[发明专利]日志文件异常检测方法和装置

权利要求书

1.一种日志文件异常检测方法，其特征在于，包括：

获取日志文件中的log日志；

对所述log日志进行特征化，以提取所述log日志对应的特征，所述特征包括第一编码信息和第二编码信息；

根据所述特征对所述log日志进行分类，并获取所述log日志对应的分类信息；

根据所述log日志对应的分类信息构建所述日志文件的逻辑图；以及

根据所述逻辑图确定所述日志文件中的异常处；

其中，根据所述log日志对应的分类信息构建所述日志文件的逻辑图，包括：

将所述log日志对应的分类信息作为所述逻辑图中的节点；

统计所述分类信息之间的跳转概率，并将所述跳转概率作为所述逻辑图中的边。

2.如权利要求1所述的方法，其特征在于，对所述log日志进行特征化，以提取所述log日志对应的特征，包括：

基于正则表达式提取所述log日志中的预定格式信息，并生成所述第一编码信息；

对提取预定格式信息后的所述log日志中的文本内容进行编码，以生成所述第二编码信息。

3.如权利要求1所述的方法，其特征在于，根据所述特征对所述log日志进行分类，并获取所述log日志对应的分类信息，包括：

获取所述log日志的第一编码信息的长度；

将所述第一编码信息的长度和所述第一编码信息输入至决策树，利用所述决策树进行分类，并确定所述log日志对应的第一分类编号；

将所述第二编码信息输入至所述决策树，利用所述决策树进行分类，并确定所述log日志对应的第二分类编号；

根据所述第一分类编号和所述第二分类编号生成所述log日志对应的分类信息。

4.如权利要求1所述的方法，其特征在于，根据所述逻辑图确定所述日志文件中的异常处，包括：

将所述逻辑图中，边所对应的跳转概率与预设概率进行比对，确定跳转概率低于预设概率的边为异常处；或者

将所述逻辑图与历史逻辑图进行比对，确定所述逻辑图与所述历史逻辑图不一致的节点或边为异常处。

5.如权利要求1所述的方法，其特征在于，在根据所述逻辑图确定所述日志文件中的异常处之后，还包括：

生成异常提醒信息。

6.如权利要求3所述的方法，其特征在于，还包括：

在获取所述log日志的第一编码信息的长度之后，根据所述第一编码信息的长度计算所述log日志的长度离差值；

确定所述日志文件中长度离差值最大的log日志；

通过人工检测所述长度离差值最大的log日志是否异常。

7.一种日志文件异常检测装置，其特征在于，包括：

获取模块，用于获取日志文件中的log日志；

提取模块，用于对所述log日志进行特征化，以提取所述log日志对应的特征，所述特征包括第一编码信息和第二编码信息；

分类模块，用于根据所述特征对所述log日志进行分类，并获取所述log日志对应的分类信息；

构建模块，用于根据所述log日志对应的分类信息构建所述日志文件的逻辑图；以及

确定模块，用于根据所述逻辑图确定所述日志文件中的异常处；

其中，所述构建模块，还用于：

将所述log日志对应的分类信息作为所述逻辑图中的节点；

统计所述分类信息之间的跳转概率，并将所述跳转概率作为所述逻辑图中的边。

8.如权利要求7所述的装置，其特征在于，所述提取模块，用于：

基于正则表达式提取所述log日志中的预定格式信息，并生成所述第一编码信息；

对提取预定格式信息后的所述log日志中的文本内容进行编码，以生成所述第二编码信息。