了解產品詳情請戳-->嘉為藍鯨WeOps一體化智能運維平臺

上次我們講到復雜事件處理（CEP，Complex Event Processing）技術在IT運維告警領域較為驚喜的落地效果，與現在大部分廠商基于重復性規則的方式進行降噪不同，CEP可以挖掘事件里面蘊含的價值。（?點擊查看上期文章）接下來我們來看看在這種流式事件處理的場景中，事件數據是如何處理的。

首先回顧一下告警場景中最基礎的元素event，指系統中發生的任何可觀察到的變化 ，是最基礎的概念，比如服務器CPU使用率發生了變化，它從各個系統中源源不斷的集中到統一告警系統中，CEP通過“窗口”的機制把這種無限的事件流劃分成有限的 “數據塊”，然后系統對這些數據塊進行分析處理，下面介紹一下三種窗口類型：固定窗口、滑動窗口、會話窗口。

01. 固定窗口

也叫做滾動窗口，特點是時間長度固定（即系統每一次會處理這個窗口內的數據），并且窗口之間不會重疊。打個比方，設定一個 10 秒的固定窗口，那么就會依次生成[0-10]、[10-20]這樣的窗口。

這種窗口處理機制常適用于對時間范圍有明確要求的聚合類計算，比如每分鐘的用戶訪問量統計就可以用固定窗口。

02. 滑動窗口

滑動窗口有兩個關鍵參數，分別是窗口大小和滑動步長。它會以固定的步長向前滑動，窗口之間是存在重疊的。例如，窗口大小為 10 秒，滑動步長為 5 秒，那么就會生成[0-10]、[5-15]、[10-20]等窗口。

滑動窗口適用于需要進行實時趨勢分析的場景，比如檢測 5 分鐘內的CPU變化趨勢。

03. 會話窗口

會話窗口的邊界是由事件之間的間隔時間（會話超時時間）來確定的。如果在規定時間內沒有新的事件到來，當前窗口就會關閉，后續的新事件會開啟一個新的窗口。說的可能有點抽象，我們舉兩個例子可能就清楚了：

1. 分析用戶的在線會話時長。當用戶 A 登錄網站后，就會開啟一個會話窗口。如果在 30 分鐘內用戶 A 有持續的操作，那么這個窗口就會一直保持開啟狀態。一旦超過 30 分鐘沒有操作，窗口就會關閉。通過這種方式，就能統計出用戶 A 的在線會話時長。
2. 流水線構建打包場景，研發提交代碼后手動觸發CI自動構建流水線，但是流水線執行失敗，此時不需要發出告警，因為研發會進行調整重新打包，當流水線最后一次執行失敗，然后30分鐘內這個流水線沒有新的打包記錄時，意味著代碼側出現了問題，研發無法短時間內完成出包流程，此時系統識別并觸發告警。

在統一告警中心場景中，綜合三種獨特機制從海量事件中快速定位真正需要關注的問題，減少無效告警的干擾，提升運維效率。