日志消息开始位置的标记选择下一个内部节点。例如,对于日志消息“Receive from node 4”,排水管从第一层节点“Length:4”穿越到第二层节点“Receive”,因为在日志消息的第一个位置的标记是“Receive”。然后,Drain将遍历到与内部节点“Receive”链接的叶节点,并转到步骤4。

(4)按标记相似度搜索

  在此步骤中,Drain将从日志组列表中选择最合适的日志组。我们计算每个日志组的日志消息和日志事件之间的相似性simSeq。simSeq的定义如下:

第一张图片显示不出时显示的文字
第二张图片显示不出时显示的文字

  其中,seq1和seq2分别表示日志消息和日志事件;seq (i)为序列的第i个标记;n为序列的日志消息长度。我们将其与预定义的相似度阈值进行比较。如果simSeq远远大于这个阈值,则Drain将返回组作为最合适的日志组。否则,Drain将返回一个标志(例如,Python中的None),以表示没有合适的日志组。

(5)更新解析树

  如果在步骤4中返回了合适的日志组,则Drain系统将把当前日志消息的日志ID添加到返回的日志组中的日志ID中。此外,还将更新返回的日志组中的日志事件。如果排水无法找到合适的日志组,则会根据当前日志消息创建一个新的日志组,其中日志ID只包含日志消息的ID,而日志事件正是日志消息。例如,假设当前的解析树是下图左侧的树,并且会到达一个新的日志消息“Receive 120 bytes”。然后,Drain将把解析树更新到下图右侧的树。请注意,第三层中的新内部节点被编码为“*”,因为标记“120”包含数字。

4 实验设计

五种日志数据集,与四种传统方法(2在线2离线)比较,准确率、精度和召回,最后基于PCA+不同的解析方法进行异常检测比较

(1)准确率与运行时间

(2)不同规模对运行时间的影响

(3)异常检测结果(基于PCA)

5 个人总结

  Drain是一种在线日志解析方法,通过正则表达式可以将常量与变量分离,加以改进可以把参数提取出来,减少模板数量,同时本篇文章提供了五种日志的解析结果以及相应的设置参数,后期可以考虑用这种方法进行日志解析,并考虑如何引入参数来进行异常检测。

小天才才
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
日志自动分析和解析开源工具
lovelife110的博客
12-18 1万+
论文原文 https://arxiv.org/pdf/1811.03509.pdf 翻译原文 https://blog.csdn.net/arpospf/article/details/98795806 GitHub 日志解析:https://github.com/logpai/logparser 自动日志分析的工具和基准 Abstract——在许多软件系统的开发和维护过程中,日志是...
【PaperReading】Tools and Benchmarks for Automated Log Parsing
小哲的博客
08-07 2655
Tools and Benchmarks for Automated Log Parsing 自动日志分析的工具和基准 Jieming Zhu① , Shilin He② , Jinyang Liu③ , Pinjia He④ , Qi Xie⑤ , Zibin Zheng⑥ , Michael R. Lyu⑦ ①Huawei Noah’s Ark Lab, Shenzhen, China ...
学习笔记3:日志异常检测之日志解析
hyq99999的博客
12-16 1612
最近在准备一个基于深度学习的日志分析项目,这是学习笔记
探秘 Drain3:一款高效日志异常检测神器
gitblog_00042的博客
04-26 592
探秘 Drain3:一款高效日志异常检测神器 项目地址:https://gitcode.com/logpai/Drain3 项目简介 Drain3 是一个基于深度学习的日志异常检测系统,由 LogPAI 团队开发并开源。它旨在帮助运维人员和数据科学家快速发现系统日志中的异常行为,从而及时预测和处理潜在的问题,提升系统的稳定性和安全性。 技术分析 Drain3 的核心技术是利用一维卷积神经网络(1D...
Log日志详解分析
Mrsgflmx的博客
06-14 62
1这里需要了解到grep命令的几个参数含义:grep ‘name’ -A 10 显示匹配内容和后面的10行grep ‘name’ -B 10 显示匹配内容和前面的10行grep ‘name’ -C 10 显示匹配内容和前后面的10行tail -n 11命令则是将当前显示的10行内容以及匹配的那一行内容展示出现。
Drain: An Online Log Parsing Approach with Fixed Depth Tree
qq128252的博客
06-25 661
论文提出了一种名为 Drain 的在线日志解析方法,旨在解决由于日志量快速增长而导致的离线日志解析方法的效率问题。Drain 通过使用固定深度解析,并在节点中编码特殊设计的规则,实现了日志的流式解析,并大大提高了解析效率和准确性。现代云计算和服务导向架构(SOA)的普及使得日志分析在服务管理中变得至关重要。日志通常是唯一记录系统运行时信息的数据资源,然而,原始日志信息是非结构化的,需要解析成结构化事件以便进一步分析。现有大多数日志解析方法集中于离线批处理,而随着日志量的增加,这种方法变得越来越耗时。
UniParser:异构日志数据的统一日志解析
Mark_Australia的博客
11-03 886
UniParser 介绍
快速了解日志概貌,详细解读13种日志模式解析算法
Sharon0408的博客
04-14 2766
本技术黑板报中,我们将围绕三个问题来详细讲解日志模式解析日志模式解析是什么,为什么要做日志模式解析,如何实现日志模式解析
基于深度学习的日志数据异常检测
热门推荐
王清欢的博客
12-27 2万+
基于日志数据的异常检测 数据对象 智能运维(AIOps)是通过机器学习等算法分析来自于多种运维工具和设备的大规模数据。智能运维的分析数据对象多源运维数据包括系统运行时数据和历史记录数据,历史记录数据主要包含表单和系统更新文档等。与历史记录数据相比,系统运行时数据能够反映系统的动态特征及系统发生故障时的上下文信息,对未知故障具有更好的探测和表达能力。 系统运行时数据主要包含监控数据和日志数据,监控数据记录的是指系统运行状态下的资源占用情况,如中央处理器使用率、内存使用率、网络流量、进程数目以及进程资源使
Self-Supervised Log Parsing 自监督日志解析
Mark_Australia的博客
02-15 865
自监督日志解析
drain:heroku 的日志流失
06-30
例如,如果将 Drain 作为应用程序my-new-drain部署到 heroku 并且您想从my-application接收日志: heroku drains:add https://my-new-drain.herokuapp.com/drain -a my-application 安全 为了防止未经授权登录到...
golang-heroku-log-drain:用Go编写的Heroku日志流失
03-26
Heroku是一个流行的云平台,用于部署和管理Web应用程序。本项目“golang-heroku-log-drain”旨在为Heroku用户提供一个用Go语言实现的日志流失解决方案,使得日志可以通过HTTP(S)协议进行传输和接收。 首先,我们...
MOS管反峰与RCD吸收回路的解析
01-20
对于一位开关电源工程师来说,在一对或多对相互对立的条件面前做出选择,那是常有的事。而我们今天讨论的这个话题就是一对相互对立的条件。... RCD旋转控制装置,一种应用用石油钻井行业的特殊设备,一般应用于欠平
解析增强型MOS场效应管的工作方式
08-18
增强型MOS场效应管(Enhanced Mode MOSFET)是一种广泛应用在电子设备中的半导体器件,尤其在开关电源、放大电路以及数字逻辑电路等领域占据重要地位。MOS,即金属-氧化物-半导体(Metal-Oxide-Semiconductor),是...
数据挖掘-数据预处理
qq_61940759的博客
07-23 1207
来自🥬🐶程序员Truraly | 田园(欢迎关注)
分布式系统常见软件架构模式
最新发布
Ben的专栏
07-25 951
简而言之,有效管理数据和通信流对于构建健壮且可扩展的分布式系统至关重要。对等、API 网关、发布-订阅、请求-响应、事件溯源、ETL、批处理、流处理和编排等架构模式提供了有价值的解决方案,以应对系统设计和实现中的各种挑战。通过理解这些软件架构和分布式系统模式及其各自的优势和权衡,架构师和开发人员可以做出明智的决策,设计出满足其应用程序和用户不断变化的需求的系统。
SpringBoot整合Elastic-Job 2.1.53版本任务调度,手动任务,动态添加任务演示
小哇
07-23 397
zookeeper安装并成功运行。
如何使用日志解析Drain3
05-26
Drain3 是一种日志解析器,可以将未结构化的日志数据转换为结构化的事件,并提取出有用的信息。以下是使用 Drain3 的基本步骤: 1. 准备数据:将要解析日志数据存储在一个文本文件中,每行代表一个日志事件。 2. 安装 Drain3:可以使用 pip 命令安装 Drain3 库。 ``` pip install drain3 ``` 3. 配置参数:Drain3 需要一些配置参数,例如日志文件的路径、输出文件的路径、日志模板数量等。 4. 加载模型:Drain3 使用机器学习模型来推断日志事件的结构。需要先加载模型,可以使用 `load()` 方法加载预训练模型,也可以使用 `train()` 方法重新训练模型。 5. 解析日志:使用 `parse()` 方法解析日志,该方法返回一个包含解析后的事件和对应的模板的字典。 下面是一个简单的示例代码: ```python from drain3 import TemplateMiner, LogParser # 配置参数 log_file = 'path/to/log/file' output_file = 'path/to/output/file' num_templates = 10 tau = 0.5 # 加载模型 template_miner = TemplateMiner() log_parser = LogParser(template_miner) # 解析日志 log_parser.parse(log_file, output_file, num_templates, tau) ``` 这里使用了默认的参数,可以根据实际情况进行调整。解析完成后,可以查看输出文件,其中包含每个日志事件的结构和模板。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小天才才

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值