一种定位网络管理系统异常事件的方法和系统

1.一种定位设备异常事件的系统，其特征在于，包括：
显示客户端，用于显示设备上报的所有事件；
规则管理器，该规则管理器是系统的外部接口，用于定制异常事件的判断规则，并用于增加、修改和删除规则，并将定制结果存储在存储器中；
存储器，分别与规则管理器以及分析器相连，用于存储判断事件是否异常的规则；
分析器，与通讯设备代理层连接，用于接收设备上报的所有事件信息，从存储器中读取规则，根据上报的事件编号，查询和读取对应的判断规则表，对事件进行是否可疑的分析；
其中，如果在规则表中事件的事件编号对应的是操作类事件，则解析其规则中的命令编号逻辑条件，从设备日志中判断，在事件上报前，是否有符合条件的配置命令曾经被执行过，如果被执行过，则认为规则匹配成功，如果没有，则规则匹配失败；如果在规则表中该事件编号对应的是告警类事件，则从单板的历史告警中查询是否存在发生符合规则条件的告警，如果找到，则认为规则匹配成功，如果没有找到，则认为匹配失败；
所述分析器，还用于根据分析的结果修改上报事件的是否可疑属性，其中对于规则匹配失败的事件，将其是否可疑属性置上异常标志。
2.根据权利要求1所述的系统，其特征在于所述显示客户端包括用户事件的时间参数过滤器和设备参数过滤器；
所述时间参数过滤器，用于存储开始时间和结束时间两个参数，通过预设的开始时间和结束时间，过滤出发生在开始时间和结束时间之间的事件；
所述设备参数过滤器，用于存储设备类型、网元、子架和槽位信息四个参数，通过指定设备类型、网元、子架和槽位信息，能够过滤出符合参数条件的所有事件。
3.根据权利要求1所述的系统，其特征在于还包括：
通讯设备代理层，通讯设备代理层完成网络管理系统和通讯设备层的通讯，通讯设备代理层负责收集的信息包括设备的性能、告警和事件，并通过网络报文形式，把信息传递到网络管理系统，和网络管理系统建立连接，负责信息的传递；
通讯设备层，通讯设备层是网络管理系统的管理对象，通讯设备层通过通讯设备代理层，将性能、告警和事件上报给网络管理系统。
4.一种定位设备异常事件的方法包括以下步骤：
A定制异常事件规则，规则管理器把定制好的规则存储在存储器中；
B分析器收到设备上报的事件，从存储器中读取规则，根据上报的事件编号，查询和读取对应的判断规则表，对事件进行是否可疑的分析；其中，如果在规则表中该事件编号对应的是操作类事件，则解析其规则中的命令编号逻辑条件，从设备日志中判断，在事件上报前，是否有符合条件的配置命令曾经被执行过，如果被执行过，则认为规则匹配成功，如果没有，则规则匹配失败；如果在规则表中该事件编号对应的是告警类事件，则从单板的历史告警中查询是否存在发生符合规则条件的告警，如果找到，则认为规则匹配成功，如果没有找到，则认为匹配失败；
C分析器根据分析的结果修改上报事件的是否可疑属性，其中对于规则匹配失败的事件，将其是否可疑属性置上异常标志。
D显示客户端对分析器上报的事件进行显示。
5.根据权利要求4所述的方法，其特征在于所述步骤D包括：显示客户端接收到分析器上报的事件，从中读取事件属性中的是否可疑属性，正常事件用黑色字体表示，异常事件以红色字体显示。
6.根据权利要求4所述的方法，其特征在于所述步骤D还包括提供过滤条件，能够仅显示可疑的异常事件。

一种定位网络管理系统异常事件的方法和系统\n技术领域\n[0001] 本发明涉及通讯设备网络管理系统，尤其涉及网络管理系统中的事件管理技术。\n背景技术\n[0002] 目前网管管理系统提供设备事件管理技术。包括设备事件上报、网管事件采集、事件确认和事件清除4个基本功能。通过事件管理，用户可跟踪设备运行状态以及变化情况。\n[0003] 目前存在的一个问题是，用户看到的是设备上报的所有事件。这些事件系统没有进行分析，有些事件是正常事件，不需要用户过多关注；有些事件则是异常事件，需要用户重视，用户从海量事件数据中找到异常事件，需要花费大量时间，大大降低了运维效率，增加了维护人员工作量。\n发明内容\n[0004] 本发明所要解决的技术问题是：克服现有技术中存在无法快速定位到异常事件的问题，提供一种快速定位设备异常事件的方法和系统。\n[0005] 本发明采用以下技术方案：\n[0006] 本发明所述定位设备异常事件的系统包括：\n[0007] 显示客户端：显示客户端用于显示设备上报的所有事件。显示客户端提供用户事件的时间参数过滤器和设备参数过滤器。\n[0008] 所述时间参数过滤器：用于存储开始时间和结束时间两个参数。通过指定开始时间和结束时间，过滤出发生在开始时间和结束时间之间的所有事件。\n[0009] 所述设备参数过滤器：用于存储设备类型、网元、子架和槽位信息四个参数。通过指定设备类型、网元、子架和槽位信息，可以过滤出符合参数条件的所有事件。\n[0010] 上述两个过滤器逻辑上是与的关系，可以同时使用。\n[0011] 规则管理器：该模块是系统提供用户的外部接口，用于定义异常事件的判断规则，提供增加、修改、删除规则三个功能，同时将用户配置结果存储在规则管理器中。\n[0012] 存储器：用于存储判断事件是否异常的规则。本发明将事件进行分类：例如告警类事件、操作类事件。告警类事件是指由于告警触发的事件，设计该类事件是由于用户某些操作，例如拔掉单板、或者拔掉光纤，在设备上都会触发相关告警，通过告警可以将用户实际操作和事件关联起来。操作类事件，是指由于用户在网络管理系统中下发的命令导致的设备事件。\n[0013] 分析器：分析器，用于接收设备上报的所有事件信息，并从存储器中读取判断规则，对事件进行分析。分析结论是可疑事件的事件会被置上异常标志，上报给显示客户端。\n[0014] 通讯设备代理层：通讯设备代理层完成网络管理系统和通讯设备层的通讯，通讯设备代理层负责收集设备的性能、告警和事件等，并通过网络报文形式，把信息传递到网络管理系统，和网络管理系统建立连接，负责信息的传递。\n[0015] 通讯设备层：通讯设备层是指网络管理系统的管理对象，即实际的物理设备。通讯设备层通过通讯设备代理层，将性能、告警、事件等信息上报给网络管理系统。\n[0016] 本发明所述定位设备异常事件的方法包括以下步骤：\n[0017] 步骤一 在规则管理器中，定制异常事件规则，系统把定制好的规则存储在存储器中；\n[0018] 步骤二 设备分析器收到设备上报的事件，从存储器中读取规则，根据上报的事件编号，查询对应的判断规则；\n[0019] 步骤三读取判断规则，如果在规则表中该编号对应的是操作类事件，则解析其规则中的命令编号逻辑条件。从设备日志中判断，在事件上报前的一个短暂时间内，是否有符合条件的配置命令曾经被执行过，如果被执行过，则认为规则匹配成功，如果没用找到，则规则匹配失败；如果在规则表中该事件编号对应的是告警类事件，则从单板的历史告警中查询是否存在刚刚发生符合规则条件的告警，如果找到，则认为规则匹配成功，如果没用找到，则认为匹配失败。在存储器中，如果没用找到对应该告警编号的规则，则任务匹配失败。\n对匹配失败的事件，将其事件属性中的是否可疑属性置为1，表示该事件为异常事件。事件分析后上报显示客户端；\n[0020] 步骤四 显示客户端接收到分析器上报的事件，从中读取事件属性中的“是否可疑”属性，如果该属性取值为1，则显示客户端在显示的时候，以红色高亮显示该事件。同时，系统提供过滤条件，可仅显示可疑的异常事件。\n[0021] 有益效果：采用本发明所述方法和装置，与现有技术相比，能够帮助用户快速从大量设备事件中发现重大可疑事件，提高网络运营效率，及时保障网络设备稳定性。\n附图说明\n[0022] 图1本发明系统结构图\n[0023] 图2本发明规则管理器新增规则操作流程图\n[0024] 图3本发明规则管理器修改规则操作流程图\n[0025] 图4本发明规则管理器删除规则操作流程图\n[0026] 图5本发明方法流程图\n[0027] 图6显示客户端处理流程图\n具体实施方式\n[0028] 下面结合附图对技术方案的实施作进一步详细描述：\n[0029] 本发明所述定位设备异常事件的系统如图1，包括规则管理器、显示客户端、存储器、分析器、通讯设备层、通讯设备代理层。通讯设备代理层和通讯设备层是目前已有技术。\n通过现有网管和设备通讯信息技术就可以让本发明的分析器收到设备上报的事件，经过分析处理，将可疑事件标识出来，上报显示客户端区分显示；\n[0030] 显示客户端：显示客户端用于显示设备上报的所有事件。正常事件用黑色字体表示，异常事件以红色字体显示，以便提醒用户关注。显示客户端提供用户事件的时间参数过滤器和设备参数过滤器。\n[0031] 所述时间参数过滤器：其功能是过滤出指定时间段内发生的所有事件。\n[0032] 所述设备参数过滤器：其功能是过滤出发生在指定设备类型、指定网元、指定子架或者指定槽位上的所有事件，该过滤器和事件参数过滤器可同时使用，逻辑上为与的关系。\n[0033] 规则管理器：该模块是系统提供用户的外部接口，用于定义异常事件的判断规则，提供增加、修改、删除规则三个功能，同时将用户配置结果存储在存储器中。\n[0034] 存储器：用于存储判断事件是否异常的规则。本发明将事件分为两类：告警类事件和操作类事件。告警类事件是指由于告警触发的事件，设计该类事件是由于用户某些操作，例如拔掉单板、或者拔掉光纤，在设备上都会触发相关告警，通过告警可以将用户实际操作和事件关联起来。操作类事件，是指由于用户在网络管理系统中下发的命令导致的设备事件。\n[0035] 分析器：分析器，用于接收设备上报的所有事件信息，并从存储器中读取判断规则，对事件进行分析。分析结论是可疑事件的事件会被置上异常标志，上报给显示客户端。\n[0036] 通讯设备代理层：通讯设备代理层完成网络管理系统和通讯设备层的通讯，通讯设备代理层负责收集设备的性能、告警和事件等，并通过网络报文形式，把信息传递到网络管理系统，和网络管理系统建立连接，负责信息的传递。\n[0037] 通讯设备层：通讯设备层是指网络管理系统的管理对象，即实际的物理设备。通讯设备层通过代理层，将性能、告警、事件等信息上报给网络管理系统。\n[0038] 规则管理器处理新增、修改和删除的操作流程如图2，图3和图4所示：\n[0039] 新增事件规则，用户在规则管理器中选择新增操作。用户输入新增的事件编号。系统判断规则器中是否已经存在该事件规则，如果存在则不允许用户新增；如果规则器中没用该事件规则，则用户继续输入事件类型，包括操作类事件、告警类事件。\n[0040] 用户新增一个事件的判断规则时，需要输入如下信息：\n[0041] --设备事件编号，用以唯一标识设备上一种事件；\n[0042] --设备事件类型，如：1-操作类事件；2-告警类事件；\n[0043] --判断规则为操作命令集或者告警编号集：如果事件类型为1，则该字段输入的是导致该事件产生的网管命令编号的逻辑条件；如果事件类型为2，则该字段输入的是导致该事件产生的设备告警编号的逻辑条件；逻辑条件是命令编号或者告警编号之间的与或关系；\n[0044] 修改事件规则，用户在规则管理器中，输入要修改规则的事件编码。系统从存储器中查找是否有该规则，如果没有则用户不能修改，如果有，系统将结果显示出来，允许用户修改并提交，成功后入库。\n[0045] 删除事件规则，用户在规则管理器中，输入要修改规则的事件编号，系统从存储器中查找是否有该规则，如果没有则不允许用户删除，如果有，系统将结果显示出来，允许用户删除并提交，成功后，从规则库中删除。\n[0046] 规则按照如下字段存储在规则库中：\n[0047] \n事件编号 事件逻辑条件\n 0x1806(例如 设置单板复位命令号(此处也可以是个逻辑表\n单板复位事件) 达式)\n[0048] 本发明所述的定位网络管理系统异常事件方法如附图5所示，包括：\n[0049] 步骤100在规则管理器中，定制异常事件规则，系统把定制好的规则存储在存储器中；\n[0050] 步骤101接收到一条设备上报的事件，查看是否在规则库中查找到该事件编号，如果找到了，则进行步骤102，如果没用找到，说明没有和该事件相符的规则存在，进行步骤\n111。\n[0051] 步骤102判断该事件类型，如果是操作类事件，进行步骤103；如果该事件类型是告警类事件，进行步骤107\n[0052] 步骤103提取事件发生时间，进行步骤104；\n[0053] 步骤104从规则库中读出该事件对应的规则条件，进行步骤105；\n[0054] 步骤105从规则库中读出和该事件相关的操作命令集，进行步骤106；\n[0055] 步骤106查询设备操作日志中是否在该事件发生前30秒，有来自网管的操作命令，如果没有相关记录，进行步骤111；如果有相关记录，则说明该事件是由用户正常操作引起的，不属于异常事件，结束；\n[0056] 步骤107提取事件的发生时间，进行步骤108；\n[0057] 步骤108从规则库中读出该事件对应的规则条件，进行步骤109；\n[0058] 步骤109提取和该事件相关的告警编号集，进行步骤110；，\n[0059] 步骤110查询设备上历史告警库，是否在事件发生前5秒内发生过告警集合中的告警。如果有相关记录，则说明该事件是由告警引起的，不属于异常事件，结束；如果没有，则认为是异常事件，进行步骤111。\n[0060] 步骤111依次遍历事件库中所有事件，对所有可疑事件，将其记录中的“是否可疑”标志置为1。\n[0061] 客户端显示处理流程如图6所示：\n[0062] 读取一条事件，如果该事件“是否可疑”字段为1，则界面以高亮红色显示，如果“是否可疑”字段为0，则界面以普通黑色显示。\n[0063] 下面通过实施例对本发明做进一步说明：\n[0064] 实例一为操作类事件，单板激光器开关事件\n[0065] 单板激光器事件事件编号0xC001，该事件和网管设置激光器命令相关，激光器设置命令编号为0xC156。\n[0066] 步骤一：新增一条规则，如下表示：\n[0067] \n事件编号 事件类型 事件逻辑条件\n0xC001 1(操作类型事件) 0xC156\n[0068] 步骤二：事件处理器收到设备上报该事件，描述按照下面格式：\n[0069] 单板槽位地址、事件编号、开始事件、是否可疑，对应该事件表示为\n010101C0014885D32F0000，其中0101表示单板槽位地址。C001是事件编号，4885D32F是事件发生时间：2008-7-21 20:31:43,0000，是否可疑状态，默认是一条正常事件；\n[0070] 步骤三：查询存储器中规则，得知该事件为操作类相关，取出该事件发生时间\n2008-7-21 20:31:43,0000，和该事件相关的操作命令编号0xC156，以(时间-30秒)和操作命令为条件，查询设备操作日志。如果查询到0xC156的命令，说明该事件是由用户操作导致的正常事件，如果查询不到，则认为该事件为异常事件，修改该事件字段“是否可疑”为\n0001。\n[0071] 步骤四：客户端查看该事件“是否可疑”字段，如果是0001则以红色字体显示，如果是0000，则以黑色显示。\n[0072] 实例二为告警相关类事件：波长调整事件，波长偏移越限告警。\n[0073] 步骤一：新增一条规则如下表：\n[0074] \n事件编号 事件类型 事件逻辑条件\n0xB001 2(告警类型事件) 0x3001(告警编号)\n[0075] 步骤二：事件处理器收到设备上报该事件，上报内容描述按照下面格式：\n[0076] 单板槽位地址、事件编号、开始事件、是否可疑，对应该例该事件表示为：\n010101B0014885D32F0000，其中0101表示单板槽位地址。B001是事件编号，4885D32F是事件发生时间：2008-7-21 20:31:43,0000，是是否可以状态，默认是一条正常事件；\n[0077] 步骤三：查询存储器中的规则，得知该事件为告警类事件，取出该事件发生事件\n2008-7-21 20:31:43,0000，和该事件相关的告警编号0x3001，以(时间-5秒)和告警编号为条件，查询设备历史告警，如果查询到0x3001的历史告警，说明该事件是由告警导致的正常事件；如果查询不到，则认为该事件为异常事件，修改该事件字段“是否可疑”为0001。\n[0078] 步骤四：客户端查看该事件“是否可疑”字段，如果是0001则以红色字体显示，如果是0000，则以黑色显示。\n[0079] 上述各具体步骤的举例说明较为具体，并不能因此而认为是对本发明的专利保护范围的限制，本发明的专利保护范围应以所附权利要求为准。