大型主机系统日志处理方法及装置与流程

1.本发明涉及数据分析技术领域，尤指一种大型主机系统日志处理方法及装置。


背景技术：

2.目前，银行核心系统主要运行在ibm大型主机系统内，大型主机业务交易运行行为是从网关上送到主机cics(客户信息控制系统)中间件，最后连接大型主机进行数据存储的模式。ibm大型主机cics中间件是ibm针对z/os操作系统的事务处理软件，用于业务中应用交易及系统交易的事务处理。
3.因此，若出现应用程序异常abend(异常结束)，会在cics的系统日志产生一条abend日志信息。若应用程序异常abend数量较多，可能会引发cics地址空间异常下宕，影响正常业务处理。因此，目前缺少对系统中应用程序异常abend情况的日常监控及其原因分析的有效手段。


技术实现要素：

4.针对现有技术中存在的问题，本发明实施例的主要目的在于提供一种大型主机系统日志处理方法及装置，准确地分析出大型主机系统的异常情况，提升运维人员解决主机系统问题的效率。
5.为了实现上述目的，本发明实施例提供一种大型主机系统日志处理方法，方法包括：
6.获取大型主机系统的系统日志，并利用预设关键词对系统日志进行消息检索，得到多个日志消息；
7.根据预设关键词中的消息标识符，对与消息标识符相对应的日志消息的消息实体内容进行语义分析，得到日志消息特征；
8.利用预先建立的日志信息模型，对所述日志消息特征进行信息提取，得到关键字信息；
9.根据关键字信息，以及与消息标识符不对应的日志消息，生成异常结束信息，并按照预设时间间隔，对异常结束信息进行汇总处理，得到系统应用异常结果。
10.可选的，在本发明一实施例中，预设关键词还包括系统名、时间信息、日志消息标识、消息长度标识、消息实体内容及日志消息类别。
11.可选的，在本发明一实施例中，获取大型主机系统的系统日志，并利用预设关键词对系统日志进行消息检索，得到多个日志消息包括：
12.从大型主机系统的主机日志中，获取系统日志；
13.获取用户端发送的预设关键词的设定值，并根据预设关键词的设定值，对系统日志进行消息检索，得到多个日志消息。
14.可选的，在本发明一实施例中，根据预设关键词中的消息标识符，对与消息标识符相对应的日志消息的消息实体内容进行语义分析，得到日志消息特征包括：
15.获取用户端发送的消息标识符的设定值，并根据消息标识符的设定值，对日志消息进行筛选，得到待分析日志消息；
16.提取待分析日志消息的消息实体内容，并对消息实体内容进行语义分析，得到日志消息特征。
17.可选的，在本发明一实施例中，关键字信息包括地址空间名称、异常终止代码及应用程序名称。
18.可选的，在本发明一实施例中，根据关键字信息，以及与消息标识符不对应的日志消息，生成异常结束信息包括：
19.对与消息标识符不对应的日志消息对应的系统环境信息进行划分；
20.根据关键字信息及系统环境信息划分后的日志消息，对相同系统环境信息、相同地址空间名称、相同异常终止代码及相同应用程序名称的系统异常情况进行统计，生成异常结束信息。
21.可选的，在本发明一实施例中，方法还包括：利用预设的告警规则及系统应用异常结果，对大型主机系统进行异常告警。
22.本发明实施例还提供一种大型主机系统日志处理装置，装置包括：
23.日志消息模块，用于获取大型主机系统的系统日志，并利用预设关键词对系统日志进行消息检索，得到多个日志消息；
24.语义分析模块，用于根据预设的消息标识符，对与消息标识符相对应的日志消息的消息实体内容进行语义分析，得到日志消息特征；
25.关键字模块，用于利用预先建立的日志信息模型，对日志消息特征进行信息提取，得到关键字信息；
26.异常结果模块，用于根据关键字信息，以及与消息标识符不对应的日志消息，生成异常结束信息，并按照预设时间间隔，对异常结束信息进行汇总处理，得到系统应用异常结果。
27.可选的，在本发明一实施例中，预设关键词还包括系统名、时间信息、日志消息标识、消息长度标识、消息实体内容及日志消息类别。
28.可选的，在本发明一实施例中，日志消息模块包括：
29.系统日志单元，用于从大型主机系统的主机日志中，获取系统日志；
30.日志消息单元，用于获取用户端发送的预设关键词的设定值，并根据预设关键词的设定值，对系统日志进行消息检索，得到多个日志消息。
31.可选的，在本发明一实施例中，语义分析模块包括：
32.日志筛选单元，用于获取用户端发送的消息标识符的设定值，并根据消息标识符的设定值，对日志消息进行筛选，得到待分析日志消息；
33.语义分析单元，用于提取待分析日志消息的消息实体内容，并对消息实体内容进行语义分析，得到日志消息特征。
34.可选的，在本发明一实施例中，关键字信息包括地址空间名称、异常终止代码及应用程序名称。
35.可选的，在本发明一实施例中，异常结果模块包括：
36.系统环境单元，用于对与消息标识符不对应的日志消息对应的系统环境信息进行
划分；
37.异常信息单元，用于根据关键字信息及系统环境信息划分后的日志消息，对相同系统环境信息、相同地址空间名称、相同异常终止代码及相同应用程序名称的系统异常情况进行统计，生成异常结束信息。
38.可选的，在本发明一实施例中，装置还包括：异常告警模块，用于利用预设的告警规则及系统应用异常结果，对大型主机系统进行异常告警。
39.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行所述程序时实现上述方法。
40.本发明还提供一种计算机可读存储介质，计算机可读存储介质存储有由计算机执行上述方法的计算机程序。
41.本发明还提供一种计算机程序产品，包括计算机程序/指令，计算机程序/指令被处理器执行时实现上述方法的步骤。
42.本发明将大型主机系统内所有应用程序异常结束消息从主机系统日志中抽取出来，结合日志信息自动分析及统计，可以清晰展示发生应用程序异常结束情况，减少人工处理、查看日志信息的工作量，以提升运维人员解决主机系统问题的效率。
附图说明
43.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
44.图1为本发明实施例一种大型主机系统日志处理方法的流程图；
45.图2为本发明实施例中得到多个日志消息的流程图；
46.图3为本发明实施例中得到日志消息特征的流程图；
47.图4为本发明实施例中生成异常结束信息的流程图；
48.图5为本发明实施例一种大型主机系统日志处理装置的结构示意图；
49.图6为本发明实施例中日志消息模块的结构示意图；
50.图7为本发明实施例中语义分析模块的结构示意图；
51.图8为本发明实施例中异常结果模块的结构示意图；
52.图9为本发明另一实施例中大型主机系统日志处理装置的结构示意图；
53.图10为本发明一实施例所提供的电子设备的结构示意图。
具体实施方式
54.本发明实施例提供一种大型主机系统日志处理方法及装置，可用于金融领域及其他领域，需要说明的是，本发明的大型主机系统日志处理方法及装置可用于金融领域，也可用于除金融领域之外的任意领域，本发明的大型主机系统日志处理方法及装置应用领域不做限定。
55.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于
本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
56.如图1所示为本发明实施例一种大型主机系统日志处理方法的流程图，本发明实施例提供的大型主机系统日志处理方法的执行主体包括但不限于计算机。本发明将大型主机系统内所有应用程序异常结束消息从主机系统日志中抽取出来，结合日志信息自动分析及统计，可以清晰展示发生应用程序异常结束情况，减少人工处理、查看日志信息的工作量，以提升运维人员解决主机系统问题的效率。图中所示方法包括：
57.步骤s1，获取大型主机系统的系统日志，并利用预设关键词对系统日志进行消息检索，得到多个日志消息。
58.在本实施例中，ibm大型主机系统产生的日志消息通常存储于主机系统中，且数据量巨大，cics应用程序异常abend消息可能会湮没于众多系统消息中，给运维人员日常及时分析处理带来一定困难。
59.本发明将指定时间段系统内所有应用程序异常abend消息从主机系统日志中抽取出来，并做一定程度日志信息自动分析及统计可以清晰展示每日发生应用程序异常abend情况，以提升运维人员解决主机系统问题的效率。
60.其中，ibm大型主机系统日志存于主机syslog(系统日志)中，通过接口将syslog获取至linux开放平台elasticsearch中，elasticsearch(简称es)是一款强大的分布式实时搜索及分析搜索引擎，以其实时搜索、快速、稳定可靠且快速部署而知名，支持海量数据快速处理，因此非常适合对大量日志快速处理的需求。
61.进一步的，将ibm大型主机syslog下传至开放平台elasticsearch中，分别以keyword(预设关键词)为"sysname"、"datetime"、"ident"、"lid"、"msgid"、"message"、“product”、“msgtype”、"id"，存储于一个特定的“index”：“mcmclog-syslog
‑”
+datetime中。上述各keyword分别代表系统名、时间信息、系统中每条日志消息的标识、消息长度标识、消息id(消息标识符)、消息实体内容、所属主机产品、日志消息类别、日志消息存储于es中的唯一标识。
62.具体的，利用预设关键词对系统日志进行消息检索，例如调用“es.search”方法，通过用户端指定msgid参数(消息标识符)等于“dfhsr0001”、指定需要查询的"datetime"时间、指定需要查询的"sysname"环境系统名，根据以上条件检索出msgid为“dfhsr0001”的日志消息。
63.步骤s2，根据预设关键词中的消息标识符，对与消息标识符相对应的日志消息的消息实体内容进行语义分析，得到日志消息特征。
64.具体的，以对“dfhsr0001”消息进行语义分析为例，从检索出的每条日志消息中取出"msgid"为“dfhsr0001”的数据的"message"内容，即为消息实体内容。即，利用指定的消息标识符的值，对日志消息进行筛选，筛选出所需要进行语音分析的日志消息，并对其进行语音分析处理。
65.进一步的，对筛选出的日志消息的消息实体内容进行语音分析，具体可以根据日常运维经验对消息实体进行语义分析，提取日志消息特征。
66.步骤s3，利用预先建立的日志信息模型，对日志消息特征进行信息提取，得到关键字信息。
67.其中，将消息中的cics地址空间名称(匹配字符串为“ci[\w]{6}”)、abend code(匹配字符串为“code(\s.*)\”)、应用程序名称(匹配字符串为“\w{0,10}”)作为消息特征，构建特定的模型(匹配表达式为“\+dfhsr0001(ci[\w]{6})an abend\(code(\s.*)\)\s.*in program(\w{0,10}).”)，即预先建立的日志信息模型，以此模型匹配所有检索出的日志消息，可以从中提炼出所需的关键字信息。
[0068]
进一步的，将常用日志语句构建日志信息模型，后续使用时只需将采集到的日志信息进行模型匹配，即可提炼出日志中的关键信息，用于后续问题分析。建立的日志信息模型的过程可采用常规的技术方式，例如利用机器学习算法建立模型，具体如神经网络模型等，在此不再赘述。
[0069]
步骤s4，根据关键字信息，以及与消息标识符不对应的日志消息，生成异常结束信息，并按照预设时间间隔，对异常结束信息进行汇总处理，得到系统应用异常结果。
[0070]
其中，从es中检索到的本条数据中的其他keyword中(即与消息标识符不对应的日志消息)提取需要的其他相关联数据，包括"sysname"、"datetime"等。与上述从"message"中匹配出的相关信息，组合成为一条完整的cics应用程序abend信息。
[0071]
进一步的，日志消息中关注的字段分别为：系统环境信息、cics地址空间名称(可以理解为大型主机中间件cics的进程名)、应用程序名及abned code(应用程序异常结束的原因代码，不同代码表示不同原因)，由此得到异常结束信息。
[0072]
具体的，将相同系统环境、相同cics region(cics区域)、相同应用程序、相同abend code的出现的数量汇总，即异常结束信息。若短期内出现在同一cics region上同一应用程序的abend次数过多，需引起重视，立即调查是否出现系统环境异常。
[0073]
进一步的，根据实际运维工作需要，制定定时任务，即预设时间间隔。定时任务在每日或每小时触发自动分析汇总系统环境中出现的应用程序abend情况的任务，并在对异常结束信息汇总之后自动发送告警邮件给指定运维人员，直观清晰反映系统内应用程序abend情况。
[0074]
具体的，例如从海量主机syslog中以keyword为“msgid”的日志消息中检索应用程序异常abend(异常结束)相关的日志。如以msgid为“dfhsr0001”的消息为例，从存储在es中的主机syslog的相关索引中筛选检索并提取出所有“dfhsr0001”消息，提取msgid为“dfhsr0001”的“message”的value值，这个值即“dfhsr0001”消息的实体内容。
[0075]
具体的，对消息内容的结构进行语义分析，定义“dfhsr0001”消息的消息内容模板，提取出消息中需要关注的内容，并进行分类汇总，以此数据分析环境中存在的cics应用程序abend情况。当然，从其他message消息中可以提取出系统其他程序或进程abend情况，在此不再赘述。
[0076]
作为本发明的一个实施例，预设关键词还包括系统名、时间信息、日志消息标识、消息长度标识、消息实体内容及日志消息类别。
[0077]
其中，预设关键词包括系统名、时间信息、系统中每条日志消息的标识、消息长度标识、消息id(消息标识符)、消息实体内容、所属主机产品、日志消息类别、日志消息存储于es中的唯一标识。
[0078]
在本实施例中，如图2所示，获取大型主机系统的系统日志，并利用预设关键词对系统日志进行消息检索，得到多个日志消息包括：
[0079]
步骤s11，从大型主机系统的主机日志中，获取系统日志；
[0080]
步骤s12，获取用户端发送的预设关键词的设定值，并根据预设关键词的设定值，对系统日志进行消息检索，得到多个日志消息。
[0081]
其中，大型主机系统日志存于主机日志中，具体的，可以通过接口将系统日志获取至linux开放平台elasticsearch中，由此获取系统日志。
[0082]
具体的，利用预设关键词对系统日志进行消息检索，例如调用“es.search”方法，通过用户端指定msgid参数(消息标识符)等于“dfhsr0001”、指定需要查询的"datetime"时间、指定需要查询的"sysname"环境系统名，根据以上条件检索出msgid为“dfhsr0001”的日志消息。
[0083]
进一步的，es中存储的日志消息结构示例如表1所示。
[0084]
表1
[0085][0086]
在本实施例中，如图3所示，根据预设关键词中的消息标识符，对与消息标识符相对应的日志消息的消息实体内容进行语义分析，得到日志消息特征包括：
[0087]
步骤s21，获取用户端发送的消息标识符的设定值，并根据消息标识符的设定值，对日志消息进行筛选，得到待分析日志消息；
[0088]
步骤s22，提取待分析日志消息的消息实体内容，并对消息实体内容进行语义分析，得到日志消息特征。
[0089]
具体的，从检索出的每条日志消息中取出"msgid"为指定值的数据的"message"内容，即为消息实体内容。即，利用指定的消息标识符的值，对日志消息进行筛选，筛选出所需要进行语音分析的日志消息，并对其进行语音分析处理。
[0090]
进一步的，对筛选出的日志消息的消息实体内容进行语音分析，具体可以根据日常运维经验对消息实体进行语义分析，提取日志消息特征。
[0091]
作为本发明的一个实施例，关键字信息包括地址空间名称、异常终止代码及应用程序名称。
[0092]
在本实施例中，如图4所示，根据关键字信息，以及与消息标识符不对应的日志消息，生成异常结束信息包括：
[0093]
步骤s41，对与消息标识符不对应的日志消息对应的系统环境信息进行划分；
[0094]
步骤s42，根据关键字信息及系统环境信息划分后的日志消息，对相同系统环境信
息、相同地址空间名称、相同异常终止代码及相同应用程序名称的系统异常情况进行统计，生成异常结束信息。
[0095]
其中，使用文字分析及关键字提取技术，将从大型主机系统下传到平台系统的所有主机日志按需划分，例如不同子系统、不同sysplex(并行耦合体)、lpar(逻辑分区)、不同类型等。
[0096]
具体的，异常结束信息提取方式包括：根据需求，使用信息头关键字从全量syslog日志提取所有相关message；从这些相关的message中提取需要的关键字组合拼接为完整的异常结束信息。
[0097]
由此，使运维人员可以一目了然获取应用程序异常的时间、原因、程序、lpar、cics中间件的地址空间名称以及指定时间内异常abend次数信息。
[0098]
作为本发明的一个实施例，方法还包括：利用预设的告警规则及系统应用异常结果，对大型主机系统进行异常告警。
[0099]
其中，可以预先设定告警规则及策略，若指定的预设时间间隔内触发设定的异常，如产生abend或产生某类abend或者某程序产生abend或产生指定次数abend即可产生异常告警，系统自动通过邮件发送告警与运维人员。运维人员无需在系统中通过搜索的方式查看日志，而是由系统自动按照设定规则将需要的异常信息发送给运维人员。
[0100]
此外，本发明还可以进行定制化异常日志分析，由此支持运维人员定制化将专家规则应用于此日志解析方法中。通过主机系统不同子系统的运维专家，将日常运维经验整合为专家规则(如何种message为何种类型，需要提取何种关键字作为系统问题分析的关键信息、使用什么样的模型分析获取到的日志字符串)，可以更加专业、准确将主机syslog日志进行细化，为系统自动化运维提供更多更详细的系统信息。
[0101]
本发明消息分析处理完全一键式自动化完成，减少人工处理、查看日志信息的工作量。目前日常运维人员需登录主机系统查看系统日志，较为繁琐，本发明可以将需要的abend信息提取出，节省登录系统查看的时间及提高效率。
[0102]
此外，本发明支持专家规则及告警定制化，更加专业性分析主机syslog，有助于运维人员多维度、更加全面的了解掌握系统信息数据。
[0103]
本发明完善了大型主机cics自动分析系统日志消息的方法，通常若运维人员需要关注主机系统中cics中间件的应用程序abend情况，需要手动登陆主机系统环境，并手动翻阅日志，查找需要的内容。
[0104]
本发明将此类运维工作自动化，做到定时自动分析并汇总cics中应用程序abend情况，数据包括系统环境信息、cics地址空间名称、应用程序名、abned code及abend总量汇总，减少运维人员手动搜索的工作，提升运维及问题处理效率。
[0105]
进一步的，本发明消息的分析汇总使运维人员一目了然了解主机系统环境cics应用程序abend情况，并在abend数量过多时及早发现系统环境可能的潜在问题。
[0106]
此外，本发明可定制不同日志消息模型，从而匹配不同种类系统日志消息，获得更多系统环境信息数据，有助于运维人员多维度、更加全面的了解掌握系统信息数据。
[0107]
具体的，本发明对检索出的如msgid为“dfhsr0001”的消息进行语义分析，构建日志消息特征，建立消息模型，后使用此模型匹配所有检索出的日志消息，提取需要的信息。消息分析处理完全一键式自动化定时完成，减少人工处理的工作量。
[0108]
如图5所示为本发明实施例一种大型主机系统日志处理装置的结构示意图，图中所示装置包括：
[0109]
日志消息模块10，用于获取大型主机系统的系统日志，并利用预设关键词对系统日志进行消息检索，得到多个日志消息；
[0110]
语义分析模块20，用于根据预设的消息标识符，对与消息标识符相对应的日志消息的消息实体内容进行语义分析，得到日志消息特征；
[0111]
关键字模块30，用于利用预先建立的日志信息模型，对日志消息特征进行信息提取，得到关键字信息；
[0112]
异常结果模块40，用于根据关键字信息，以及与消息标识符不对应的日志消息，生成异常结束信息，并按照预设时间间隔，对异常结束信息进行汇总处理，得到系统应用异常结果。
[0113]
作为本发明的一个实施例，预设关键词还包括系统名、时间信息、日志消息标识、消息长度标识、消息实体内容及日志消息类别。
[0114]
在本实施例中，如图6所示，日志消息模块10包括：
[0115]
系统日志单元11，用于从大型主机系统的主机日志中，获取系统日志；
[0116]
日志消息单元12，用于获取用户端发送的预设关键词的设定值，并根据预设关键词的设定值，对系统日志进行消息检索，得到多个日志消息。
[0117]
在本实施例中，如图7所示，语义分析模块20包括：
[0118]
日志筛选单元21，用于获取用户端发送的消息标识符的设定值，并根据消息标识符的设定值，对日志消息进行筛选，得到待分析日志消息；
[0119]
语义分析单元22，用于提取待分析日志消息的消息实体内容，并对消息实体内容进行语义分析，得到日志消息特征。
[0120]
作为本发明的一个实施例，关键字信息包括地址空间名称、异常终止代码及应用程序名称。
[0121]
在本实施例中，如图8所示，异常结果模块40包括：
[0122]
系统环境单元41，用于对与消息标识符不对应的日志消息对应的系统环境信息进行划分；
[0123]
异常信息单元42，用于根据关键字信息及系统环境信息划分后的日志消息，对相同系统环境信息、相同地址空间名称、相同异常终止代码及相同应用程序名称的系统异常情况进行统计，生成异常结束信息。
[0124]
作为本发明的一个实施例，如图9所示，装置还包括：异常告警模块50，用于利用预设的告警规则及系统应用异常结果，对大型主机系统进行异常告警。
[0125]
基于与上述一种大型主机系统日志处理方法相同的申请构思，本发明还提供了上述一种大型主机系统日志处理装置。由于该一种大型主机系统日志处理装置解决问题的原理与一种大型主机系统日志处理方法相似，因此该一种大型主机系统日志处理装置的实施可以参见一种大型主机系统日志处理方法的实施，重复之处不再赘述。
[0126]
本发明将大型主机系统内所有应用程序异常结束消息从主机系统日志中抽取出来，结合日志信息自动分析及统计，可以清晰展示发生应用程序异常结束情况，减少人工处理、查看日志信息的工作量，以提升运维人员解决主机系统问题的效率。
[0127]
本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行所述程序时实现上述方法。
[0128]
本发明还提供一种计算机程序产品，包括计算机程序/指令，计算机程序/指令被处理器执行时实现上述方法的步骤。
[0129]
本发明还提供一种计算机可读存储介质，计算机可读存储介质存储有由计算机执行上述方法的计算机程序。
[0130]
如图10所示，该电子设备600还可以包括：通信模块110、输入单元120、音频处理器130、显示器160、电源170。值得注意的是，电子设备600也并不是必须要包括图10中所示的所有部件；此外，电子设备600还可以包括图10中没有示出的部件，可以参考现有技术。
[0131]
如图10所示，中央处理器100有时也称为控制器或操作控件，可以包括微处理器或其他处理器装置和/或逻辑装置，该中央处理器100接收输入并控制电子设备600的各个部件的操作。
[0132]
其中，存储器140，例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息，此外还可存储执行有关信息的程序。并且中央处理器100可执行该存储器140存储的该程序，以实现信息存储或处理等。
[0133]
输入单元120向中央处理器100提供输入。该输入单元120例如为按键或触摸输入装置。电源170用于向电子设备600提供电力。显示器160用于进行图像和文字等显示对象的显示。该显示器例如可为lcd显示器，但并不限于此。
[0134]
该存储器140可以是固态存储器，例如，只读存储器(rom)、随机存取存储器(ram)、sim卡等。还可以是这样的存储器，其即使在断电时也保存信息，可被选择性地擦除且设有更多数据，该存储器的示例有时被称为eprom等。存储器140还可以是某种其它类型的装置。存储器140包括缓冲存储器141(有时被称为缓冲器)。存储器140可以包括应用/功能存储部142，该应用/功能存储部142用于存储应用程序和功能程序或用于通过中央处理器100执行电子设备600的操作的流程。
[0135]
存储器140还可以包括数据存储部143，该数据存储部143用于存储数据，例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器140的驱动程序存储部144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
[0136]
通信模块110即为经由天线111发送和接收信号的发送机/接收机110。通信模块(发送机/接收机)110耦合到中央处理器100，以提供输入信号和接收输出信号，这可以和常规移动通信终端的情况相同。
[0137]
基于不同的通信技术，在同一电子设备中，可以设置有多个通信模块110，如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)110还经由音频处理器130耦合到扬声器131和麦克风132，以经由扬声器131提供音频输出，并接收来自麦克风132的音频输入，从而实现通常的电信功能。音频处理器130可以包括任何合适的缓冲器、解码器、放大器等。另外，音频处理器130还耦合到中央处理器100，从而使得可以通过麦克风132能够在本机上录音，且使得可以通过扬声器131来播放本机上存储的声音。
[0138]
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序
产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0139]
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0140]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0141]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0142]
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

技术特征：
1.一种大型主机系统日志处理方法，其特征在于，所述方法包括：获取大型主机系统的系统日志，并利用预设关键词对所述系统日志进行消息检索，得到多个日志消息；根据预设关键词中的消息标识符，对与所述消息标识符相对应的日志消息的消息实体内容进行语义分析，得到日志消息特征；利用预先建立的日志信息模型，对所述日志消息特征进行信息提取，得到关键字信息；根据所述关键字信息，以及与所述消息标识符不对应的日志消息，生成异常结束信息，并按照预设时间间隔，对所述异常结束信息进行汇总处理，得到系统应用异常结果。2.根据权利要求1所述的方法，其特征在于，所述预设关键词还包括系统名、时间信息、日志消息标识、消息长度标识、消息实体内容及日志消息类别。3.根据权利要求2所述的方法，其特征在于，所述获取大型主机系统的系统日志，并利用预设关键词对所述系统日志进行消息检索，得到多个日志消息包括：从所述大型主机系统的主机日志中，获取所述系统日志；获取用户端发送的所述预设关键词的设定值，并根据所述预设关键词的设定值，对所述系统日志进行消息检索，得到多个日志消息。4.根据权利要求3所述的方法，其特征在于，所述根据预设关键词中的消息标识符，对与所述消息标识符相对应的日志消息的消息实体内容进行语义分析，得到日志消息特征包括：获取所述用户端发送的消息标识符的设定值，并根据所述消息标识符的设定值，对所述日志消息进行筛选，得到待分析日志消息；提取所述待分析日志消息的消息实体内容，并对所述消息实体内容进行语义分析，得到所述日志消息特征。5.根据权利要求1所述的方法，其特征在于，所述关键字信息包括地址空间名称、异常终止代码及应用程序名称。6.根据权利要求5所述的方法，其特征在于，根据所述关键字信息，以及与所述消息标识符不对应的日志消息，生成异常结束信息包括：对与所述消息标识符不对应的日志消息对应的系统环境信息进行划分；根据所述关键字信息及系统环境信息划分后的日志消息，对相同系统环境信息、相同地址空间名称、相同异常终止代码及相同应用程序名称的系统异常情况进行统计，生成所述异常结束信息。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：利用预设的告警规则及所述系统应用异常结果，对所述大型主机系统进行异常告警。8.一种大型主机系统日志处理装置，其特征在于，所述装置包括：日志消息模块，用于获取大型主机系统的系统日志，并利用预设关键词对所述系统日志进行消息检索，得到多个日志消息；语义分析模块，用于根据预设的消息标识符，对与所述消息标识符相对应的日志消息的消息实体内容进行语义分析，得到日志消息特征；关键字模块，用于利用预先建立的日志信息模型，对所述日志消息特征进行信息提取，得到关键字信息；
异常结果模块，用于根据所述关键字信息，以及与所述消息标识符不对应的日志消息，生成异常结束信息，并按照预设时间间隔，对所述异常结束信息进行汇总处理，得到系统应用异常结果。9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有由计算机执行权利要求1至7任一项所述方法的计算机程序。

技术总结
本发明提供了一种大型主机系统日志处理方法及装置，可用于金融领域或其他领域。所述方法包括：获取大型主机系统的系统日志，利用预设关键词对系统日志进行消息检索，得到多个日志消息；根据预设的消息标识符，对与其相对应的日志消息的消息实体内容进行语义分析，得到日志消息特征；利用预先建立的日志信息模型，对所述日志消息特征进行信息提取，得到关键字信息；根据关键字信息，以及与消息标识符不对应的日志消息，生成异常结束信息，按照预设时间间隔，对异常结束信息进行汇总处理，得到系统应用异常结果。本发明可以清晰展示发生应用程序异常结束情况，减少人工处理、查看日志信息的工作量，以提升运维人员解决主机系统问题的效率。问题的效率。问题的效率。


技术研发人员：吴哲琼
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：2023.06.30
技术公布日：2023/10/5