Presentiamo Tipping: Un Parser Log Avanzato
Il tipping migliora l'efficienza e la precisione dell'analisi dei log per un'analisi software migliore.
― 8 leggere min
Indice
- Sfide del Parsing dei Log
- Introducendo Tipping
- Il Processo di Tipping
- Tokenizzazione
- Filtraggio dei Token
- Monitoraggio delle Dipendenze
- Grafo di Interdipendenza
- Gruppi di Token Fortemente Dipendenti
- Raggruppamento dei Token
- Token Comuni
- Modelli di Evento e Maschere di Parametri
- Valutazione delle Prestazioni
- Test di Velocità
- Rilevamento di Anomalie
- Conclusione
- Fonte originale
- Link di riferimento
Negli ultimi anni, con il software che diventa sempre più complesso, la quantità di dati di log prodotti dalle applicazioni è aumentata significativamente. I log vengono generati continuamente e forniscono informazioni importanti su come funzionano i sistemi, il comportamento degli utenti e le potenziali minacce alla sicurezza. Tuttavia, analizzare questi log manualmente è diventato difficile a causa del loro enorme volume e della velocità di generazione. Questo ha portato a una necessità di strumenti automatizzati che possano elaborare ed estrarre informazioni preziose dai dati di log in modo efficiente.
Il parsing dei log è un passaggio chiave nell'Analisi dei log, che coinvolge la conversione dei messaggi di log grezzi in un formato strutturato. Questo formato strutturato rende più facile analizzare e interpretare i dati. Il parsing dei log separa normalmente i messaggi di log in parti costanti, che descrivono l'evento, e parti variabili, che contengono informazioni dinamiche che possono cambiare con ogni occorrenza dell'evento. Ad esempio, nel messaggio di log "Socket connesso con successo a 10.10.1.10", la frase "Socket connesso con successo a" è la parte costante, mentre "10.10.1.10" è la parte variabile.
Il ruolo dei parser di log è cruciale, poiché semplificano la complessità dei messaggi di log in forma libera. Questi parser aiutano in vari compiti, come rilevare comportamenti insoliti, fare il debug degli errori e analizzare le prestazioni. Tuttavia, ottenere sia velocità che precisione nel parsing dei log può essere impegnativo, poiché aumentare la precisione spesso richiede elaborazioni più complesse, il che può rallentare le prestazioni complessive.
Sfide del Parsing dei Log
Il parsing dei log affronta diverse sfide a causa dell'aumento del volume e della complessità dei dati. Prima di tutto, man mano che le applicazioni generano più log, gli strumenti utilizzati per analizzarli devono essere in grado di tenere il passo con questo aumento. Questo richiede che i parser siano efficienti e capaci di gestire grandi quantità di dati rapidamente.
In secondo luogo, la precisione dei parser di log è essenziale. Un parser deve identificare e separare correttamente le parti costanti e variabili di un messaggio di log per fornire informazioni significative. Se un parser non è preciso, può produrre risultati errati, che possono portare a problemi nell'analisi successiva. Il rapporto tra velocità e precisione può spesso essere conflittuale; ottenere una maggiore precisione potrebbe rallentare il processo di parsing.
Un'altra sfida è l'uso dell'elaborazione parallela, dove i compiti sono distribuiti su più processori per accelerare le operazioni. Sebbene questo metodo possa migliorare le prestazioni e consentire l'uso di tecniche di parsing complesse, aggiunge anche complessità al sistema. Gestire operazioni concorrenti e garantire la coerenza dei dati può essere difficile, il che può portare a errori o incoerenze nell'output finale del parsing.
Introducendo Tipping
Per affrontare queste sfide, è stato sviluppato un nuovo parser di log chiamato "Tipping". Tipping combina diverse tecniche avanzate per migliorare l'efficienza e la precisione del parsing dei log. Utilizza un tokenizer basato su regole, grafi di token di interdipendenza e algoritmi di componenti forti per analizzare i log in modo efficace.
Tipping è progettato per essere veloce e scalabile, consentendo di funzionare in modo efficiente su più core di elaborazione. Questo significa che può gestire grandi volumi di dati di log rapidamente senza compromettere la precisione. Nei test, Tipping ha dimostrato la capacità di analizzare milioni di righe di log in pochi secondi, rendendolo una soluzione pratica per l'analisi automatizzata dei log.
Il design di Tipping include più componenti, ognuno con una funzione specifica nel processo di parsing. Il tokenizer suddivide i messaggi di log in parti più piccole, permettendo un'elaborazione più semplice. I token vengono quindi filtrati per mantenere solo quelli pertinenti per l'analisi. Il parser tiene traccia delle occorrenze dei token e delle loro co-occorrenze, il che aiuta a comprendere le relazioni tra i diversi token nei messaggi di log.
Il Processo di Tipping
Tokenizzazione
Il primo passo nel processo di parsing di Tipping è la tokenizzazione. Questo implica suddividere i messaggi di log in unità più piccole chiamate token. A differenza dei metodi tradizionali che separano il testo negli spazi bianchi, Tipping consente maggiore flessibilità utilizzando modelli speciali definiti dagli utenti. Questi modelli aiutano a identificare quali parti del messaggio di log devono essere trattate come costanti e quali devono essere considerate variabili.
Durante il processo di tokenizzazione, l'algoritmo cerca modelli predefiniti nel messaggio di log. Segna alcuni modelli come token speciali per mantenere la loro integrità durante il parsing. Dopo aver identificato questi token, tutte le altre parti del messaggio di log vengono frammentate in base a simboli e caratteri bianchi. Questo consente un approccio più sfumato al parsing dei messaggi di log.
Filtraggio dei Token
Una volta generati i token, Tipping applica un processo di filtraggio per rimuovere i token indesiderati in base a parametri definiti dall'utente. Per impostazione predefinita, l'algoritmo mantiene solo i token pertinenti, assicurandosi che vengano conservati solo quelli necessari per un parsing accurato. Questo passaggio aiuta a raffinare ulteriormente i dati e li prepara per l'analisi.
Monitoraggio delle Dipendenze
Successivamente, Tipping tiene traccia sia delle occorrenze dei token che delle loro co-occorrenze. Le occorrenze dei token sono il numero di volte in cui un token specifico appare all'interno del dataset. Le co-occorrenze si riferiscono a istanze in cui due token appaiono insieme nello stesso messaggio di log. Queste informazioni sono vitali per comprendere le relazioni tra i token e aiutano a costruire un'analisi completa.
Grafo di Interdipendenza
Per analizzare ulteriormente le relazioni tra i token, Tipping costruisce un grafo di interdipendenza. In questo grafo, i token agiscono come nodi e le dipendenze tra di essi sono rappresentate come spigoli. Analizzando questo grafo, Tipping può identificare gruppi di token che si dipendono l'uno dall'altro, consentendo una comprensione più profonda dei messaggi di log.
Gruppi di Token Fortemente Dipendenti
Tipping identifica anche gruppi di token fortemente dipendenti, che sono sottoinsiemi di token che mostrano dipendenza reciproca. Questo raggruppamento è essenziale perché se un token viene identificato come parte del modello, è probabile che anche altri token all'interno dello stesso gruppo siano parte del modello. Questo processo aiuta a formare una rappresentazione più accurata degli eventi nei messaggi di log.
Raggruppamento dei Token
Una volta stabiliti i gruppi di token, Tipping raggruppa i messaggi in base ai token ancorati identificati. Ogni cluster rappresenta un evento unico e l'algoritmo può calcolare gli ID evento basati su questi cluster. Se gli utenti richiedono un'analisi dettagliata, Tipping può poi generare modelli e maschere di parametri per gli eventi.
Token Comuni
All'interno di ogni cluster, Tipping identifica token comuni che sono presenti in tutti i messaggi. Questi token comuni aiutano a generare modelli di eventi che rappresentano accuratamente la struttura dei messaggi di log. Producendo più modelli per ogni evento, Tipping può tenere conto delle variazioni all'interno dei messaggi di log in modo efficace.
Modelli di Evento e Maschere di Parametri
L'ultimo passaggio implica la creazione di modelli di eventi e maschere di parametri. I modelli di evento rappresentano la struttura fissa dei messaggi di log, mentre le maschere di parametri indicano quali parti del messaggio sono variabili. Questa rappresentazione strutturata consente un'analisi facile e ulteriori indagini sugli eventi registrati dal sistema.
Valutazione delle Prestazioni
Le prestazioni di Tipping sono state testate approfonditamente rispetto ai parser di log all'avanguardia esistenti. Vari benchmark sono stati utilizzati per valutare la sua precisione e velocità. I risultati hanno mostrato che Tipping ha costantemente superato gli altri parser, raggiungendo punteggi elevati su più dataset.
In un benchmark, Tipping ha raggiunto punteggi perfetti in diversi casi, dimostrando la sua robustezza nel parsing accurato dei dati di log. Anche in dataset più complessi, Tipping ha mantenuto alta precisione, sottolineando la sua affidabilità come strumento di parsing dei log.
Test di Velocità
Tipping è stato anche valutato per la sua velocità nel parsing di grandi dataset. Nei test, Tipping ha dimostrato un'efficienza eccezionale, risultando spesso il parser più veloce disponibile. In scenari che coinvolgono più core di elaborazione, le prestazioni di Tipping hanno superato le aspettative, evidenziando la sua capacità di gestire rapidamente dati di log estesi.
Rilevamento di Anomalie
Un'altra area di interesse era l'impatto di Tipping su compiti successivi come il rilevamento di anomalie. Nei test, l'output di parsing di Tipping è stato trovato migliorare la precisione dei modelli di rilevamento delle anomalie. Producendo dati di log ben strutturati, Tipping ha consentito una migliore identificazione di comportamenti insoliti e potenziali problemi all'interno del sistema.
Conclusione
In sintesi, Tipping rappresenta un significativo avanzamento nel campo del parsing dei log. Combinando varie tecniche e ponendo l'accento su velocità e precisione, Tipping è equipaggiato per affrontare le sfide poste dal crescente volume e complessità dei dati di log. Le sue prestazioni nei benchmark e nei test pratici dimostrano la sua efficacia come strumento di analisi automatizzata dei log, rendendolo un'aggiunta essenziale alle pratiche di ingegneria del software moderne.
Poiché i sistemi software continuano a generare enormi quantità di dati di log, la necessità di strumenti di parsing efficienti e accurati rimarrà critica. Tipping si distingue come una soluzione versatile in grado di soddisfare le esigenze del panorama software di oggi, permettendo migliori intuizioni e una gestione del software migliorata.
Titolo: Token Interdependency Parsing (Tipping) -- Fast and Accurate Log Parsing
Estratto: In the last decade, an impressive increase in software adaptions has led to a surge in log data production, making manual log analysis impractical and establishing the necessity for automated methods. Conversely, most automated analysis tools include a component designed to separate log templates from their parameters, commonly referred to as a "log parser". This paper aims to introduce a new fast and accurate log parser, named "Tipping". Tipping combines rule-based tokenizers, interdependency token graphs, strongly connected components, and various techniques to ensure rapid, scalable, and precise log parsing. Furthermore, Tipping is parallelized and capable of running on multiple processing cores with close to linear efficiency. We evaluated Tipping against other state-of-the-art log parsers in terms of accuracy, performance, and the downstream task of anomaly detection. Accordingly, we found that Tipping outperformed existing methods in accuracy and performance in our evaluations. More in-depth, Tipping can parse 11 million lines of logs in less than 20 seconds on a laptop machine. Furthermore, we re-implemented a parallelized version of the past IpLom algorithm to demonstrate the effect of parallel processing, and it became the second-fastest parser. As logs keep growing in volume and complexity, the software engineering community needs to ensure automated log analysis tools keep up with the demand, being capable of efficiently handling massive volumes of logs with high accuracy. Tipping's robustness, versatility, efficiency, and scalability make it a viable tool for the modern automated log analysis task.
Autori: Shayan Hashemi, Mika Mäntylä
Ultimo aggiornamento: 2024-08-01 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2408.00645
Fonte PDF: https://arxiv.org/pdf/2408.00645
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://pypi.org/project/tipping
- https://crates.io/crates/tipping-rs
- https://github.com/logpai/logparser
- https://github.com/M3SOulu/logparser
- https://github.com/M3SOulu/LogPMBenchmark
- https://github.com/EvoTestOps/LogLead
- https://github.com/pola-rs/polars
- https://github.com/pandas-dev/pandas
- https://github.com/EvoTestOps/LogLead/tree/main/demo/parser_benchmark
- https://github.com/GoogleCloudPlatform/microservices-demo
- https://github.com/bave/pyspell
- https://github.com/keiichishima/templateminer
- https://github.com/logpai/Drain3/
- https://github.com/shshemi/tipping-rs
- https://github.com/shshemi/tipping
- https://pypi.org/project/tipping/