《No More Labelled Examples? An Unsupervised Log Parser with LLMs》论文深度讲解说明本文根据用户提供的论文《No More Labelled Examples? An Unsupervised Log Parser with LLMs》整理按照“发现问题 - 思考对策 - 解决问题”的研究逻辑展开并尽量代入论文第一作者视角进行叙事化讲解。第一阶段故事的起点——我们到底站在哪个研究版图里如果我要用一句话概括这篇论文的位置我会说这是一篇处在“自动化日志分析 / 软件可靠性工程 / 大语言模型辅助软件工程”交叉地带的论文它研究的是如何在没有人工标注样例的情况下用 LLM 做高质量的日志解析。听起来有点抽象我们慢慢拆。在真实的软件系统里比如分布式系统、云服务、操作系统、服务器应用每时每刻都会吐出大量日志。日志就像系统的“病历本”哪里运行了任务哪里连接失败了哪个模块抛了异常哪个服务重启了都可能写在日志里。但原始日志通常是半结构化文本比如Running task 1.0 in stage 0.0 (TID 0)人一眼能看出来1.0、0.0、0是运行时变化的值而Running task ... in stage ... (TID ...)才是稳定的事件描述。论文里把稳定部分叫log template 日志模板把变化部分叫log parameter 日志参数。所以日志解析的任务其实就是把一堆看起来杂乱的日志整理成“事件类型 变量值”。这一步非常关键。因为后续很多任务比如异常检测、根因分析、故障诊断通常不是直接吃原始日志而是依赖日志解析后的结构化结果。换句话说日志解析是自动化运维和可靠性分析的地基。你需要先掌握的 3 个前置知识第一个前置知识日志模板和参数可以把日志想象成一句填空题。比如Received block blk_-160899 of size 91178 from 10.250.10.6它真正表达的事件是Received block * of size * from *其中blk_-160899、91178、10.250.10.6是每次运行时可能变化的值。这就像快递短信“您的包裹 123456 已到达 北京站”下一次可能变成“您的包裹 789000 已到达 上海站”模板是“您的包裹 已到达 ”参数是具体包裹号和地点。日志解析器要做的就是自动判断哪些词是“句子的骨架”哪些词只是“填进去的变量”。第二个前置知识传统日志解析为什么常用“相似性”早期很多日志解析方法不懂语义它们靠规则或统计特征工作。比如它们会想“如果很多日志都出现了Received block、of size、from那这些词大概率是模板如果某些位置总是变来变去比如 IP、数字、ID那它们大概率是参数。”这类方法通常被称为syntax-based parsers基于语法或规则的解析器。论文中提到 Drain、Brain、AEL、LogMine 等都属于这个传统方向。它们的优点是不需要标注数据缺点是比较“死板”如果日志形式复杂或者参数不像典型的数字、IP、路径它们就容易判断错。通俗一点说传统方法像一个只会看字面规律的实习生它能发现“这里经常出现同一个词”但它不一定理解这个词在句子里到底是什么意思。第三个前置知识语义型方法和 LLM 为什么被引入后来研究者发现日志不是完全无意义的字符串它其实带有自然语言和程序语义。比如session opened for user news这里的news可能不是普通英文单词而是用户名。如果你只看词频可能会误判但如果你理解 “for user X” 这个语义结构就能推断news是一个变量。于是就出现了semantic-based parsers基于语义的日志解析器。它们使用语言模型比如 RoBERTa、GPT-3.5 等来理解日志中的语义。论文提到 LogPPT 通过微调预训练语言模型做日志解析LILAC 等方法则用 LLM 的 in-context learning也就是给模型看一些“日志—模板”的标注示例让它照着做。这就好比从“只看字面规律的实习生”升级成“读过很多代码和文本的工程师”。它更聪明但问题也来了它需要高质量示例来教它当前系统的日志应该怎么解析。第二阶段发现痛点——真正的问题不是 LLM 不够强而是“标注样例太贵了”如果我是作者我一开始看到的矛盾大概是这样的LLM 明明很适合理解日志语义为什么它还没有成为一个真正好用、低维护的日志解析方案答案慢慢浮出来了现有语义型日志解析器太依赖人工标注样例。论文里明确指出现有 semantic-based log parsers 要达到最佳效果通常需要高质量 labelled examples也就是人工标注好的“日志 正确模板”。例如 LogPPT 需要用标注模板微调模型LILAC 需要用标注样例做 in-context demonstrations。这在论文实验里不是一句空话。作者专门做了一个动机实验把可用标注比例从 75%、50%、25%、10% 降到 5%观察 LogPPT 和 LILAC 的性能变化。结果很明显标注比例降低后二者性能显著下滑。论文中提到当标注比例大幅下降时LogPPT 的 FTA 下降约 33%LILAC 下降超过 15%。这里的 FTA 可以先理解成“模板解析到底准不准”的一个严格指标。为什么标注日志这么难这不是因为研究者懒也不是因为企业不重视而是现实场景真的很残酷。第一日志量太大。论文提到生产系统可能每小时产生数以亿计的日志。让人去一条条标注哪些是模板、哪些是参数本身就几乎不可行。第二日志一直在变。软件不断更新功能不断上线系统行为不断变化于是新的日志模板会不断出现。这就是论文里提到的 concept drift可以理解为“数据分布漂移”。今天标注好的日志模板过几周可能就不够用了。第三日志标注需要领域知识。比如news在普通文本里是“新闻”但在某条系统日志里可能是用户名ERROR有时是错误级别有时可能是消息内容的一部分。没有系统背景的人很容易标错。所以作者看到的核心困境不是“我们没有强大的模型。”而是我们有强大的 LLM但每次都要喂它人工标注样例这件事在真实系统里不可持续。破局动机能不能让 LLM 不看标注而是自己“对比”出规律这就是这篇论文真正有意思的地方。作者没有简单地问“怎样给 LLM 更好的 labelled examples”而是换了一个问题如果不给标注样例只给它几条彼此相似但局部不同的日志它能不能自己看出哪些地方是变量比如session opened for user newssession opened for user test这两条日志几乎完全一样只有news和test不同。哪怕没有人告诉 LLM 正确模板LLM 也很容易推断session opened for user *因为它可以通过“对比”发现不变的是模板变化的是参数。这就是 LUNAR 的核心直觉也是整篇论文的起点LLM 直接解析单条日志可能会犹豫但如果让它比较多条“同源但参数不同”的日志它就更容易看出结构。作者把这样的一组日志称为LCULog Contrastive Unit日志对比单元。这个概念很关键。它有点像我们学外语时看例句“I bought an apple.”“I bought a book.”“I bought a car.”你不需要老师告诉你语法也能感觉到apple/book/car是可以替换的对象I bought a ...是稳定结构。LUNAR 想做的就是从海量日志里自动找出这样的“对比例句组”再交给 LLM让它不靠人工标注也能推断模板。到这里作者的研究动机就完整了既然标注样例昂贵且不可持续而 LLM 又擅长比较和理解文本那么我们能不能构造一种无监督方法让 LLM 通过日志之间的共同点和差异点自行完成日志解析这就是 LUNAR 的故事起点。第三阶段直面大山——“让 LLM 对比日志”听起来简单真正难的是怎么找对日志如果我是作者想到 “让 LLM 比较多条日志” 以后第一反应不会是兴奋太久因为马上会撞上一堵墙海量日志里哪些日志应该放在一起让 LLM 比较这就是 LUNAR 的核心难点。难点一日志太多组合会爆炸假设系统里有 100 万条日志。如果我们想从里面挑 3 条组成一个对比组理论组合数量会非常恐怖。论文把这个问题叫LCU Volume Explosion也就是日志对比单元的组合数量爆炸。这就像你有一百万张句子卡片想找几张“句式一样但关键词不同”的卡片。最笨的办法是所有组合都试一遍但那基本不可能。所以作者意识到不能直接在全量日志里暴力找 LCU必须先缩小搜索范围。难点二LCU 既要“像”又不能“太像”这是本文最关键、也最有洞察力的地方。一个好的 LCU需要同时满足两个条件。第一它们要有commonality共同性。也就是说这几条日志要足够像最好来自同一个日志模板。例如session opened for user newssession opened for user test它们共享session opened for user所以很可能是同一个模板。但如果把下面几条放在一起session opened for user newsconnection from 127.0.0.1ALERT exited abnormally with [1]它们差别太大LLM 根本无法判断哪些部分是同一模板里的变量。论文中也用图 3 说明了这种“不适合的 LCU”日志差异过大时无法给 LLM 提供有用对比。第二它们还要有variability差异性。也就是说虽然它们像但不能完全一样也不能关键参数都一样。比如connection from 127.0.0.11 at 03:22:23connection from 127.0.0.11 at 03:25:23这里时间变了但 IP 一直是127.0.0.11。如果只看这两条LLM 可能会误以为127.0.0.11是模板固定内容而不是参数。论文也指出如果日志组里的参数值完全相同LLM 可能会把参数误判成常量。所以真正难的不是“找相似日志”而是找到一组日志它们像到足以说明“我们来自同一个模板”又不同到足以暴露“这里是变量”。这有点像给学生讲语法。如果例句完全不同学生看不出规律如果例句完全一样学生也看不出哪里可以替换最好的例句是“I bought an apple.”“I bought a book.”“I bought a car.”这时学生自然能发现apple/book/car是可替换部分。LUNAR 要自动从日志海洋里找的就是这种“教学质量最高的例句组”。难点三之前的方法为什么会在这里翻车传统 syntax-based parser 的问题是它们主要依赖人工规则或启发式特征比如日志长度、词频、前缀树、n-gram 等。它们可以便宜地跑但面对复杂日志时经常把语义上重要的词误当参数或者把复杂参数的一部分误当模板。语义型方法比如 LogPPT、LILAC理解能力更强但又依赖标注数据。也就是说它们像一个聪明学生但必须先看老师给的标准答案。问题是现实系统里标准答案很贵而且日志还会变。所以作者对前人工作的判断是传统无监督方法便宜但不够聪明语义方法聪明但离不开标注。LUNAR 想走第三条路不要标注但仍然利用 LLM 的语义理解能力不靠人工示例而靠日志之间天然存在的对比关系。第四阶段灵光乍现——LUNAR 的核心解决方案现在我们终于可以看 LUNAR 是怎么设计出来的了。整套方法可以理解成一句话先把日志分桶再从桶里挑出高质量 LCU然后用专门设计的无标注 prompt 让 LLM 解析最后把得到的模板修正并更新到模板库。论文图 4 展示了 LUNAR 的整体流程它包含三个主要组件分别是Hierarchical Sharder 层次化日志分片器、Generative LCU Ranker / LCU Selector 日志对比单元选择器、以及Label-free LLM Parser 无标注 LLM 解析器。我们按作者思路一步步走。第一步既然全局搜索太贵那就先把日志分桶作者首先意识到如果在全量日志里找 LCU组合空间太大。那怎么办先粗筛。LUNAR 的第一个模块叫Hierarchical Log Sharder可以理解成“层次化日志分桶器”。它做两件事。第一层按日志长度分桶。也就是 token 数一样的日志先放在一起。因为同一个模板生成的日志通常长度相同或相近。这是日志解析里很常见的启发式。论文中说LUNAR 使用空格作为分隔符并没有使用冒号等符号因为冒号往往出现在参数里乱切会让日志过度碎片化。第二层在同长度桶里再按 top-k 高频 token 聚类。作者的直觉是模板里的固定词通常出现得更频繁而参数变化更大、出现频率更低。所以如果几条日志共享高频 token它们更可能来自同一个模板。论文图 5 展示了这个层次化分桶过程。打个比方你要在一堆学生作文里找同一个句式不能一上来全班乱比。你可以先按句子长度分组再按共同关键词分组。这样每个小组里的句子更可能来自同一个表达模式。这个设计解决了第一个大问题搜索空间太大。同时它还有一个额外好处分桶之间可以并行处理所以 LUNAR 后面能在大规模日志上跑得比较快。第二步在桶里挑 LCU关键是平衡“共同性”和“差异性”分桶之后问题变成每个桶里怎么挑最好的 LCULUNAR 的答案是Two-Stage LCU Selector两阶段选择。第一阶段叫Stratified LCU Generation分层采样生成候选 LCU。它不会枚举所有组合而是先随机选一条 anchor log也就是锚点日志然后计算这条日志和桶里其他日志的相似度。论文用的是Jaccard similarity可以简单理解成两条日志共享的词越多相似度越高不同的词越多相似度越低。然后它去掉两类日志一类是相似度太低的因为可能不是同一个模板另一类是相似度等于 1 的因为完全重复没法提供差异信息。接着它从不同相似度层级里采样组成候选 LCU。这样做的好处是不只拿最像的也不拿完全不像的而是保留一定多样性。第二阶段叫Hybrid LCU Ranking混合打分排序。这是 LUNAR 非常核心的部分。作者为每个候选 LCU 计算两个分数。一个是variability score差异性分数。它衡量这组日志之间有多少不同。差异越大越可能暴露参数。另一个是commonality score共同性分数。它衡量这组日志是不是“差得很均匀”。如果几条日志来自同一个模板它们通常在相似的位置发生变化整体相似度关系比较稳定。论文用 pair-wise similarity difference 来衡量这种共同性。最后 LUNAR 把这两个分数线性加权LCU score λ × 差异性 (1 - λ) × 共同性这里的 λ 就像一个旋钮。λ 太低模型只追求“像”可能选出几条几乎一样的日志参数暴露不出来λ 太高模型只追求“不同”可能把不同模板的日志混在一起论文实验里默认 λ 0.6说明作者略微更强调差异性但仍然保留共同性约束。这个设计非常漂亮因为它正好回应了前面的核心难点好的 LCU 不是最相似的一组也不是最不同的一组而是“像中有变、变中有像”的一组。第三步不给 labelled examples但给 LLM 一个非常清楚的任务说明找到 LCU 后LUNAR 就要问 LLM 了。但这里作者没有使用传统 in-context learning。也就是说它不给 LLM “这条日志应该解析成这个模板”的人工标注示例。那它给什么它给一个精心设计的 prompt。论文图 7 展示了这个 prompt 的结构主要包含四部分任务要求、参数建议、输出约束、参数示例以及输入的 LCU 日志。注意这里有一个细节论文不是完全什么例子都不给。它不给“标注好的日志解析示例”但会给一些通用的参数例子比如目录、IP、block id 这类参数长什么样。这些不是某个具体数据集的 labelled templates而是通用参数知识。论文把这些称作 parameter examples。这就像老师没有告诉学生“这道题标准答案是什么”但告诉学生“数字、IP、路径、用户名通常可能是变量错误类型、状态词有时不要乱替换输出必须按这个格式来。”这非常重要。因为 LLM 最大的问题之一不是不会推理而是容易输出不稳定。于是作者在 prompt 里专门加入output constraints 输出约束要求每条日志输出对应模板并用固定前缀和反引号包起来。后面的消融实验也证明去掉输出约束会造成巨大性能下降FTA 下降幅度达到 40.3%。这说明作者真正理解 LLM 工程化使用的痛点不是只要把问题丢给 LLM 就行还要让它输出可解析、可聚合、可自动化处理的结果。第四步LLM 给出的模板还要进入模板库修正作者也很清楚LLM 不是神。即使有 LCU它也可能把某些重复出现的参数误判为固定词。比如某组日志里1603刚好重复出现LLM 可能以为它是模板的一部分。所以 LUNAR 加了一个Template Revision and Bucket Updating模块。简单说就是LLM 生成一个模板后LUNAR 会把它和已有模板比较。如果发现两个模板非常相似只是某些 token 不同就尝试合并修正。例如论文中提到mesos-slave-*mesos-master-*可以被修正成mesos-*但它不会无脑过度合并。为了避免把有意义的英文词乱替换LUNAR 只编辑那些看起来像参数的 token尤其是包含非字母符号的 token。这一步相当于给 LLM 的结果加了一层“全局一致性检查”。单次 LLM 判断可能有噪声但模板库可以在整个数据集层面不断修正和归并。这一阶段的核心思想总结如果用作者的心路历程来串起来大概是这样我一开始想解决的是语义型日志解析太依赖标注的问题。但我发现LLM 虽然直接解析单条日志不稳定却很擅长比较多条相似文本。于是我提出 LCU让 LLM 通过“相同处是模板、不同处是参数”的方式进行无监督推理。可是海量日志里 LCU 太多不能暴力搜索而且 LCU 质量非常关键既要相似又要有变化。所以我先用层次化分桶缩小搜索空间再用共同性和差异性的混合打分挑出优质 LCU。最后我不给 LLM 人工标注示例而是给它清晰的任务说明、参数知识和输出格式约束再用模板库做修正和复用。LUNAR 的 novelty 主要不在于“用了 LLM”而在于它把日志解析从“依赖人工示例的语义学习”转成了“利用日志自身对比关系的无监督推理”。第五阶段落地生根——从一个想法变成可跑的大规模日志解析器前面我们已经知道LUNAR 的核心思路是从海量日志里自动找出适合对比的 LCU然后让 LLM 在无标注条件下推断模板。现在我们来看作者怎样把这个想法真正做成一个可运行系统。如果只停留在“让 LLM 比较几条日志”这个想法上LUNAR 还只是一个漂亮的 intuition。真正要成为论文贡献必须回答三个问题第一算法怎么一步步跑起来第二它在真实大规模日志上准不准第三它会不会太慢、太贵导致实际不能用LUNAR 的实现基本可以看作一个循环系统。1. 具体实现LUNAR 是怎样处理一批日志的假设现在给 LUNAR 一大批原始日志它不会马上把所有日志都塞给 LLM。它会先做一系列“减负”和“筛选”。第一步先分桶避免全局乱找LUNAR 先用hierarchical sharder把日志分成多个 bucket。它先按日志长度分组再按 top-k 高频 token 进一步聚类。论文默认设置里top-k token 数为 3最小 cluster size 为 100。这样做的目的不是直接得到最终模板而是把“可能来自同一类模板”的日志尽量放到同一个小范围里。这一步就像整理一大堆试卷你不会直接把所有题目混在一起批改而是先按题型、题干长度、关键词分堆。分堆之后每一堆内部再处理就轻松得多。第二步在桶内选一个 anchor log生成候选 LCU在每个 bucket 里LUNAR 会随机选一条日志作为anchor log然后计算它和其他日志的相似度。这里用的是 Jaccard similarity。可以通俗理解成两条日志共享的词越多它们越相似共享词越少它们越不相似。然后 LUNAR 会过滤掉两类不合适的日志相似度太低的可能不是同一个模板相似度等于 1 的完全一样没有对比价值。接着它从不同相似度层级中采样生成候选 LCU。论文默认 LCU sample size 是 3也就是通常每次拿 3 条日志组成一个对比单元。为什么是 3后面的实验说明1 条日志没有对比信息4 或 5 条又可能引入噪声3 条在准确率上表现最好。第三步用“共同性 差异性”给 LCU 打分候选 LCU 生成后LUNAR 不是随便挑而是给每组 LCU 算分。这个分数有两个部分差异性分数看的是这组日志之间有没有足够多的变化。变化越充分越容易暴露参数。共同性分数看的是这组日志是不是仍然像同一个模板。如果几条日志差别太大那就不是“参数不同”而可能是“模板不同”。最后两者加权组合。论文默认 λ 0.6也就是稍微偏重差异性但仍然保留共同性约束。实验也显示λ 太低或太高都会让效果下降因为只看共同性会选出太像的日志只看差异性又会混入不同模板。这一步可以理解成作者给 LCU 设了一个“好例句标准”不能完全一样否则学不到变量不能完全不同否则学不到模板最好是主体相同、局部变化。第四步把 LCU 放进专门设计的 prompt让 LLM 解析模板选出 LCU 后LUNAR 才真正调用 LLM。它构造的 prompt 不是随便一句“请解析这些日志”而是有严格结构它告诉 LLM 任务是什么识别动态变量用 placeholder 替代。它告诉 LLM 哪些东西常常是参数数字、IP、URL、路径、用户名等。它提醒 LLM 哪些东西不要乱替换错误类型、异常名、状态词可能是重要语义。它规定输出格式每条日志必须输出LogTemplate[idx]并用反引号包起来。最后才给出 LCU 中的多条日志。这里的工程味很强。作者不是把 LLM 当成一个黑箱魔法而是在“驯服”它让它不仅要推理正确还要输出得足够规整方便后续程序自动读取。论文消融实验也证明这一点极其重要。去掉 output constraints 后FTA 从 79.0% 掉到 47.2%下降 40.3%。这说明如果没有清晰输出约束LLM 可能懂了任务但输出不稳定最终系统仍然失败。第五步模板抽取、修正、更新 bucketLLM 返回结果后LUNAR 会从回答中抽取模板把{parameter}统一替换成*。但它不会马上完全相信这个模板。它还会把新模板和已有模板库里的模板比较做template revision。如果两个模板很接近只在某些像参数的位置不同LUNAR 会尝试合并它们。模板修正后LUNAR 会用正则表达式把 bucket 中能匹配这个模板的日志都找出来给它们赋予这个模板然后从待解析 bucket 中移除。剩下的日志继续进入下一轮。整个过程直到 bucket 为空。所以 LUNAR 不是“一次 prompt 解析全部日志”而是一个迭代过程选 LCU - 问 LLM - 得模板 - 修正模板 - 匹配更多日志 - 更新 bucket - 继续下一轮。这也是它能在大规模日志上工作的关键。LLM 只负责抽取代表性模板不需要读完每一条日志。2. 实验设计作者如何证明 LUNAR 真的有效作者的实验设计围绕四个研究问题展开RQ1LUNAR 的解析准确率如何RQ2各个组件是否真的有贡献RQ3不同 prompt 和不同 LLM 会不会影响效果RQ4LUNAR 在大规模日志上的效率和成本如何数据集方面作者用了 17 个日志解析数据集包括 14 个 Loghub-2.0 大规模公开数据集以及 CTS、HiBench、LoFI 三个工业日志数据集。Loghub-2.0 覆盖 HDFS、Spark、OpenStack、Linux、Mac、Thunderbird 等不同系统总体规模很大。论文表 1 给出了每个数据集的日志数量和模板数量比如 HDFS 有超过 1100 万条日志Spark 和 Thunderbird 都超过 1600 万条日志。对比方法也比较全面包括两类一类是无监督 syntax-based parser比如 AEL、Drain、Brain、LogMine。另一类是需要标注的 semantic-based parser比如 UniParser、LogPPT、LILAC。此外作者还设置了一个 LILAC w/o ICL也就是去掉标注示例后的 LILAC 变体用来比较“普通零样本 LLM 解析”和 LUNAR 的差距。评价指标有四个GA、PA、FGA、FTA。这里不用被缩写吓到可以这样理解GA / FGA更关注“同一模板的日志有没有被正确分到一组”。PA / FTA更严格关注模板和变量位置是否真的解析对。其中 FTA 是一个很关键的模板级严格指标论文多次用它衡量模板解析质量。3. 效果如何LUNAR 是否达到了预期答案是基本达到了而且结果很强。在 RQ1 中LUNAR 在 17 个数据集上取得了最好的平均 GA、PA、FTA以及第二好的 FGA。特别是在 FTA 上LUNAR 平均达到 78.5%明显超过所有无监督 parser。相比最强的无监督 syntax-based parser BrainLUNAR 的 FTA 高出 41.7%相比 LILAC w/o ICLFTA 高出 19.5%。这个结果说明一件关键的事不是“只要把日志丢给 LLM 零样本解析”就够了真正有效的是 LUNAR 这种“LCU 对比 专门 prompt 模板修正”的组合。更有意思的是LUNAR 甚至和需要标注样例的 LILAC 表现相当。论文表 2 中LUNAR 平均 FTA 为 78.5%LILAC 为 72.3%LUNAR 在 GA、PA、FTA 上还超过了 LILACFGA 与 LILAC 持平。这就是论文标题 “No More Labelled Examples?” 的底气来源它不是说标注样例永远没用而是证明了在日志解析任务里我们可以通过日志自身的对比结构把对人工标注的依赖大幅降下来。4. 消融实验哪些设计真的重要作者没有只报一个最终结果而是拆开看每个模块的贡献。分桶模块有用吗有用。去掉按日志长度分桶或者去掉 top-k token 聚类LUNAR 的 GA、PA 都会下降。说明 hierarchical sharder 不只是为了加速也有助于让后面的 LCU 更干净。LCU 选择策略有用吗非常有用。如果把 hybrid LCU ranking 换成随机选择、最小相似度、最大相似度、连续日志选择性能都会下降。尤其只选最大相似度的日志时FTA 明显下降因为日志太相似参数暴露不充分。这再次证明本文最核心的判断是对的LCU 不是越像越好而是要平衡共同性和差异性。prompt 设计有用吗也非常有用。去掉 parameter examples、parameter advice、output constraints都会导致不同程度的下降。其中 output constraints 最关键去掉后 FTA 下降 40.3%。这说明 LLM 系统不是只考“模型能力”还考“任务协议设计”。5. 不同 LLM 上是否稳定论文还测试了 GPT-4、GPT-4o、Claude、Llama-3.1、DeepSeek、Qwen 等不同模型。总体结论是LUNAR 对不同 LLM 有一定适配性大模型通常效果更好。GPT-4 比 GPT-3.5 略好但 GPT-3.5 便宜很多所以作者默认用 GPT-3.5。开源模型里Llama-3.1-405B 的表现接近甚至部分指标超过 GPT-3.5。小模型如 Qwen2-7B、Llama-3.1-8B 则明显弱一些。这说明 LUNAR 的方法不是绑定某一个特定模型而是利用了 LLM 普遍具备的文本比较和结构归纳能力。6. 效率和成本会不会太慢、太贵这是 LLM 方法最容易被质疑的地方。作者也专门做了效率和成本分析。在效率上LUNAR 的并行版本平均解析 360 万条日志需要 540.1 秒和最快的 syntax-based parser Drain 的 488.5 秒相近同时比 LILAC 的 620.1 秒更快。论文指出LUNAR 的并行化来自分桶结构不同一级 bucket 可以分配给不同 executor 独立处理。这点很重要因为它说明 LUNAR 不是一个“论文里准确但实际跑不动”的方法。成本上LUNAR 平均每个数据集消耗约 131.7K input tokens、13.9K output tokens、269.4 次 LLM 调用成本约 0.086 美元。相比 LILAC w/o ICLLUNAR 准确率更高还减少了调用次数和成本相比 LILACLUNAR 成本略高但不需要人工标注和示例选择。所以作者给出的判断是LUNAR 在准确率、效率、成本之间达到了一个比较实际的平衡。7. 论文的局限与威胁作者也承认哪些地方可能有问题这篇论文的 Threats to Validity 主要提到三点。第一是数据泄露风险。因为 LLM 可能在预训练时见过公开日志数据集可能不是在推理而是在“记忆”。作者用两个证据缓解这个担忧一是 LILAC w/o ICL 这种直接零样本 LLM 方法表现明显低于 LUNAR二是作者加入了新的工业数据集 LoFI并手工标注模板LUNAR 在这个未见系统上仍表现很好。第二是随机性。LLM 输出和采样可能有随机影响。作者把 temperature 设为 0并且每个实验跑三次取平均。第三是实现和参数设置偏差。作者使用已有 benchmark 和 baseline replication packages并尽量采用前人优化过的参数来保证比较公平。总结一句话重走作者的完整研究心路如果把整篇论文压缩成作者的一段心路历程大概是我一开始看到日志解析是日志分析的地基但传统无监督方法太依赖规则语义方法又太依赖人工标注。现实系统日志巨大且持续演化标注样例难以长期维护。于是我开始思考LLM 能不能不靠标注而靠日志之间天然存在的相似与差异自己推断模板这个想法催生了 LCU。为了让 LCU 在海量日志中可获得我设计了层次化分桶为了让 LCU 真正有效我用共同性和差异性的混合排序挑选对比单元为了让 LLM 在无标注条件下稳定输出我设计了专门 prompt 和模板修正机制。最后实验表明这条路不仅准确率明显超过传统无监督方法还能接近甚至超过部分需要标注的语义方法并且效率和成本都可接受。这篇论文最核心的贡献不是简单地“把 LLM 用到日志解析”而是提出了一种非常聪明的视角标注样例不是唯一的监督信号日志之间的对比关系本身就可以成为一种隐式监督。这也是 LUNAR 最值得记住的地方。
LUNAR论文深度讲解
发布时间:2026/5/28 13:37:57
《No More Labelled Examples? An Unsupervised Log Parser with LLMs》论文深度讲解说明本文根据用户提供的论文《No More Labelled Examples? An Unsupervised Log Parser with LLMs》整理按照“发现问题 - 思考对策 - 解决问题”的研究逻辑展开并尽量代入论文第一作者视角进行叙事化讲解。第一阶段故事的起点——我们到底站在哪个研究版图里如果我要用一句话概括这篇论文的位置我会说这是一篇处在“自动化日志分析 / 软件可靠性工程 / 大语言模型辅助软件工程”交叉地带的论文它研究的是如何在没有人工标注样例的情况下用 LLM 做高质量的日志解析。听起来有点抽象我们慢慢拆。在真实的软件系统里比如分布式系统、云服务、操作系统、服务器应用每时每刻都会吐出大量日志。日志就像系统的“病历本”哪里运行了任务哪里连接失败了哪个模块抛了异常哪个服务重启了都可能写在日志里。但原始日志通常是半结构化文本比如Running task 1.0 in stage 0.0 (TID 0)人一眼能看出来1.0、0.0、0是运行时变化的值而Running task ... in stage ... (TID ...)才是稳定的事件描述。论文里把稳定部分叫log template 日志模板把变化部分叫log parameter 日志参数。所以日志解析的任务其实就是把一堆看起来杂乱的日志整理成“事件类型 变量值”。这一步非常关键。因为后续很多任务比如异常检测、根因分析、故障诊断通常不是直接吃原始日志而是依赖日志解析后的结构化结果。换句话说日志解析是自动化运维和可靠性分析的地基。你需要先掌握的 3 个前置知识第一个前置知识日志模板和参数可以把日志想象成一句填空题。比如Received block blk_-160899 of size 91178 from 10.250.10.6它真正表达的事件是Received block * of size * from *其中blk_-160899、91178、10.250.10.6是每次运行时可能变化的值。这就像快递短信“您的包裹 123456 已到达 北京站”下一次可能变成“您的包裹 789000 已到达 上海站”模板是“您的包裹 已到达 ”参数是具体包裹号和地点。日志解析器要做的就是自动判断哪些词是“句子的骨架”哪些词只是“填进去的变量”。第二个前置知识传统日志解析为什么常用“相似性”早期很多日志解析方法不懂语义它们靠规则或统计特征工作。比如它们会想“如果很多日志都出现了Received block、of size、from那这些词大概率是模板如果某些位置总是变来变去比如 IP、数字、ID那它们大概率是参数。”这类方法通常被称为syntax-based parsers基于语法或规则的解析器。论文中提到 Drain、Brain、AEL、LogMine 等都属于这个传统方向。它们的优点是不需要标注数据缺点是比较“死板”如果日志形式复杂或者参数不像典型的数字、IP、路径它们就容易判断错。通俗一点说传统方法像一个只会看字面规律的实习生它能发现“这里经常出现同一个词”但它不一定理解这个词在句子里到底是什么意思。第三个前置知识语义型方法和 LLM 为什么被引入后来研究者发现日志不是完全无意义的字符串它其实带有自然语言和程序语义。比如session opened for user news这里的news可能不是普通英文单词而是用户名。如果你只看词频可能会误判但如果你理解 “for user X” 这个语义结构就能推断news是一个变量。于是就出现了semantic-based parsers基于语义的日志解析器。它们使用语言模型比如 RoBERTa、GPT-3.5 等来理解日志中的语义。论文提到 LogPPT 通过微调预训练语言模型做日志解析LILAC 等方法则用 LLM 的 in-context learning也就是给模型看一些“日志—模板”的标注示例让它照着做。这就好比从“只看字面规律的实习生”升级成“读过很多代码和文本的工程师”。它更聪明但问题也来了它需要高质量示例来教它当前系统的日志应该怎么解析。第二阶段发现痛点——真正的问题不是 LLM 不够强而是“标注样例太贵了”如果我是作者我一开始看到的矛盾大概是这样的LLM 明明很适合理解日志语义为什么它还没有成为一个真正好用、低维护的日志解析方案答案慢慢浮出来了现有语义型日志解析器太依赖人工标注样例。论文里明确指出现有 semantic-based log parsers 要达到最佳效果通常需要高质量 labelled examples也就是人工标注好的“日志 正确模板”。例如 LogPPT 需要用标注模板微调模型LILAC 需要用标注样例做 in-context demonstrations。这在论文实验里不是一句空话。作者专门做了一个动机实验把可用标注比例从 75%、50%、25%、10% 降到 5%观察 LogPPT 和 LILAC 的性能变化。结果很明显标注比例降低后二者性能显著下滑。论文中提到当标注比例大幅下降时LogPPT 的 FTA 下降约 33%LILAC 下降超过 15%。这里的 FTA 可以先理解成“模板解析到底准不准”的一个严格指标。为什么标注日志这么难这不是因为研究者懒也不是因为企业不重视而是现实场景真的很残酷。第一日志量太大。论文提到生产系统可能每小时产生数以亿计的日志。让人去一条条标注哪些是模板、哪些是参数本身就几乎不可行。第二日志一直在变。软件不断更新功能不断上线系统行为不断变化于是新的日志模板会不断出现。这就是论文里提到的 concept drift可以理解为“数据分布漂移”。今天标注好的日志模板过几周可能就不够用了。第三日志标注需要领域知识。比如news在普通文本里是“新闻”但在某条系统日志里可能是用户名ERROR有时是错误级别有时可能是消息内容的一部分。没有系统背景的人很容易标错。所以作者看到的核心困境不是“我们没有强大的模型。”而是我们有强大的 LLM但每次都要喂它人工标注样例这件事在真实系统里不可持续。破局动机能不能让 LLM 不看标注而是自己“对比”出规律这就是这篇论文真正有意思的地方。作者没有简单地问“怎样给 LLM 更好的 labelled examples”而是换了一个问题如果不给标注样例只给它几条彼此相似但局部不同的日志它能不能自己看出哪些地方是变量比如session opened for user newssession opened for user test这两条日志几乎完全一样只有news和test不同。哪怕没有人告诉 LLM 正确模板LLM 也很容易推断session opened for user *因为它可以通过“对比”发现不变的是模板变化的是参数。这就是 LUNAR 的核心直觉也是整篇论文的起点LLM 直接解析单条日志可能会犹豫但如果让它比较多条“同源但参数不同”的日志它就更容易看出结构。作者把这样的一组日志称为LCULog Contrastive Unit日志对比单元。这个概念很关键。它有点像我们学外语时看例句“I bought an apple.”“I bought a book.”“I bought a car.”你不需要老师告诉你语法也能感觉到apple/book/car是可以替换的对象I bought a ...是稳定结构。LUNAR 想做的就是从海量日志里自动找出这样的“对比例句组”再交给 LLM让它不靠人工标注也能推断模板。到这里作者的研究动机就完整了既然标注样例昂贵且不可持续而 LLM 又擅长比较和理解文本那么我们能不能构造一种无监督方法让 LLM 通过日志之间的共同点和差异点自行完成日志解析这就是 LUNAR 的故事起点。第三阶段直面大山——“让 LLM 对比日志”听起来简单真正难的是怎么找对日志如果我是作者想到 “让 LLM 比较多条日志” 以后第一反应不会是兴奋太久因为马上会撞上一堵墙海量日志里哪些日志应该放在一起让 LLM 比较这就是 LUNAR 的核心难点。难点一日志太多组合会爆炸假设系统里有 100 万条日志。如果我们想从里面挑 3 条组成一个对比组理论组合数量会非常恐怖。论文把这个问题叫LCU Volume Explosion也就是日志对比单元的组合数量爆炸。这就像你有一百万张句子卡片想找几张“句式一样但关键词不同”的卡片。最笨的办法是所有组合都试一遍但那基本不可能。所以作者意识到不能直接在全量日志里暴力找 LCU必须先缩小搜索范围。难点二LCU 既要“像”又不能“太像”这是本文最关键、也最有洞察力的地方。一个好的 LCU需要同时满足两个条件。第一它们要有commonality共同性。也就是说这几条日志要足够像最好来自同一个日志模板。例如session opened for user newssession opened for user test它们共享session opened for user所以很可能是同一个模板。但如果把下面几条放在一起session opened for user newsconnection from 127.0.0.1ALERT exited abnormally with [1]它们差别太大LLM 根本无法判断哪些部分是同一模板里的变量。论文中也用图 3 说明了这种“不适合的 LCU”日志差异过大时无法给 LLM 提供有用对比。第二它们还要有variability差异性。也就是说虽然它们像但不能完全一样也不能关键参数都一样。比如connection from 127.0.0.11 at 03:22:23connection from 127.0.0.11 at 03:25:23这里时间变了但 IP 一直是127.0.0.11。如果只看这两条LLM 可能会误以为127.0.0.11是模板固定内容而不是参数。论文也指出如果日志组里的参数值完全相同LLM 可能会把参数误判成常量。所以真正难的不是“找相似日志”而是找到一组日志它们像到足以说明“我们来自同一个模板”又不同到足以暴露“这里是变量”。这有点像给学生讲语法。如果例句完全不同学生看不出规律如果例句完全一样学生也看不出哪里可以替换最好的例句是“I bought an apple.”“I bought a book.”“I bought a car.”这时学生自然能发现apple/book/car是可替换部分。LUNAR 要自动从日志海洋里找的就是这种“教学质量最高的例句组”。难点三之前的方法为什么会在这里翻车传统 syntax-based parser 的问题是它们主要依赖人工规则或启发式特征比如日志长度、词频、前缀树、n-gram 等。它们可以便宜地跑但面对复杂日志时经常把语义上重要的词误当参数或者把复杂参数的一部分误当模板。语义型方法比如 LogPPT、LILAC理解能力更强但又依赖标注数据。也就是说它们像一个聪明学生但必须先看老师给的标准答案。问题是现实系统里标准答案很贵而且日志还会变。所以作者对前人工作的判断是传统无监督方法便宜但不够聪明语义方法聪明但离不开标注。LUNAR 想走第三条路不要标注但仍然利用 LLM 的语义理解能力不靠人工示例而靠日志之间天然存在的对比关系。第四阶段灵光乍现——LUNAR 的核心解决方案现在我们终于可以看 LUNAR 是怎么设计出来的了。整套方法可以理解成一句话先把日志分桶再从桶里挑出高质量 LCU然后用专门设计的无标注 prompt 让 LLM 解析最后把得到的模板修正并更新到模板库。论文图 4 展示了 LUNAR 的整体流程它包含三个主要组件分别是Hierarchical Sharder 层次化日志分片器、Generative LCU Ranker / LCU Selector 日志对比单元选择器、以及Label-free LLM Parser 无标注 LLM 解析器。我们按作者思路一步步走。第一步既然全局搜索太贵那就先把日志分桶作者首先意识到如果在全量日志里找 LCU组合空间太大。那怎么办先粗筛。LUNAR 的第一个模块叫Hierarchical Log Sharder可以理解成“层次化日志分桶器”。它做两件事。第一层按日志长度分桶。也就是 token 数一样的日志先放在一起。因为同一个模板生成的日志通常长度相同或相近。这是日志解析里很常见的启发式。论文中说LUNAR 使用空格作为分隔符并没有使用冒号等符号因为冒号往往出现在参数里乱切会让日志过度碎片化。第二层在同长度桶里再按 top-k 高频 token 聚类。作者的直觉是模板里的固定词通常出现得更频繁而参数变化更大、出现频率更低。所以如果几条日志共享高频 token它们更可能来自同一个模板。论文图 5 展示了这个层次化分桶过程。打个比方你要在一堆学生作文里找同一个句式不能一上来全班乱比。你可以先按句子长度分组再按共同关键词分组。这样每个小组里的句子更可能来自同一个表达模式。这个设计解决了第一个大问题搜索空间太大。同时它还有一个额外好处分桶之间可以并行处理所以 LUNAR 后面能在大规模日志上跑得比较快。第二步在桶里挑 LCU关键是平衡“共同性”和“差异性”分桶之后问题变成每个桶里怎么挑最好的 LCULUNAR 的答案是Two-Stage LCU Selector两阶段选择。第一阶段叫Stratified LCU Generation分层采样生成候选 LCU。它不会枚举所有组合而是先随机选一条 anchor log也就是锚点日志然后计算这条日志和桶里其他日志的相似度。论文用的是Jaccard similarity可以简单理解成两条日志共享的词越多相似度越高不同的词越多相似度越低。然后它去掉两类日志一类是相似度太低的因为可能不是同一个模板另一类是相似度等于 1 的因为完全重复没法提供差异信息。接着它从不同相似度层级里采样组成候选 LCU。这样做的好处是不只拿最像的也不拿完全不像的而是保留一定多样性。第二阶段叫Hybrid LCU Ranking混合打分排序。这是 LUNAR 非常核心的部分。作者为每个候选 LCU 计算两个分数。一个是variability score差异性分数。它衡量这组日志之间有多少不同。差异越大越可能暴露参数。另一个是commonality score共同性分数。它衡量这组日志是不是“差得很均匀”。如果几条日志来自同一个模板它们通常在相似的位置发生变化整体相似度关系比较稳定。论文用 pair-wise similarity difference 来衡量这种共同性。最后 LUNAR 把这两个分数线性加权LCU score λ × 差异性 (1 - λ) × 共同性这里的 λ 就像一个旋钮。λ 太低模型只追求“像”可能选出几条几乎一样的日志参数暴露不出来λ 太高模型只追求“不同”可能把不同模板的日志混在一起论文实验里默认 λ 0.6说明作者略微更强调差异性但仍然保留共同性约束。这个设计非常漂亮因为它正好回应了前面的核心难点好的 LCU 不是最相似的一组也不是最不同的一组而是“像中有变、变中有像”的一组。第三步不给 labelled examples但给 LLM 一个非常清楚的任务说明找到 LCU 后LUNAR 就要问 LLM 了。但这里作者没有使用传统 in-context learning。也就是说它不给 LLM “这条日志应该解析成这个模板”的人工标注示例。那它给什么它给一个精心设计的 prompt。论文图 7 展示了这个 prompt 的结构主要包含四部分任务要求、参数建议、输出约束、参数示例以及输入的 LCU 日志。注意这里有一个细节论文不是完全什么例子都不给。它不给“标注好的日志解析示例”但会给一些通用的参数例子比如目录、IP、block id 这类参数长什么样。这些不是某个具体数据集的 labelled templates而是通用参数知识。论文把这些称作 parameter examples。这就像老师没有告诉学生“这道题标准答案是什么”但告诉学生“数字、IP、路径、用户名通常可能是变量错误类型、状态词有时不要乱替换输出必须按这个格式来。”这非常重要。因为 LLM 最大的问题之一不是不会推理而是容易输出不稳定。于是作者在 prompt 里专门加入output constraints 输出约束要求每条日志输出对应模板并用固定前缀和反引号包起来。后面的消融实验也证明去掉输出约束会造成巨大性能下降FTA 下降幅度达到 40.3%。这说明作者真正理解 LLM 工程化使用的痛点不是只要把问题丢给 LLM 就行还要让它输出可解析、可聚合、可自动化处理的结果。第四步LLM 给出的模板还要进入模板库修正作者也很清楚LLM 不是神。即使有 LCU它也可能把某些重复出现的参数误判为固定词。比如某组日志里1603刚好重复出现LLM 可能以为它是模板的一部分。所以 LUNAR 加了一个Template Revision and Bucket Updating模块。简单说就是LLM 生成一个模板后LUNAR 会把它和已有模板比较。如果发现两个模板非常相似只是某些 token 不同就尝试合并修正。例如论文中提到mesos-slave-*mesos-master-*可以被修正成mesos-*但它不会无脑过度合并。为了避免把有意义的英文词乱替换LUNAR 只编辑那些看起来像参数的 token尤其是包含非字母符号的 token。这一步相当于给 LLM 的结果加了一层“全局一致性检查”。单次 LLM 判断可能有噪声但模板库可以在整个数据集层面不断修正和归并。这一阶段的核心思想总结如果用作者的心路历程来串起来大概是这样我一开始想解决的是语义型日志解析太依赖标注的问题。但我发现LLM 虽然直接解析单条日志不稳定却很擅长比较多条相似文本。于是我提出 LCU让 LLM 通过“相同处是模板、不同处是参数”的方式进行无监督推理。可是海量日志里 LCU 太多不能暴力搜索而且 LCU 质量非常关键既要相似又要有变化。所以我先用层次化分桶缩小搜索空间再用共同性和差异性的混合打分挑出优质 LCU。最后我不给 LLM 人工标注示例而是给它清晰的任务说明、参数知识和输出格式约束再用模板库做修正和复用。LUNAR 的 novelty 主要不在于“用了 LLM”而在于它把日志解析从“依赖人工示例的语义学习”转成了“利用日志自身对比关系的无监督推理”。第五阶段落地生根——从一个想法变成可跑的大规模日志解析器前面我们已经知道LUNAR 的核心思路是从海量日志里自动找出适合对比的 LCU然后让 LLM 在无标注条件下推断模板。现在我们来看作者怎样把这个想法真正做成一个可运行系统。如果只停留在“让 LLM 比较几条日志”这个想法上LUNAR 还只是一个漂亮的 intuition。真正要成为论文贡献必须回答三个问题第一算法怎么一步步跑起来第二它在真实大规模日志上准不准第三它会不会太慢、太贵导致实际不能用LUNAR 的实现基本可以看作一个循环系统。1. 具体实现LUNAR 是怎样处理一批日志的假设现在给 LUNAR 一大批原始日志它不会马上把所有日志都塞给 LLM。它会先做一系列“减负”和“筛选”。第一步先分桶避免全局乱找LUNAR 先用hierarchical sharder把日志分成多个 bucket。它先按日志长度分组再按 top-k 高频 token 进一步聚类。论文默认设置里top-k token 数为 3最小 cluster size 为 100。这样做的目的不是直接得到最终模板而是把“可能来自同一类模板”的日志尽量放到同一个小范围里。这一步就像整理一大堆试卷你不会直接把所有题目混在一起批改而是先按题型、题干长度、关键词分堆。分堆之后每一堆内部再处理就轻松得多。第二步在桶内选一个 anchor log生成候选 LCU在每个 bucket 里LUNAR 会随机选一条日志作为anchor log然后计算它和其他日志的相似度。这里用的是 Jaccard similarity。可以通俗理解成两条日志共享的词越多它们越相似共享词越少它们越不相似。然后 LUNAR 会过滤掉两类不合适的日志相似度太低的可能不是同一个模板相似度等于 1 的完全一样没有对比价值。接着它从不同相似度层级中采样生成候选 LCU。论文默认 LCU sample size 是 3也就是通常每次拿 3 条日志组成一个对比单元。为什么是 3后面的实验说明1 条日志没有对比信息4 或 5 条又可能引入噪声3 条在准确率上表现最好。第三步用“共同性 差异性”给 LCU 打分候选 LCU 生成后LUNAR 不是随便挑而是给每组 LCU 算分。这个分数有两个部分差异性分数看的是这组日志之间有没有足够多的变化。变化越充分越容易暴露参数。共同性分数看的是这组日志是不是仍然像同一个模板。如果几条日志差别太大那就不是“参数不同”而可能是“模板不同”。最后两者加权组合。论文默认 λ 0.6也就是稍微偏重差异性但仍然保留共同性约束。实验也显示λ 太低或太高都会让效果下降因为只看共同性会选出太像的日志只看差异性又会混入不同模板。这一步可以理解成作者给 LCU 设了一个“好例句标准”不能完全一样否则学不到变量不能完全不同否则学不到模板最好是主体相同、局部变化。第四步把 LCU 放进专门设计的 prompt让 LLM 解析模板选出 LCU 后LUNAR 才真正调用 LLM。它构造的 prompt 不是随便一句“请解析这些日志”而是有严格结构它告诉 LLM 任务是什么识别动态变量用 placeholder 替代。它告诉 LLM 哪些东西常常是参数数字、IP、URL、路径、用户名等。它提醒 LLM 哪些东西不要乱替换错误类型、异常名、状态词可能是重要语义。它规定输出格式每条日志必须输出LogTemplate[idx]并用反引号包起来。最后才给出 LCU 中的多条日志。这里的工程味很强。作者不是把 LLM 当成一个黑箱魔法而是在“驯服”它让它不仅要推理正确还要输出得足够规整方便后续程序自动读取。论文消融实验也证明这一点极其重要。去掉 output constraints 后FTA 从 79.0% 掉到 47.2%下降 40.3%。这说明如果没有清晰输出约束LLM 可能懂了任务但输出不稳定最终系统仍然失败。第五步模板抽取、修正、更新 bucketLLM 返回结果后LUNAR 会从回答中抽取模板把{parameter}统一替换成*。但它不会马上完全相信这个模板。它还会把新模板和已有模板库里的模板比较做template revision。如果两个模板很接近只在某些像参数的位置不同LUNAR 会尝试合并它们。模板修正后LUNAR 会用正则表达式把 bucket 中能匹配这个模板的日志都找出来给它们赋予这个模板然后从待解析 bucket 中移除。剩下的日志继续进入下一轮。整个过程直到 bucket 为空。所以 LUNAR 不是“一次 prompt 解析全部日志”而是一个迭代过程选 LCU - 问 LLM - 得模板 - 修正模板 - 匹配更多日志 - 更新 bucket - 继续下一轮。这也是它能在大规模日志上工作的关键。LLM 只负责抽取代表性模板不需要读完每一条日志。2. 实验设计作者如何证明 LUNAR 真的有效作者的实验设计围绕四个研究问题展开RQ1LUNAR 的解析准确率如何RQ2各个组件是否真的有贡献RQ3不同 prompt 和不同 LLM 会不会影响效果RQ4LUNAR 在大规模日志上的效率和成本如何数据集方面作者用了 17 个日志解析数据集包括 14 个 Loghub-2.0 大规模公开数据集以及 CTS、HiBench、LoFI 三个工业日志数据集。Loghub-2.0 覆盖 HDFS、Spark、OpenStack、Linux、Mac、Thunderbird 等不同系统总体规模很大。论文表 1 给出了每个数据集的日志数量和模板数量比如 HDFS 有超过 1100 万条日志Spark 和 Thunderbird 都超过 1600 万条日志。对比方法也比较全面包括两类一类是无监督 syntax-based parser比如 AEL、Drain、Brain、LogMine。另一类是需要标注的 semantic-based parser比如 UniParser、LogPPT、LILAC。此外作者还设置了一个 LILAC w/o ICL也就是去掉标注示例后的 LILAC 变体用来比较“普通零样本 LLM 解析”和 LUNAR 的差距。评价指标有四个GA、PA、FGA、FTA。这里不用被缩写吓到可以这样理解GA / FGA更关注“同一模板的日志有没有被正确分到一组”。PA / FTA更严格关注模板和变量位置是否真的解析对。其中 FTA 是一个很关键的模板级严格指标论文多次用它衡量模板解析质量。3. 效果如何LUNAR 是否达到了预期答案是基本达到了而且结果很强。在 RQ1 中LUNAR 在 17 个数据集上取得了最好的平均 GA、PA、FTA以及第二好的 FGA。特别是在 FTA 上LUNAR 平均达到 78.5%明显超过所有无监督 parser。相比最强的无监督 syntax-based parser BrainLUNAR 的 FTA 高出 41.7%相比 LILAC w/o ICLFTA 高出 19.5%。这个结果说明一件关键的事不是“只要把日志丢给 LLM 零样本解析”就够了真正有效的是 LUNAR 这种“LCU 对比 专门 prompt 模板修正”的组合。更有意思的是LUNAR 甚至和需要标注样例的 LILAC 表现相当。论文表 2 中LUNAR 平均 FTA 为 78.5%LILAC 为 72.3%LUNAR 在 GA、PA、FTA 上还超过了 LILACFGA 与 LILAC 持平。这就是论文标题 “No More Labelled Examples?” 的底气来源它不是说标注样例永远没用而是证明了在日志解析任务里我们可以通过日志自身的对比结构把对人工标注的依赖大幅降下来。4. 消融实验哪些设计真的重要作者没有只报一个最终结果而是拆开看每个模块的贡献。分桶模块有用吗有用。去掉按日志长度分桶或者去掉 top-k token 聚类LUNAR 的 GA、PA 都会下降。说明 hierarchical sharder 不只是为了加速也有助于让后面的 LCU 更干净。LCU 选择策略有用吗非常有用。如果把 hybrid LCU ranking 换成随机选择、最小相似度、最大相似度、连续日志选择性能都会下降。尤其只选最大相似度的日志时FTA 明显下降因为日志太相似参数暴露不充分。这再次证明本文最核心的判断是对的LCU 不是越像越好而是要平衡共同性和差异性。prompt 设计有用吗也非常有用。去掉 parameter examples、parameter advice、output constraints都会导致不同程度的下降。其中 output constraints 最关键去掉后 FTA 下降 40.3%。这说明 LLM 系统不是只考“模型能力”还考“任务协议设计”。5. 不同 LLM 上是否稳定论文还测试了 GPT-4、GPT-4o、Claude、Llama-3.1、DeepSeek、Qwen 等不同模型。总体结论是LUNAR 对不同 LLM 有一定适配性大模型通常效果更好。GPT-4 比 GPT-3.5 略好但 GPT-3.5 便宜很多所以作者默认用 GPT-3.5。开源模型里Llama-3.1-405B 的表现接近甚至部分指标超过 GPT-3.5。小模型如 Qwen2-7B、Llama-3.1-8B 则明显弱一些。这说明 LUNAR 的方法不是绑定某一个特定模型而是利用了 LLM 普遍具备的文本比较和结构归纳能力。6. 效率和成本会不会太慢、太贵这是 LLM 方法最容易被质疑的地方。作者也专门做了效率和成本分析。在效率上LUNAR 的并行版本平均解析 360 万条日志需要 540.1 秒和最快的 syntax-based parser Drain 的 488.5 秒相近同时比 LILAC 的 620.1 秒更快。论文指出LUNAR 的并行化来自分桶结构不同一级 bucket 可以分配给不同 executor 独立处理。这点很重要因为它说明 LUNAR 不是一个“论文里准确但实际跑不动”的方法。成本上LUNAR 平均每个数据集消耗约 131.7K input tokens、13.9K output tokens、269.4 次 LLM 调用成本约 0.086 美元。相比 LILAC w/o ICLLUNAR 准确率更高还减少了调用次数和成本相比 LILACLUNAR 成本略高但不需要人工标注和示例选择。所以作者给出的判断是LUNAR 在准确率、效率、成本之间达到了一个比较实际的平衡。7. 论文的局限与威胁作者也承认哪些地方可能有问题这篇论文的 Threats to Validity 主要提到三点。第一是数据泄露风险。因为 LLM 可能在预训练时见过公开日志数据集可能不是在推理而是在“记忆”。作者用两个证据缓解这个担忧一是 LILAC w/o ICL 这种直接零样本 LLM 方法表现明显低于 LUNAR二是作者加入了新的工业数据集 LoFI并手工标注模板LUNAR 在这个未见系统上仍表现很好。第二是随机性。LLM 输出和采样可能有随机影响。作者把 temperature 设为 0并且每个实验跑三次取平均。第三是实现和参数设置偏差。作者使用已有 benchmark 和 baseline replication packages并尽量采用前人优化过的参数来保证比较公平。总结一句话重走作者的完整研究心路如果把整篇论文压缩成作者的一段心路历程大概是我一开始看到日志解析是日志分析的地基但传统无监督方法太依赖规则语义方法又太依赖人工标注。现实系统日志巨大且持续演化标注样例难以长期维护。于是我开始思考LLM 能不能不靠标注而靠日志之间天然存在的相似与差异自己推断模板这个想法催生了 LCU。为了让 LCU 在海量日志中可获得我设计了层次化分桶为了让 LCU 真正有效我用共同性和差异性的混合排序挑选对比单元为了让 LLM 在无标注条件下稳定输出我设计了专门 prompt 和模板修正机制。最后实验表明这条路不仅准确率明显超过传统无监督方法还能接近甚至超过部分需要标注的语义方法并且效率和成本都可接受。这篇论文最核心的贡献不是简单地“把 LLM 用到日志解析”而是提出了一种非常聪明的视角标注样例不是唯一的监督信号日志之间的对比关系本身就可以成为一种隐式监督。这也是 LUNAR 最值得记住的地方。
相关文章
电商图片下载工具终极对比:一键存图 vs 固乔 vs FATKUN vs 图快(技术篇)
引言 很多开发者在问:“电商图片下载工具哪款技术最强?”“一键存图、固乔、FATKUN、图快到底有什么区别?” 市面上的电商图片下载工具琳琅满目,但它们的底层技术完全不同。本文从技术角度,对四款主流工具——一键存图…
5分钟快速上手:VSCode中高效背单词的终极解决方案
5分钟快速上手:VSCode中高效背单词的终极解决方案 【免费下载链接】qwerty-learner-vscode 为键盘工作者设计的单词记忆与英语肌肉记忆锻炼软件 VSCode 摸🐟版 / Words learning and English muscle memory training software designed for keyboard wor…
3步完成《重返未来:1999》自动化助手配置,游戏效率提升300%
3步完成《重返未来:1999》自动化助手配置,游戏效率提升300% 【免费下载链接】M9A 重返未来:1999 小助手 | Assistant For Reverse: 1999 项目地址: https://gitcode.com/gh_mirrors/m9/M9A 每天重复登录、收菜、刷副本,你是…
矩阵营销系统如何重塑企业内容运营模式?——AI赋能下的全链路获客策略
随着短视频、社交平台和私域流量的高速发展,企业线上获客的难度正在不断增加。单账号运营模式已经无法满足多平台、高频次的内容发布需求,传统人工运营方式在效率和成本上都面临极大压力。AI矩阵营销系统因此成为越来越多企业关注的核心工具,…
基于CircuitPython与蓝牙的智能LED灯箱制作:从硬件连接到手机控制
1. 项目概述:打造一个会呼吸的纽约天际线夜灯作为一个电子制作和智能家居的爱好者,我一直想做一个既有装饰性又有互动性的桌面摆件。它不能只是个死板的灯,最好能有点故事,能根据心情变换氛围。这个想法在我看到纽约天际线的剪影时…
拍冲锋衣广告花几万?AI出图只要一杯咖啡钱
秋冬冲锋衣上新的旺季,最让商家头疼的往往不是库存,而是视觉。请一位摄影师外景跟拍,日薪2000元起步;找一位有户外感的模特,时薪500元起;再租一处雪山或森林场景,加上差旅、道具、后期修图&…
离散数学实战:从二部图匹配到哈密顿路径的算法应用
1. 二部图:从理论到任务分配实战 二部图就像相亲市场的红娘,专门撮合两个不同群体之间的配对。想象你手上有两组人:左边是求职者,右边是工作岗位。二部图的任务就是帮每个人找到最合适的岗位,这就是典型的任务分配问题…
掌握PrusaSlicer:从零开始成为3D打印切片专家的7个关键步骤
掌握PrusaSlicer:从零开始成为3D打印切片专家的7个关键步骤 【免费下载链接】PrusaSlicer G-code generator for 3D printers (RepRap, Makerbot, Ultimaker etc.) 项目地址: https://gitcode.com/gh_mirrors/pr/PrusaSlicer 你是否曾看着复杂的3D打印参数感…
如何在CST中运行自己编写的Python脚本?
作者 | Ma Bin 从CST 2024版本开始,CST软件在VBA Macros按钮旁边新增了一个Python按钮,用户可以通过它运行CST自带的Python脚本,或执行自己编写的脚本。 该按钮下的CST Apps子菜单包含了由CST官方开发和维护的Python脚本,这些脚…
大模型核心加速器:KV Cache 如何将 O(n²) 计算复杂度降至 O(n)?
KV Cache 是大模型自回归生成任务的关键优化技术,通过“空间换时间”策略缓存历史 Key 和 Value 向量,将推理复杂度从 O(n) 降至 O(n)。文章阐述了语义缓存与前缀精确匹配两种核心范式,深入分析了 KV Cache 的技术底层原理、工程化应用及规模…
物流系统如何打通信息孤岛?哲盟软件系统:一键打通内外部数据壁垒
在数字化转型加速的今天,物流企业面临的最大痛点之一就是信息孤岛——ERP、电商平台、智能硬件、OMS/TMS/WMS等系统各自为政,数据无法自由流转,导致人工操作繁琐、效率低下、出错率高。特别是在跨境物流领域,亚马逊、Shopee、TikT…
Windows Defender终极恢复指南:5种强力方法解决禁用问题
Windows Defender终极恢复指南:5种强力方法解决禁用问题 【免费下载链接】no-defender A slightly more fun way to disable windows defender firewall. (through the WSC api) 项目地址: https://gitcode.com/GitHub_Trending/no/no-defender 当你的Windo…
施工现场安全事故预警准确率达94.6%?——解密某央企AI Agent边缘计算部署架构与3个月落地实录
更多请点击: https://codechina.net 第一章:施工现场安全事故预警准确率达94.6%?——解密某央企AI Agent边缘计算部署架构与3个月落地实录 在华北某大型地铁盾构施工现场,一套轻量化AI Agent系统于2024年Q2完成全栈部署ÿ…
附录 B:术语表
本术语表面向“从 MM 到 HMM”专栏阅读过程中的快速查阅。它不是内核 API 手册,而是把文章中反复出现的概念放到同一张地图上:先给出直观含义,再说明它在 Linux MM/HMM 语境里的作用。建议阅读方式: 初读专栏时,把它当…
Midjourney渐变美学的神经渲染原理(附RGB-HSV-LCH三空间渐变映射对照表·行业首曝)
更多请点击: https://kaifayun.com 第一章:Midjourney渐变美学的神经渲染原理(附RGB-HSV-LCH三空间渐变映射对照表行业首曝) Midjourney 的渐变美学并非传统插值实现,而是由其隐式神经渲染器(Implicit Neu…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…