KUNGFU TECH

0
0
Lập trình
NM
Nguyen Minhtamdehmivor

Phát hiện bất thường trong log thông minh với Python và Isolation Forest

Đăng vào 7 tháng trước

• 7 phút đọc

Chủ đề:

#beginners#python#devops#machinelearning

Phát hiện bất thường trong log thông minh với Python và Isolation Forest

Bạn đã bao giờ nhìn vào hàng ngàn dòng log và tự hỏi dòng nào thực sự quan trọng chưa? Hoặc tệ hơn, bạn có bị cảnh báo về các log lỗi không quan trọng trong khi bỏ lỡ những bất thường quan trọng không? Tôi cũng đã gặp phải tình huống đó.

Trong bài viết này, tôi sẽ chia sẻ cách tôi xây dựng một hệ thống phát hiện bất thường trong log được hỗ trợ bởi machine learning, không chỉ đơn thuần lọc các log "ERROR" mà còn hiểu được các mẫu trong log của bạn để xác định điều gì thực sự bất thường.

Vấn đề với phân tích log truyền thống

Phân tích log truyền thống thường dựa vào việc lọc đơn giản các log lỗi. Nhưng cách tiếp cận này có những hạn chế nghiêm trọng:

  1. Không phải tất cả lỗi đều là bất thường - một số xảy ra thường xuyên và không gây lo ngại.
  2. Không phải tất cả bất thường đều là lỗi - một số log WARNING hoặc INFO có thể chỉ ra vấn đề.
  3. Ngữ cảnh quan trọng - một ERROR sau 10 log tương tự khác thì khác với một log duy nhất.

Chúng ta cần một hệ thống học các mẫu bình thường trong log và làm nổi bật những khác biệt - và đó chính xác là những gì tôi đã xây dựng.

Hiểu biết về học không giám sát trong phân tích log

Trước khi đi vào giải pháp, hãy cùng hiểu khái niệm cốt lõi: học không giám sát.

Khác với học có giám sát (nơi bạn huấn luyện với các ví dụ đã được gán nhãn), học không giám sát tìm kiếm các mẫu mà không được chỉ định cụ thể. Điều này rất phù hợp cho phân tích log vì:

  1. Chúng ta không có các ví dụ đã được gán nhãn về log "bất thường" so với "bình thường".
  2. Định nghĩa về "bình thường" thay đổi từ hệ thống này sang hệ thống khác.
  3. Các loại bất thường mới xuất hiện mà chúng ta chưa từng thấy trước đây.

Isolation Forest là một thuật toán không giám sát xuất sắc trong việc phát hiện bất thường. Nó hoạt động bằng cách xây dựng các cây quyết định cố gắng cô lập các điểm dữ liệu - các bất thường cần ít "cắt" hơn để cô lập vì chúng nổi bật hơn so với các mẫu bình thường. Điều này làm cho nó lý tưởng cho việc phát hiện bất thường trong log.

Giải pháp phát hiện bất thường trong log của tôi

Tôi đã tạo ra một ứng dụng web Flask giúp người dùng tải lên các tập tin log, xử lý chúng bằng machine learning và làm nổi bật các bất thường. Mã nguồn đầy đủ có sẵn trên kho GitHub của tôi.

Để có cái nhìn chi tiết về mã nguồn, hãy xem video hướng dẫn trên YouTube của tôi, nơi tôi giải thích từng thành phần từng bước.

Những đổi mới chính trong hệ thống

Điều làm cho hệ thống này đặc biệt không chỉ là việc sử dụng Isolation Forest, mà còn là cách nó trích xuất các đặc trưng có nghĩa từ log:

1. Trích xuất đặc trưng thông minh

Phần quan trọng nhất của phát hiện bất thường là kỹ thuật trích xuất đặc trưng. Hệ thống của tôi trích xuất các đặc trưng từ log như sau:

  • Các đặc trưng cơ bản: mức độ log (ERROR/WARNING/INFO), độ dài thông điệp.
  • Các đặc trưng dựa trên nội dung: sự hiện diện của các từ như "failure", "exception", "unauthorized".
  • Các vấn đề liên quan đến kết nối: mạng, độ trễ, thời gian chờ.
  • Phân tích tần suất: thông điệp này phổ biến như thế nào?
  • Trích xuất số liệu: thông điệp có chứa số (như mã lỗi) không?

Những đặc trưng này giúp thuật toán hiểu được điều gì làm cho một mục log trở nên "bất thường" hơn chỉ là mức độ log của nó.

2. Ngưỡng bất thường có thể cấu hình

Hệ thống cho phép bạn điều chỉnh tham số "contamination", đại diện cho số lượng bất thường mà bạn mong đợi. Đối với phân tích log, tôi thấy 10% là một điểm khởi đầu tốt, nhưng bạn có thể điều chỉnh tùy thuộc vào đặc điểm của hệ thống của bạn.

3. Hình ảnh trực quan dễ hiểu

Giao diện web giúp dễ dàng:

  • Tải lên các tập tin log với thao tác kéo và thả đơn giản.
  • Xem các bất thường được đánh dấu bằng màu đỏ.
  • Nhìn thấy các mẫu trong biểu đồ trực quan.
  • Tải xuống kết quả dưới dạng CSV để phân tích thêm.

Kết quả thực tế từ các log thực tế

Khi tôi chạy hệ thống này trên các log sản xuất, tôi phát hiện ra những mẫu thú vị:

Copy 
952 INFO Kết nối cơ sở dữ liệu thất bại -1
957 WARNING Kết nối cơ sở dữ liệu thất bại -1
965 ERROR Yêu cầu API đã nhận: GET /products 1
973 ERROR IP đáng ngờ bị chặn -1
976 ERROR Vượt quá giới hạn tỷ lệ cho người dùng 1
992 WARNING Kết nối cơ sở dữ liệu đã được thiết lập -1

Giá trị -1 cho biết các bất thường, trong khi giá trị 1 là các log bình thường. Lưu ý rằng một số log ERROR được đánh dấu là bình thường (1) vì chúng phổ biến trong hệ thống, trong khi một số log INFO được đánh dấu là bất thường (-1) vì chúng chứa các mẫu không bình thường.

Đây là hiểu biết chính: mức độ log một mình không xác định điều gì là bất thường. Ngữ cảnh, tần suất và nội dung quan trọng hơn nhiều.

Cách bạn có thể sử dụng công cụ này

Bạn có thể áp dụng cách tiếp cận này cho nhiều hệ thống ghi log khác nhau:

  • Log CI/CD: Tìm các lỗi trong GitHub Actions, Jenkins hoặc CircleCI.
  • Log ứng dụng: Phát hiện hành vi không bình thường trong các ứng dụng web của bạn.
  • Log hạ tầng: Giám sát máy chủ, cơ sở dữ liệu và mạng.
  • Log bảo mật: Xác định các vi phạm bảo mật tiềm năng hoặc các mẫu truy cập không bình thường.

Cấu trúc dự án

Dự án tuân theo một cấu trúc sạch sẽ và mô-đun:

Copy 
log_analyser/
├── core/
│   ├── anomaly_detector.py  # Triển khai thuật toán ML
│   ├── parser.py            # Phân tích tệp log
│   └── preprocessor.py      # Trích xuất đặc trưng
├── logs/                    # Lưu trữ log đã tải lên
├── main.py                  # Ứng dụng Flask
├── static/                  # Tài sản tĩnh (biểu đồ)
└── templates/               # Mẫu HTML

Bài học rút ra

Xây dựng hệ thống này đã dạy tôi một số bài học quan trọng:

  1. Học không giám sát là sức mạnh cho log: Bạn không cần các ví dụ đã được gán nhãn để tìm bất thường.
  2. Kỹ thuật trích xuất đặc trưng là quan trọng nhất: Chất lượng của các đặc trưng xác định chất lượng phát hiện.
  3. Kiến thức miền là cần thiết: Hiểu biết về các mẫu log cải thiện việc chọn các đặc trưng.
  4. Hình ảnh trực quan giúp dễ hiểu hơn: Thấy các bất thường một cách trực quan tiết lộ các mẫu.

Thử nghiệm ngay

Bạn đã sẵn sàng để thử nghiệm với các log của riêng mình chưa? Hãy xem kho GitHub của tôi để biết hướng dẫn cài đặt. README chứa mọi thứ bạn cần để bắt đầu.

Để có video hướng dẫn đầy đủ, hãy xem video trên YouTube của tôi, nơi tôi giải thích toàn bộ hệ thống từ thiết lập đến phân tích.

Kết luận

Phát hiện bất thường trong log không cần phải giới hạn trong việc lọc đơn giản các lỗi. Với các kỹ thuật machine learning không giám sát như Isolation Forest, chúng ta có thể xây dựng các hệ thống thực sự hiểu được điều gì là bình thường và điều gì là bất thường trong môi trường cụ thể của chúng ta.

Tôi rất muốn nghe về các mẫu bạn khám phá trong log của mình bằng cách sử dụng cách tiếp cận này!

Bạn đã xây dựng các công cụ tương tự cho phân tích log chưa? Các kỹ thuật nào bạn thấy hiệu quả nhất? Hãy cho tôi biết trong phần bình luận!

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào