[发明专利]基于zabbix性能基线的异常检测和告警方法

说明书

本发明公开了一种基于zabbix性能基线的异常检测和告警方法，包括如下步骤：S1：通过监控系统获取历史数据作为样本数据；S2：去除与整体数据偏差超过预设临界值的异常数据；S3：以监控周期为单位，获取监控周期内的数据平均值或者中间值作为基线；S4：通过均线漂移运算对基线进行校正得到校正后的基线；S5：将监控值与校正后的基线值进行对比，通过对比差值触发不同的告警类型。本发明在传统基线算法的基础上去除异常数据，进行基线校正，然后配置合理的基线冗余范围，提供了更加准确的动态基线告警，使得不同业务系统、不同资源类型甚至不同业务部门有了通用的动态基线告警方法，在生产环境中能够更准确、快速地定位业务故障。

技术领域

本发明涉及一种监控方法，尤其涉及一种基于zabbix性能基线的异常检测和告警方法。

背景技术

随着信息化的不断发展和深入，信息技术(Information Technology，IT)系统功能日益强大，涉及的信息种类也日益增多，这导致现有IT系统也逐渐复杂。为及时发现IT系统故障、识别潜在风险及安全隐患，企业内部通常设定专门的运维部门和运维人员监管企业的IT系统，维护企业IT系统正常、稳定运行，保障企业业务正常开展和运营。同时，为了提高发现系统故障的及时性、系统维护的专业性，企业还会建立IT监控系统实现监控手段平台化、自动化。

现有的IT系统监控方法通常为：信息技术部门提出系统运行目标，运维部门将系统运行目标转化为系统监控指标，并在IT监控系统中通过定义监控指标、设定监控数据源、配置监控校验规则、部署监控调度作业实现系统监控，其中监控校验规则配置采用最小值、最大值的值域配置或采用百分比的波动配置等方式。当系统的某个部件运行状况超出预设阈值时，监控系统识别告警并发送相关的告警通知。这种告警识别机制通常不分系统运行时段，或者只能设置某几个特定时段内的系统监控。

上述IT监控系统的监控方法，存在以下问题：

第一：监控阈值单一、监控时段粗放，告警误报多、处理成本高：同一个监控指标通常只设置一个监控阈值、且监控阈值在所有时段都有效，如果监控阈值设置过低会导致正常业务高峰期时段频繁触发系统告警、增加运维人员对异常告警识别复杂度和告警处理成本。

第二：系统性能波动趋势识别低，系统性能风险预警能力不足：如果监控阈值设置过高则不能及时获知非业务高峰期时段系统性能的异常波动、无法准确及时识别和预警系统中存在的潜在问题。IT系统的性能峰谷随着企业业务发展会呈现一定的变化，现有的监控方法缺少一种系统峰谷波动的趋势跟踪。

发明内容

本发明要解决的技术问题是提供一种基于zabbix性能基线的异常检测和告警方法，解决当前检测和告警结果不够准确的问题。

本发明为解决上述技术问题而采用的技术方案是提供一种基于zabbix性能基线的异常检测和告警方法，包括如下步骤：S1：通过监控系统获取历史数据作为样本数据；S2：去除与整体数据偏差超过预设临界值的异常数据；S3：以监控周期为单位，获取监控周期内的数据平均值或者中间值作为基线；S4：通过均线漂移运算对基线进行校正得到校正后的基线；S5：将监控值与校正后基线值进行对比，通过对比差值触发不同的告警类型。

进一步的，所述样本数据包括性能数据以及与性能数据相对应的时间数据。

进一步的，所述步骤S2具体包括：S21：计算样本数据的均值和标准差；S22：计算样本数据与均值的差值，将差值最大的数据设为可疑值；S23：计算可疑值的标准分数，如果大于预设临界值，该可疑值即为异常数据；S24：从样本数据中去除异常数据；S25：重复步骤S22-S24，直到去除全部异常数据。

进一步的，所述预设临界值由检出水平α和样本数据的数量n计算得到。

进一步的，在步骤S3中以各监控周期内数据的最大值作为基线的上限，最小值作为基线的下限，并对基线的上限和下限设置冗余范围。