【技术实现步骤摘要】
本专利技术涉及聚合告警,尤其涉及一种聚合告警方法及系统。
技术介绍
1、在信息化系统建设过程中,为了监控系统的运行情况和健康状态,如图1所示,一般会配备安全监测设备或软件、运维监控系统以及自动化巡检系统,通过安全监测设备或软件来监测和防护系统安全,运维监控系统负责监控主机和网络基础设施、中间件、数据库和应用等组件,自动化巡检系统负责监测核心链路和服务。当安全监测设备或软件、运维监控系统或自动化巡检系统监测到异常事件时,会通过内置的告警模块,采用短信、邮件、即时消息(instant messaging,im)、电话和webhook等渠道或协议进行告警事件的通知推送。
2、现有的告警机制主要依赖于各监控设备或系统内置的告警模块进行异常事件的告警。这些模块虽然能够实现基本的告警通知功能,但是各个监控设备和系统都只专注于自身的监控领域,各自为战,产生的告警事件很难进行协同,进而导致存在以下问题。首先,每个告警模块均需要配置或适配各种告警通知渠道,对于不支持的渠道或协议还需要进行定制开发,增加了实施和维护的成本。其次,会产生大量重复且没有关联的告警事件,需要人为进行分析和排查,导致问题难以及时处理,而且缺乏对告警事件的统一后续处理能力。
技术实现思路
1、为了解决以上技术问题,本专利技术提供了一种聚合告警方法;另一方面,还提供了一种聚合告警系统。
2、本专利技术所解决的技术问题可以采用以下技术方案实现:
3、一种聚合告警方法,包括:
4、步骤s
5、步骤s2,根据聚合分析规则对所述标准化告警事件进行聚合分析处理,得到聚合告警事件;
6、步骤s3,根据所述聚合告警事件进行告警。
7、优选地,所述步骤s1包括:
8、步骤s11,构建告警事件元数据,以对告警信息进行标准化定义;
9、步骤s12,基于构建的所述告警事件元数据,对接收到的所述源告警事件的告警信息进行标准化映射和转换,得到标准化告警事件。
10、优选地,所述告警信息包括告警源、告警对象类型、告警对象、告警类型、告警等级、告警时间和告警标签中的任意一种或多种组合。
11、优选地,所述聚合分析规则包括以下任意一种或多种组合:
12、收敛聚合规则,用于基于收敛聚合时间窗口结合告警事件元数据的各个维度的过滤条件组合,对标准化告警事件与活跃聚合告警事件进行收敛聚合处理;
13、告警抑制规则,用于基于抑制时间窗口结合告警事件元数据的各个维度的过滤条件组合,根据活跃聚合告警事件对新的聚合告警事件进行抑制处理;
14、告警静默规则,用于基于静默时间窗口,结合告警事件元数据的各个维度的过滤条件组合,对新的聚合告警事件进行静默处理。
15、优选地,所述步骤s2包括:
16、步骤s21,在接收到新的标准化告警事件时,根据所述收敛聚合规则,对所述新的标准化告警事件与当前存在的活跃聚合告警事件进行匹配:
17、若匹配到活跃聚合告警事件,则将所述新的标准化告警事件聚合入匹配到的活跃聚合告警事件中,并更新所述收敛聚合时间窗口的起始时间,随后进入所述步骤s3;
18、若未匹配到活跃聚合告警事件或当前不存在活跃聚合告警事件,则根据所述新的标准化告警事件创建一个新的聚合告警事件,随后进入步骤s22;
19、步骤s22,根据所述告警抑制规则,对首次创建的所述新的聚合告警事件与活跃聚合告警事件进行匹配:
20、若匹配到活跃聚合告警事件,则根据匹配到的活跃聚合告警事件对所述新的聚合告警事件进行抑制处理,并返回所述步骤s1;
21、若未匹配到活跃聚合告警事件,则进入步骤s23;
22、步骤s23,判断所述新的聚合告警事件是否满足所述告警静默规则:
23、若所述新的聚合告警事件满足任一所述告警静默规则,则对所述新的聚合告警事件进行静默处理,并返回所述步骤s1;
24、若所述新的聚合告警事件不满足所有所述告警静默规则,则进入所述步骤s3。
25、优选地,所述步骤s3包括:
26、步骤s31,将所述聚合告警事件与预先配置的多个告警分派规则进行匹配,并在匹配到告警分派规则时,根据匹配到的告警分派规则将所述聚合告警事件推送至相应的告警团队;
27、步骤s32,判断所述聚合告警事件是否被认领,并在所述聚合告警事件被认领后进入步骤s33;
28、步骤s33,在接收到所述聚合告警事件的关闭消息时,关闭所述聚合告警事件。
29、优选地,所述告警分派规则中配置有告警团队、告警通知渠道和告警模板;
30、所述步骤s31包括:针对所述聚合告警事件,根据匹配到的告警分派规则,按照告警模版生成告警通知信息,通过对应的告警通知渠道推送至相应的告警团队,并记录分派通知日志。
31、优选地,所述步骤s32中,在所述聚合告警事件被分派后超过第一预设认领时间未被认领时,先采用电话的方式进行升级通知,并在超过第二预设认领时间仍未被认领时,根据所述告警分派规则所配置的告警升级规则,对所述聚合告警事件进行升级分派。
32、优选地,所述步骤s33中,在接收到所述聚合告警事件的关闭消息之前,还包括:
33、在接收到所述告警团队发送的告警协同消息时,将所述聚合告警事件的协同处理通知消息发送至协同人员;和/或
34、在接收到所述告警团队发送的告警升级消息时,对所述聚合告警事件进行告警升级。
35、本专利技术还提供一种聚合告警系统,用于实施如上述的聚合告警方法,系统包括:
36、告警事件接收模块,用于接收来自不同告警源生成的源告警事件,并对所述源告警事件的告警信息进行标准化处理,得到标准化告警事件;
37、聚合告警分析模块,连接所述告警事件接收模块,用于根据聚合分析规则对所述标准化告警事件进行聚合分析处理,得到聚合告警事件;
38、聚合告警通知处理模块,连接所述聚合告警分析模块,用于根据所述聚合告警事件进行告警。
39、本专利技术技术方案的优点或有益效果在于:
40、本专利技术通过接收来自各类不同监测设备和系统的源告警事件信息,通过聚合分析规则和算法对源告警事件进行聚合分析,生成聚合告警事件信息并统一推送至常见的告警通知渠道,以及告警事件的后续协同处理机制,从而解决因各个监测设备和系统各自为战带来的重复告警和无关联难以协同排查的问题,以及解决多种告警通知渠道和协议的统一告警信息推送和后续协同处理。
本文档来自技高网...【技术保护点】
1.一种聚合告警方法,其特征在于,包括:
2.根据权利要求1所述的聚合告警方法,其特征在于,所述步骤S1包括:
3.根据权利要求1所述的聚合告警方法,其特征在于,所述告警信息包括告警源、告警对象类型、告警对象、告警类型、告警等级、告警时间和告警标签中的任意一种或多种组合。
4.根据权利要求1所述的聚合告警方法,其特征在于,所述聚合分析规则包括以下任意一种或多种组合:
5.根据权利要求4所述的聚合告警方法,其特征在于,所述步骤S2包括:
6.根据权利要求1所述的聚合告警方法,其特征在于,所述步骤S3包括:
7.根据权利要求1所述的聚合告警方法,其特征在于,所述告警分派规则中配置有告警团队、告警通知渠道和告警模板;
8.根据权利要求6所述的聚合告警方法,其特征在于,所述步骤S32中,在所述聚合告警事件被分派后超过第一预设认领时间未被认领时,先采用电话的方式进行升级通知,并在超过第二预设认领时间仍未被认领时,根据所述告警分派规则所配置的告警升级规则,对所述聚合告警事件进行升级分派。
9.根据
10.一种聚合告警系统,其特征在于,用于实施如权利要求1-9任意一项所述的聚合告警方法,系统包括:
...【技术特征摘要】
1.一种聚合告警方法,其特征在于,包括:
2.根据权利要求1所述的聚合告警方法,其特征在于,所述步骤s1包括:
3.根据权利要求1所述的聚合告警方法,其特征在于,所述告警信息包括告警源、告警对象类型、告警对象、告警类型、告警等级、告警时间和告警标签中的任意一种或多种组合。
4.根据权利要求1所述的聚合告警方法,其特征在于,所述聚合分析规则包括以下任意一种或多种组合:
5.根据权利要求4所述的聚合告警方法,其特征在于,所述步骤s2包括:
6.根据权利要求1所述的聚合告警方法,其特征在于,所述步骤s3包括:
7.根据权利要求1所述的聚...
【专利技术属性】
技术研发人员:谢文明,龚佳靖,苏华林,
申请(专利权)人:上海市大数据股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。