主机定位方法、装置、电子设备及计算机程序产品

技术领域

本申请涉及数据处理技术领域，尤其涉及一种主机定位方法、装置、电子设备及计算机程序产品。

背景技术

对类似数据采集平台等大型主机集群的故障主机设备定位过程中，现有的故障主机设备定位方法主要是人工查巡方法，即通过人工巡检机器方法对数据采集平台中的告警数据和日志数据进行排查，根据排查结果定位故障主机设备，而无法对故障主机设备进行主动定位。此外，大型主机集群中的主机设备发生故障时，通常是多台相关联的主机设备同时发生相对应的故障，通过人工查巡方法很难主动定位出与故障主机设备关联的其他潜在问题主机设备，使得主机设备的运维效率低。

发明内容

本申请提供一种主机定位方法、装置、电子设备及计算机程序产品，旨在提升主机设备的运维效率。

第一方面，本申请提供一种主机定位方法，包括：

根据主机集群中各个第一主机设备的网络策略和主机地址，建立所述主机集群的网络拓扑；

将所述主机集群产生的告警数据和日志数据进行日志聚类，得到对应的各个日志事件模板；

根据预设条件确定各个所述日志事件模板中的高频日志事件模板；

根据所述高频日志事件模板中的高频参数信息定位出对应的故障主机设备，并根据所述故障主机设备和所述网络拓扑，定位出与所述故障主机设备关联的第二主机设备。

在一个实施例中，所述将所述主机集群产生的告警数据和日志数据进行日志聚类，得到对应的各个日志事件模板的步骤包括：

按照时间窗口方式将所述主机集群在预设时长内产生的告警数据和日志数据进行分段，得到多个时刻的告警数据，以及多个时刻的的日志数据；

根据各个所述时刻的告警数据中的告警标题数据，以及各个所述时刻的日志数据中的目标参数信息进行预设结构化聚类，得到各个待处理日志事件模板及其对应的事件ID；

将同一事件ID对应的待处理日志事件模板进行再聚类，得到对应的各个日志事件模板。

所述预设条件包括告警等级，所述根据预设条件确定各个所述日志事件模板中的高频日志事件模板的步骤包括：

若所述预设条件为所述告警等级，则确定在各个日志事件模板中是否存在告警等级大于预设告警等级的第一目标日志事件模板；

若存在所述第一目标日志事件模板，则将所述第一目标日志事件模板确定为所述高频日志事件模板。

所述预设条件还包括发生频次，所述根据预设条件确定各个所述日志事件模板中的高频日志事件模板的步骤还包括：

若所述预设条件为所述发生频次，则确定在各个日志事件模板中是否存在发生频次大于预设发生频次的第二目标日志事件模板；

若存在所述第二目标日志事件模板，则将所述第二目标日志事件模板确定为所述高频日志事件模板。

所述根据主机集群中各个第一主机设备的网络策略和主机地址，建立所述主机集群的网络拓扑的步骤包括：

确定各个所述第一主机设备的网络策略对应的策略类型，并将同一策略类型的第一主机设备聚类于同一子主机集群中；

根据拓扑算法以及各个所述子主机集群中的第一主机设备对应的主机地址，建立各个所述子主机集群的主机拓扑；

根据各个所述主机拓扑建立所述网络拓扑。

所述根据所述高频日志事件模板中的高频参数信息定位出对应的故障主机设备的步骤包括：

根据所述高频日志事件模板中各个主机地址的主机地址发生频次和预设频次阈值，确定所述高频参数信息；

将所述高频参数信息对应的主机设备确定为所述故障主机设备。

所述根据所述故障主机设备和所述网络拓扑，定位出与所述故障主机设备关联的第二主机设备的步骤包括：

根据故障主机设备的策略类型确定对应的目标子主机集群；

根据所述故障主机设备的主机地址，以及所述目标子主机集群中的主机拓扑，定位出与所述故障主机设备关联的第二主机设备。

第二方面，本申请还提供一种主机定位装置，包括：

建立模块，用于根据主机集群中各个第一主机设备的网络策略和主机地址，建立所述主机集群的网络拓扑；

聚类模块，用于将所述主机集群产生的告警数据和日志数据进行日志聚类，得到对应的各个日志事件模板；

确定模块，用于根据预设条件确定各个所述日志事件模板中的高频日志事件模板；

定位模块，用于根据所述高频日志事件模板中的高频参数信息定位出对应的故障主机设备，并根据所述故障主机设备和所述网络拓扑，定位出与所述故障主机设备关联的第二主机设备。

第三方面，本申请还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现第一方面所述主机定位方法的步骤。

第四方面，本申请还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被所述处理器执行时实现第一方面所述主机定位方法的步骤。

本申请提供的主机定位方法、装置、电子设备及计算机程序产品，在故障主机设备定位的过程中，不需要人工参与，主动根据主机集群产生的告警数据和日志数据聚类出对应的日志事件模板，主动查询出日志事件模板中的高频日志事件模板，并主动根据高频日志事件模板中的高频参数信息定位出故障主机设备，提升了故障主机设备的运维效率。同时，定位与故障主机设备关联的其他问题主机设备的过程中，结合建立的主机集群的网络拓扑快速主动定位出与故障主机设备关联的其他潜在问题主机设备，从而提升了与故障主机设备关联的其他潜在问题主机设备的运维效率。

附图说明

为了更清楚地说明本申请或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请提供的主机定位方法的流程示意图之一；

图2是本申请提供的主机定位方法的流程示意图之二；

图3是本申请提供的主机定位装置的结构示意图；

图4是本申请提供的电子设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请中的附图，对本申请中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

下面结合图1至图4描述本申请提供的主机定位方法、装置、电子设备及计算机程序产品。

具体地，本申请提供一种主机定位方法，参照图1，图1是本申请提供的主机定位方法的流程示意图之一。

本申请实施例提供了主机定位方法的实施例，需要说明的是，虽然在流程图中示出了逻辑顺序，但是在某些数据下，可以以不同于此处的顺序完成所示出或描述的步骤。

本申请实施例以电子设备作为执行主体进行举例，本申请实施例以管理系统作为电子设备的表现形式之一，并不对电子设备限制。

本申请实施例提供的主机定位方法包括：

步骤S10，根据主机集群中各个第一主机设备的网络策略和主机地址，建立所述主机集群的网络拓扑。

管理系统间隔预设时长自动对数据采集平台中各个主机集群进行梳理，也即获取各个主机集群中正在运行的各个主机设备的网络策略和主机地址，其中，预设时长是根据实际情况设定的。需要说明的是，在一个数据采集平台中存在多个大型的主机集群，本实施例以其中一个主机集群进行举例说明，其他的主机集群同理处理。

具体地，管理系统间隔预设时长自动建立控制器，通过交换机获取连接点的信息以获取在预设时长内主机集群中正在运行的各个第一主机设备及其对应的相关信息，相关信息包括但不限制于主机名称和主机地址(主机IP地址)。同时，管理系统为识别出的各个第一主机设备添加对应的主机标识。接着，管理系统通过Paramiko库(Paramiko是Python(爬虫)中的一个库，Paramiko遵循SSH2协议，支持身份验证，密钥处理，以及其他SSH(Secure Shell，加密网络协议)功能，模拟Ansible)对各个第一主机设备进行快速连接，遍历主机集群中的所有第一主机设备以识别出各个第一主机设备的网络策略。最后，管理系统对主机集群中各个第一主机设备的网络策略进行分类，根据分类结果以及各个第一主机设备的主机地址建立主机集群的网络拓扑，具体如步骤S101至步骤S103所述。此外，管理系统将建立的网络拓扑存到图数据库中，以供可视化及查询使用，同时，定时通过自动化脚本检查更新网络拓扑，并将检查更新后的网络拓扑同步更新至图数据库。

步骤S101，确定各个所述第一主机设备的网络策略对应的策略类型，并将同一策略类型的第一主机设备聚类于同一子主机集群中；

步骤S102，根据拓扑算法以及各个所述子主机集群中的第一主机设备对应的主机地址，建立各个所述子主机集群的主机拓扑；

步骤S103，根据各个所述主机拓扑建立所述网络拓扑。

具体地，管理系统确定各个第一主机设备的网络策略对应的策略类型，根据各个第一主机设备的策略类型将各个第一主机设备进行分类，即将同一策略类型的第一主机设备聚类于同一子主机集群中，需要说明的是，同一子主机集群中的第一主机设备的业务流程和数据关联等存在联系。接着，管理系统根据拓扑算法以及各个子主机集群中的第一主机设备对应的主机地址，建立各个子主机集群中的第一主机设备的主机拓扑。最后，管理系统将各个子主机集群中的主机拓扑进行汇总，建立主机集群的网络拓扑。需要说明的是，在实际的生产环境中，不同业务系统(如EMOS，综资等)的网络策略是不同的，即不同业务系统之间的是相互独立的，且IP链路存在防火墙，主机设备的网络策略代表着业务系统的网络策略。

在本实施例中，比如，在预设时长内识别到某一主机集群中存在4个正在运行的主机设备分别为主机设备1、主机设备2、主机设备3和主机设备4，4个主机设备的主机地址为主机设备1：192.168.2.111；主机设备2：192.168.2.112；主机设备3：192.168.2.113；主机设备4：192.168.2.114，4个主机设备的网络策略对应的策略类型为主机设备1：sw-g1；主机设备2：sw-g1；主机设备3：sw-g2；主机设备4：sw-g2。管理系统则将主机设备1和主机设备2聚类为子主机集群1，即将192.168.2.111和192.168.2.112建立子主机集群1的主机拓扑sw-g1。将主机设备3和主机设备4聚类为子主机集群2，即将192.168.2.113和192.168.2.114建立子主机集群2的主机拓扑sw-g2。同时，管理系统将主机集群1的主机拓扑sw-g1和子主机集群2的主机拓扑sw-g2建立该某一主机集群的网络拓扑，网络拓扑通过Paramiko库具体的表现形式如表1所示，表1是主机集群的网络拓扑。

表1主机集群的网络拓扑

本实施例通过网络策略对应的策略类型构建各个子主机集群中主机设备主机拓扑，再根据各个子主机集群中主机设备主机拓扑建立主机集群的网络拓扑，保证了构建的网络拓扑具有高准确性。

步骤S20，将所述主机集群产生的告警数据和日志数据进行日志聚类，得到对应的各个日志事件模板。

管理系统确定预设时长内主机集群产生的日志数据(Log)和告警数据(Alarm)，按照同类日志数据和同类告警数据聚类方法将日志数据和告警数据进行第一次聚类，得到各个待处理日志事件模板，然后根据系统中预先设定的事件模板ID映射关系，得到各个待处理日志事件模板对应的事件ID(Identity Document，身份证标识号)，每一种待处理日志事件模板对应唯一的事件ID。接着，管理系统根据各个待处理日志事件模板及其对应的事件ID进行第二次聚类，即将所有具有相似性的待处理日志事件模板归纳为同一种能够涵盖关键信息的日志事件模板，其中，日志事件模板也即关键信息的日志摘要，日志摘要既具备很强的概括性又保留更多细节信息。通过日志聚类得到日志事件模板的具体过程如步骤S201至步骤S203所述。

需要说明的是，各个日志事件模板携带有其对应的告警等级信息和发生频次信息。告警数据是指监控系统产生的异常事件等数据，由于日志聚类的过程中，很难从告警数据的正文中提取较多的可用信息。如告警数据为“Daemon startup without any loadedmodules”，无法根据告警数据提取出有效参数信息，因此，将告警数据聚类得到的结果作为事件模板。日志数据是指基于文本的软件运行记录，日志数据一般为结构化或半结构化的数据类型，在日志聚类的过程中，可以在日志数据中提取出包括但不限制于时间信息、主机名称、主机地址和日志摘要模板的有效参数信息，如，日志数据为“Received block blk_-567246582456 of size 61706684 from /10.251.92.84”，根据日志数据可提取出主机名称、主机地址和日志摘要模板的参数信息。

步骤S30，根据预设条件确定各个所述日志事件模板中的高频日志事件模板。

管理系统确定系统中确定高频日志事件模板的预设条件，在各个日志事件模板中提取出与预设条件符合的目标日志事件模板，并将目标日志事件模板确定为各个日志事件模板中的高频日志事件模板，其中，预设条件是根据实际情况设定的，预设条件包括但不限制于日志事件模板的告警等级和发生频次，高频日志事件模板即为定位故障主机设备的日志事件模板，具体如步骤S301至步骤S304所述。

进一步地，步骤S301至步骤S304的具体描述如下：

步骤S301，若所述预设条件为所述告警等级，则确定在各个日志事件模板中是否存在告警等级大于预设告警等级的第一目标日志事件模板；

步骤S302，若存在所述第一目标日志事件模板，则将所述第一目标日志事件模板确定为所述高频日志事件模板。

具体地，若确定预设条件为日志事件模板的告警等级，管理系统则确定各个日志事件模板的告警等级，并将各个日志事件模板的告警等级与预设告警等级进行比较，确定在各个日志事件模板的告警等级中是否存在告警等级大于预设告警等级的目标告警等级，其中，预设告警等级是根据实际情况设定的。若确定存在目标告警等级，管理系统则将目标告警等级对应的日志事件模板确定为第一目标日志事件模板，并将第一目标日志事件模板确定为各个日志事件模板中的高频日志事件模板。

本实施例通过日志事件模板的告警等级在各个日志事件模板中提取出高频日志事件模板，使得高频日志事件模板具有分析代表性，使得通过高频日志事件模板分析得到的结果具有高准确性。

步骤S303，若所述预设条件为所述发生频次，则确定在各个日志事件模板中是否存在发生频次大于预设发生频次的第二目标日志事件模板；

步骤S304，若存在所述第二目标日志事件模板，则将所述第二目标日志事件模板确定为所述高频日志事件模板。

具体地，若确定预设条件为日志事件模板的发生频次，管理系统则确定各个日志事件模板的发生频次，并将各个日志事件模板的发生频次与预设发生频次进行比较，确定在各个日志事件模板的发生频次中是否存在发生频次大于预设发生频次的目标发生频次，其中，预设发生频次是根据实际情况设定的。若确定存在目标发生频次，管理系统则将目标发生频次对应的日志事件模板确定为第二目标日志事件模板，并将第二目标日志事件模板确定为各个日志事件模板中的高频日志事件模板。

本实施例通过日志事件模板的发生频次在各个日志事件模板中提取出高频日志事件模板，使得高频日志事件模板具有分析代表性，使得通过高频日志事件模板分析得到的结果具有高准确性。

步骤S40，根据所述高频日志事件模板中的高频参数信息定位出对应的故障主机设备，并根据所述故障主机设备和所述网络拓扑，定位出与所述故障主机设备关联的第二主机设备。

管理系统确定设定的预设分析参数，预设分析参数包括但不限制于主机名称和主机地址，根据预设分析参数对高频日志事件模板的参数信息进行降维，即获取高频日志事件模板中的各个预设分析参数，根据各个预设分析参数的发生频次和预设频次阈值进行比较，得到对应的比较结果，并根据比较结果得到高频日志事件模板中的高频参数信息，其中，预设频次阈值是根据实际情况设定的，比较结果可为在各个预设分析参数中存在目标分析参数，目标分析参数的发生频次大于或者等于预设频次阈值，比较结果也可为在各个预设分析参数中不存在目标分析参数。接着，管理系统将高频参数信息对应的主机设备确定为故障主机设备，并根据故障主机设备和网络拓扑中的主机拓扑，定位出与故障主机设备关联的第二主机设备，其中，第二主机设备即为故障主机设备关联的其他潜在问题主机设备，具体如步骤S401至步骤S404所述。

进一步地，步骤S401至步骤S304的具体描述如下：

步骤S401，根据所述高频日志事件模板中各个主机地址的主机地址发生频次和预设频次阈值，确定所述高频参数信息；

步骤S402，将所述高频参数信息对应的主机设备确定为所述故障主机设备。

需要说明的是，为了方便阐述，本实施例将预设分析参数设定为主机地址。具体地，管理系统获取高频日志事件模板中各个主机地址，以及各个主机地址的主机地址发生频次，将各个主机地址发生频次与预设频次阈值进行比较，确定各个主机地址发生频次中大于或者等于预设频次阈值的目标主机地址发生频次，并将该目标主机地址发生频次确定为高频参数信息。接着，管理系统将高频参数信息对应的主机设备确定为故障主机设备。

本实施例在故障主机设备定位的过程中，主动根据高频日志事件模板中主机地址发生频次定位出故障主机设备，保证了定位的出故障主机设备的准确性，提升了故障主机设备的运维效率。

步骤S403，根据故障主机设备的策略类型确定对应的目标子主机集群；

步骤S404，根据所述故障主机设备的主机地址，以及所述目标子主机集群中的主机拓扑，定位出与所述故障主机设备关联的第二主机设备。

管理系统根据故障主机设备的策略类型确定故障主机设备所属于的目标子主机集群，并根据故障主机设备的主机地址，以及目标子主机集群中的主机拓扑定位出与故障主机设备关联的其他潜在问题主机设备(第二主机设备)。

本实施例根在定位其他问题主机设备的过程中，结合建立的主机集群的网络拓扑进行快速主动定位，保证了定位出的其他问题主机设备的准确性，提升了其他潜在问题主机设备的运维效率。

在本实施例中，比如，预设频次阈值为300，网络拓扑为{sw-g1："221.177.88.249"；"221.177.88.248"；"221.177.88.247"}；{sw-g2："221.177.88.195"；"221.177.88.194"}；{sw-g3："221.177.72.159"；"221.177.72.158"；"221.177.72.157"}，高频日志事件模板中的3个主机地址及其对应的主机地址发生频次分别为{主机地址221.177.88.249，主机地址发生频340}、{主机地址221.177.88.195，主机地址发生频次130}和{主机地址221.177.72.159，主机地址发生频次124}。管理系统根据对高频日志事件模板进行分析，将发生频次大于300的主机地址发生频340确定为目标主机地址发生频次，目标主机地址发生频次也即高频日志事件模板中的高频参数信息，并将主机地址221.177.88.249对应的主机设备确定为故障主机设备，根据主机地址221.177.88.249所属的sw-g1的主机拓扑定位出其他潜在问题主机设备(第二主机设备)，第二主机设备的主机地址分别为{"221.177.88.248"；"221.177.88.247"}。

本实施例提供了主机定位方法，在故障主机设备定位的过程中，不需要人工参与，主动根据主机集群产生的告警数据和日志数据聚类出对应的日志事件模板，主动查询出日志事件模板中的高频日志事件模板，并主动根据高频日志事件模板中的高频参数信息定位出故障主机设备，提升了故障主机设备的运维效率。同时，定位与故障主机设备关联的其他问题主机设备的过程中，结合建立的主机集群的网络拓扑快速主动定位出与故障主机设备关联的其他潜在问题主机设备，从而提升了与故障主机设备关联的其他潜在问题主机设备的运维效率。

进一步地，参照图2，图2是本申请提供的主机定位方法的流程示意图之二，所述步骤20包括：

步骤S201，按照时间窗口方式将所述主机集群在预设时长内产生的告警数据和日志数据进行分段，得到多个时刻的告警数据，以及多个时刻的的日志数据；

步骤S202，根据各个所述时刻的告警数据中的告警标题数据，以及各个所述时刻的日志数据中的目标参数信息进行预设结构化聚类，得到各个待处理日志事件模板及其对应的事件ID；

步骤S203，将同一事件ID对应的待处理日志事件模板进行再聚类，得到对应的各个日志事件模板。

需要说明的是，日志聚类包括日志数据聚类和告警数据聚类，在告警数据聚类的过程中，由于告警数据是以高度概括的告警事件类型为标题，因此告警数据聚类即将同类告告警标题的告警数据进行聚类。在日志数据聚类的过程中，根据预设正则表达式对日志数据进行无关变量字符串抽取剔除，无关变量字符串包括但不限制于日志出现日期字符串、目录路径字符串和日志等级等字符串，生成日志摘要模板，并保留所需要的参数信息(目标参数信息)包括但不限制于节点信息和主机地址信息(主机IP信息)，将目标参数信息和日志摘要模板进行聚类。

具体地，管理系统按照时间窗口方式将主机集群在预设时长内产生的告警数据和日志数据进行分段，得到多个时刻的告警数据，以及多个时刻的的日志数据，时间窗口方式根据实际情况设定，如，获取1小时时长内(如00:00-00:59)主机集群产生的告警数据和日志数据，将告警数据和日志数据按照时间窗口方式分段，得到60个时刻如00:00、00:01、00:02......00:59的告警数据和日志数据。

接着，管理系统通过Logpraser(统计程序)处理各个时刻的日志数据，即通过正则表达式对各个时刻的日志数据进行结构化分解，并提取日志数据的事件模板(日志摘要模板)以及目标参数信息，同时，确定各个时刻的告警数据中的告警标题数据，其中，告警标题数据包括但不限制于告警数据的产生日期、产生时间和告警数据等级。然后，管理系统将提取各个时段的日志数据的日志摘要模板以及目标参数信息，以及各个时刻的告警数据中的告警标题数据进行预设结构化聚类，得到各个待处理日志事件模板，在本实施例中，如，某一HDFS(Hadoop Distributed File System，Hadoop分布式文件系统)的在2021/06/11 00:00:00产生的日志数据为：2021/06/11 00:00:00 INFO DataNode$PacketResponder：Received-block-blk_5672465824 of size 61706684 from 10.251.92.84，通过Logpraser对该日志数据进行聚类，得到预设结构的待处理日志事件模板如表2所示，表2为待处理日志事件模板。其中，Timestamp时间戳数据包括日期数据和时间数据，Level为待处理日志事件模板的等级，Component为组件，Event Template为事件模板，Parameters为参数信息。

表2待处理日志事件模板

最后，管理系统根据事件模板ID映射关系得到各个待处理日志事件模板对应的事件ID，将同一事件ID对应的待处理日志事件模板进行再聚类，得到对应的各个日志事件模板，如表3所示，表3为事件ID为ec44eb6f的日志事件模板。

表3日志事件模板

本实施例提供了主机定位方法，结合告警数据的告警标题数据和日志数据中的目标参数信息进行聚类，得到对应的各个待处理日志事件模板，再根据各个待处理日志事件模板及其对应的事件ID进行再聚类，将同一类事件ID的关键信息进行归类，得到各类事件ID具有代表性的日志事件模板，使得通过各类事件ID对应的日志事件模板分析得到的结果具有高准确性，即通过日志事件模板能够主动且准确地定位出故障主机设备，提升了故障主机设备的运维效率。

进一步地，下面对本申请提供的主机定位装置进行描述，下文描述的主机定位装置与上文描述的主机定位方法可相互对应参照。

如图3所示，图3是本申请提供的主机定位装置的结构示意图，主机定位装置，包括：

建立模块301，用于根据主机集群中各个第一主机设备的网络策略和主机地址，建立所述主机集群的网络拓扑；

聚类模块302，用于将所述主机集群产生的告警数据和日志数据进行日志聚类，得到对应的各个日志事件模板；

确定模块303，用于根据预设条件确定各个所述日志事件模板中的高频日志事件模板；

定位模块304，用于根据所述高频日志事件模板中的高频参数信息定位出对应的故障主机设备，并根据所述故障主机设备和所述网络拓扑，定位出与所述故障主机设备关联的第二主机设备。

进一步地，所述聚类模块302还用于：

按照时间窗口方式将所述主机集群在预设时长内产生的告警数据和日志数据进行分段，得到多个时刻的告警数据，以及多个时刻的的日志数据；

根据各个所述时刻的告警数据中的告警标题数据，以及各个所述时刻的日志数据中的目标参数信息进行预设结构化聚类，得到各个待处理日志事件模板及其对应的事件ID；

将同一事件ID对应的待处理日志事件模板进行再聚类，得到对应的各个日志事件模板。

进一步地，所述确定模块303还用于：

若所述预设条件为所述告警等级，则确定在各个日志事件模板中是否存在告警等级大于预设告警等级的第一目标日志事件模板；

若存在所述第一目标日志事件模板，则将所述第一目标日志事件模板确定为所述高频日志事件模板。

进一步地，所述确定模块303还用于：

若所述预设条件为所述发生频次，则确定在各个日志事件模板中是否存在发生频次大于预设发生频次的第二目标日志事件模板；

若存在所述第二目标日志事件模板，则将所述第二目标日志事件模板确定为所述高频日志事件模板。

进一步地，所述建立模块301还用于：

确定各个所述第一主机设备的网络策略对应的策略类型，并将同一策略类型的第一主机设备聚类于同一子主机集群中；

根据拓扑算法以及各个所述子主机集群中的第一主机设备对应的主机地址，建立各个所述子主机集群的主机拓扑；

根据各个所述主机拓扑建立所述网络拓扑。

进一步地，所述定位模块304还用于：

根据所述高频日志事件模板中各个主机地址的主机地址发生频次和预设频次阈值，确定所述高频参数信息；

将所述高频参数信息对应的主机设备确定为所述故障主机设备。

进一步地，所述定位模块304还用于：

根据故障主机设备的策略类型确定对应的目标子主机集群；

根据所述故障主机设备的主机地址，以及所述目标子主机集群中的主机拓扑，定位出与所述故障主机设备关联的第二主机设备。

本申请提供的主机定位装置的具体实施例与上述主机定位方法各实施例基本相同，在此不作赘述。

图4示例了一种电子设备的实体结构示意图，如图4所示，该电子设备可以包括：处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440，其中，处理器410，通信接口420，存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令，以执行主机定位方法，该方法包括：

根据主机集群中各个第一主机设备的网络策略和主机地址，建立所述主机集群的网络拓扑；

将所述主机集群产生的告警数据和日志数据进行日志聚类，得到对应的各个日志事件模板；

根据预设条件确定各个所述日志事件模板中的高频日志事件模板；

根据所述高频日志事件模板中的高频参数信息定位出对应的故障主机设备，并根据所述故障主机设备和所述网络拓扑，定位出与所述故障主机设备关联的第二主机设备。

此外，上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本申请还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的主机定位方法，该方法包括：

根据主机集群中各个第一主机设备的网络策略和主机地址，建立所述主机集群的网络拓扑；

将所述主机集群产生的告警数据和日志数据进行日志聚类，得到对应的各个日志事件模板；

根据预设条件确定各个所述日志事件模板中的高频日志事件模板；

根据所述高频日志事件模板中的高频参数信息定位出对应的故障主机设备，并根据所述故障主机设备和所述网络拓扑，定位出与所述故障主机设备关联的第二主机设备。

又一方面，本申请还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的主机定位方法，该方法包括：

根据主机集群中各个第一主机设备的网络策略和主机地址，建立所述主机集群的网络拓扑；

将所述主机集群产生的告警数据和日志数据进行日志聚类，得到对应的各个日志事件模板；

根据预设条件确定各个所述日志事件模板中的高频日志事件模板；

根据所述高频日志事件模板中的高频参数信息定位出对应的故障主机设备，并根据所述故障主机设备和所述网络拓扑，定位出与所述故障主机设备关联的第二主机设备。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。