[发明专利]一种日志告警监控方法及其系统、计算机可读存储介质

权利要求书

1.一种日志告警监控方法，其特征在于，包括：

实时监控各主机系统的日志，并判断各主机系统的日志中是否出现预设关键字；

根据上述判断的结果确定是否查询日志关键字告警表；若上述判断的结果为是，则确定出现预设关键字的日志所对应的主机系统名称，并根据该预设关键字和该主机系统名称查询所述日志关键字告警表；所述日志关键字告警表包括多个预设关键字，且每一预设关键字与一个或多个主机系统名称关联；

根据上述查询的结果确定是否进行告警；若所述出现预设关键字的日志所对应的主机系统名称与所述预设关键字在所述日志关键字告警表中为关联关系，则进行告警，否则，不告警；

其中，所述日志关键字告警表生成过程如下：

获取各主机系统的所有告警纪录；

对所述告警纪录进行处理，将告警类型一致的告警纪录进行归类；

对每一类型的多个告警纪录，获取与该多个告警纪录对应的多个主机系统的所有日志，并从中截取多个告警纪录中最晚告警时间向前回溯设定时间的时间段内的所有日志；

对所述最晚告警时间向前回溯设定时间的时间段内的所有日志进行对比分析，筛选出多个主机系统的日志共同出现的关键字；

对于筛选出的任一关键字，统计出现该关键字的日志所对应的主机系统数量X1，以及统计出现该关键字的日志并引起告警的主机系统数量X2；

计算主机系统数量X2和主机系统数量X1的比值；

根据所述比值判断关键字与对应的告警类型是否有直接关联，若所述比值大于预设阈值，则判断关键字与对应的告警有直接关联，并将该关键字、告警类型、以及出现该关键字的日志并引起告警的主机系统的名称进行关联后保存在所述日志关键字告警表中。

2.如权利要求1所述的日志告警监控方法，其特征在于，所述预设关键字为单个字、多个字组成的词组或多个词组组成的语句。

3.如权利要求2所述的日志告警监控方法，其特征在于，所述根据上述查询的结果确定是否进行告警包括：

根据所述日志关键字告警表中与关键字关联的告警类型生成对应类型的告警信号，并根据该对应类型的告警信号以对应的告警方式进行告警。

4.如权利要求3所述的日志告警监控方法，其特征在于，所述日志关键字告警表中的关键字、告警类型以及主机系统名称的关联方式包括强关联和弱关联；

所述方法包括：

当根据上述查询的结果确定进行告警后，经过设定时间，若系统发生与关键字对应类型的告警，则该关键字、告警类型以及主机系统名称的关联所对应的关联值加1；

当任一关键字、告警类型以及主机系统名称的关联所对应的关联值大于等于强关联阈值，则设置其关联为强关联；

每隔设定时间，将所述日志关键字告警表中的弱关联删除。