(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211256411.8 (22)申请日 2022.10.14 (71)申请人 北京优特捷信息技 术有限公司 地址 100102 北京市朝阳区阜通 东大街1号 院3号楼22层2单元122611 (72)发明人 张震　程涛　梁玫娟　 (74)专利代理 机构 北京品源专利代理有限公司 11332 专利代理师 侯军洋 (51)Int.Cl. G06F 40/205(2020.01) G06F 40/289(2020.01) G06F 16/31(2019.01) G06F 16/35(2019.01) (54)发明名称 一种日志解析方法、 装置、 设备及存 储介质 (57)摘要 本发明公开了一种日志解析方法、 装置、 设 备及存储介质。 该方法包括： 对待解析的原始日 志进行分词， 根据分词结果确定日志查找树的深 度； 根据所述日志查找树对所述原始日志进行聚 类处理， 得到第一日志模式列表； 根据各第一日 志模式列表中的日志模式的相似度， 对各第一日 志模式列表进行整合合并， 得到与所述原始日志 匹配的第二日志模式列表。 本发 明实施例的技术 方案， 通过确定日志查找树的深度控制后续查找 的首部个数， 通过维护日志查找 树加速日志的聚 类过程， 通过层次聚类对日志模式进行整合合 并， 进一步优化日志模式， 从而达到提高日志的 解析速度和日志模式的抽象精准度的效果。 权利要求书2页 说明书11页 附图3页 CN 115329748 A 2022.11.11 CN 115329748 A 1.一种日志解析 方法， 其特 征在于， 包括： 对待解析的原 始日志进行分词， 根据分词结果确定日志查找树的深度； 根据所述日志查找树对所述原 始日志进行聚类处 理， 得到第一日志模式列表； 根据各第一日志模式列表中的日志模式的相似度， 对各第 一日志模式列表进行整合合 并， 得到与所述原 始日志匹配的第二日志模式列表。 2.根据权利要求1所述的方法， 其特征在于， 所述日志查找树包括： 长度层、 首部层和模 式层； 所述对待解析的原 始日志进行分词， 根据分词结果确定日志查找树的深度， 包括： 使用分词器对各原 始日志进行分词， 获取 各原始日志的日志首部； 确定各日志首部的长度， 并统计 每种长度的日志首部的个数； 按照日志首部的长度降序的顺序， 累加每种长度的日志首部的个数， 直至累加值超过 所述原始日志的数量的一半； 计算与所述累加值对应的日志首部长度的平均值， 将平均值加2得到日志查找树的深 度。 3.根据权利要求2所述的方法， 其特征在于， 所述使用分词器对各原始日志进行分词， 获取各原始日志的日志首部， 包括： 使用分词器对各原 始日志进行分词， 并在各原 始日志的分词结果中匹配特定词； 在各原始日志 的分词结果中， 从第一个出现的特定词开始， 到第一个不是特定词的分 词为止， 将所有连续出现的特定词作为日志首部 。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述日志查找树对所述原始日志 进行聚类处 理， 得到第一日志模式列表， 包括： 逐条获取原始日志作为目标日志， 根据目标日志 的日志长度以及日志首部， 在所述日 志查找树中查找匹配的目标日志模式列表； 计算所述目标 日志与所述目标日志模式列表中各 日志模式的相似度值， 并根据 所述相 似度值确定相似 模式； 按照预设合并规则， 将所述目标日志与所述相似 模式进行合并； 当所有原始日志都完成聚类处理后， 将所述日志查找树的模式层中的所有日志模式列 表作为第一日志模式列表。 5.根据权利要求4所述的方法， 其特征在于， 所述根据目标日志的日志长度以及日志首 部， 在所述日志查找树中查找匹配的目标日志模式列表， 包括： 根据目标日志的日志长度， 在所述日志查找树的长度层中查找匹配的目标长度节点； 按照所述日志查找树的首部层的深度， 将所述目标日志的日志首部逐层匹配所述目标 长度节点下的首部节点， 找到目标 首部节点； 将所述目标 首部节点在模式层中对应的日志模式列表， 作为目标日志模式列表。 6.根据权利要求4所述的方法， 其特征在于， 所述计算所述目标 日志与所述目标日志模 式列表中各日志模式的相似度值， 包括： 对于所述目标 日志模式列表中各 日志模式， 比较所述日志模式与所述目标日志在对应 位置上的字段 是否相同； 将相同字段的个数与 所述日志模式中的字段总数的比值， 作为所述目标日志与所述日权　利　要　求　书 1/2 页 2 CN 115329748 A 2志模式的相似度值。 7.根据权利要求1所述的方法， 其特征在于， 所述根据各第 一日志模式列表中的日志模 式的相似度， 对各第一日志模式列表进行整合合并， 得到与所述原始日志匹配的第二日志 模式列表， 包括： 对于各第一日志模式列表中的每个日志模式， 根据当前相似度阈值， 在键值对列表中 确定与所述日志模式相似的键名项， 并将所述日志模式加入到与所述键名项对应的键值 项； 分别对所述键值对列表中的各个键值项进行 日志模式合并处理， 生成新的第 一日志模 式列表； 如果新的第一日志模式列表中的日志模式总数大于预期数量， 则降低当前相似度阈 值； 返回执行对于各第一日志模式列表中的每个日志模式， 根据当前相似度阈值， 在键值 对列表中确定与所述日志模式相似的键名项的操作， 直至日志模式总数小于或等于预期数 量， 或者当前相似度阈值小于或等于预设停止阈值。 8.一种日志解析装置， 其特 征在于， 包括： 深度确定模块， 用于对待解析的原始日志进行分词， 根据分词结果确定日志查找树的 深度； 树聚类模块， 用于根据所述日志查找树对所述原始日志进行聚类， 得到第一日志模式 列表； 层次聚类模块， 用于根据各第一日志模式列表中的日志模式的相似度， 对各第一日志 模式列表进行整合 合并， 得到与所述原 始日志匹配的第二日志模式列表。 9.一种电子设备， 其特 征在于， 所述电子设备包括： 至少一个处 理器； 以及 与所述至少一个处 理器通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的计算机程序， 所述计算机程序被所 述至少一个处理器执行， 以使所述至少一个处理器能够执行权利要求1 ‑7中任一项所述的 日志解析 方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机指 令， 所述计算机指令用于使处 理器执行时实现权利要求1 ‑7中任一项所述的日志解析 方法。权　利　要　求　书 2/2 页 3 CN 115329748 A 3