Fine-Tuning Small Language Models for Solution-Oriented Windows Event Log Analysis
作者: Siraaj Akhtar, Saad Khan, Simon Parkinson
分类: cs.CR, cs.AI
发布日期: 2026-05-07
备注: 27 pages, 14 figures, 5 tables
💡 一句话要点
微调小型语言模型,解决面向解决方案的Windows事件日志分析难题
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 小型语言模型 事件日志分析 Windows事件日志 LoRA微调 解决方案生成
📋 核心要点
- 现有大型语言模型在事件日志分析中面临计算资源需求高、依赖云服务和安全隐患等挑战,限制了实际应用。
- 该论文提出通过微调小型语言模型(SLM)来解决上述问题,使其能够在本地高效地进行事件日志分析并提供解决方案。
- 实验结果表明,微调后的SLM在问题识别和提供补救措施方面优于大型语言模型,同时显著降低了计算资源需求。
📝 摘要(中文)
大型语言模型(LLM)在事件日志分析中展现了潜力,但其高计算需求、对云基础设施的依赖以及安全问题限制了实际部署。此外,现有方法大多只关注问题的识别,而不能提供可操作的补救措施。小型语言模型(SLM)提供了一种轻量级的替代方案,可以针对特定目的进行微调并在本地托管。本文研究了SLM在针对特定任务进行微调后,是否可以作为事件日志分析的实用替代方案,同时生成解决方案。我们首先使用高性能LLM创建了一个包含补救措施的大规模合成Windows事件日志数据集。然后,我们使用LoRA参数高效微调技术对多个SLM和LLM进行微调,并通过与专家评估进行比较来评估它们的性能。结果表明,该数据集准确地反映了真实场景,并且微调后的SLM在识别问题和提供相关补救措施方面始终优于LLM,同时需要的计算资源更少。
🔬 方法详解
问题定义:论文旨在解决Windows事件日志分析中,现有大型语言模型计算资源需求高、部署困难,以及缺乏有效解决方案的问题。现有方法主要集中于问题识别,而忽略了提供可操作的补救措施,导致实际应用价值受限。
核心思路:论文的核心思路是利用小型语言模型(SLM)的轻量化特性,通过微调使其能够高效地进行事件日志分析,并生成相应的解决方案。通过针对特定任务的微调,SLM能够在资源受限的环境中实现高性能,并提供实用的补救建议。
技术框架:该研究的技术框架主要包括以下几个阶段:1) 使用大型语言模型生成大规模合成Windows事件日志数据集,该数据集包含问题描述和相应的补救措施。2) 选择多个小型语言模型(SLM)和大型语言模型(LLM)作为基线模型。3) 使用LoRA(Low-Rank Adaptation)参数高效微调技术对选定的模型进行微调。4) 通过与专家评估进行比较,评估微调后模型的性能,包括问题识别的准确性和解决方案的相关性。
关键创新:该论文的关键创新在于:1) 提出使用小型语言模型进行事件日志分析,解决了大型语言模型资源需求高的问题。2) 构建了一个包含补救措施的大规模合成Windows事件日志数据集,为模型训练提供了高质量的数据。3) 采用LoRA参数高效微调技术,降低了微调过程的计算成本。
关键设计:论文的关键设计包括:1) 数据集的构建:使用高性能LLM生成包含问题和解决方案的合成数据,保证数据的质量和多样性。2) 模型选择:选择多个不同规模的SLM和LLM进行对比,评估不同模型在事件日志分析任务中的性能。3) 微调策略:采用LoRA技术进行参数高效微调,降低计算资源需求,并防止过拟合。4) 评估指标:使用专家评估作为金标准,评估模型在问题识别和解决方案生成方面的准确性和相关性。
📊 实验亮点
实验结果表明,经过LoRA微调的SLM在识别问题和提供相关补救措施方面,性能优于未经微调的LLM,同时显著降低了计算资源需求。具体而言,微调后的SLM在问题识别准确率和解决方案相关性方面均取得了显著提升,并且能够在资源受限的环境中高效运行。
🎯 应用场景
该研究成果可应用于企业安全运维、系统故障诊断和自动化修复等领域。通过在本地部署微调后的SLM,企业可以实现对Windows事件日志的实时分析和快速响应,降低安全风险,提高运维效率。未来,该技术还可扩展到其他类型的日志分析和故障排除场景。
📄 摘要(原文)
Large language models (LLMs) have shown promise for event log analysis, but their high computational requirements, reliance on cloud infrastructure, and security concerns limit practical deployment. In addition, most existing approaches focus only on the identification of the problem and do not provide actionable remediation. Small language models (SLMs) present a light-weight alternative that can be fine-tuned for a specific purpose and hosted locally. This paper investigates whether SLMs, when fine-tuned for a specific task, can serve as a practical alternative for event log analysis while also generating solutions. We first create a large-scale synthetic Windows event log dataset that contains remediation actions using a high-performing LLM. We then fine-tune multiple SLMs and LLMs using the LoRA parameter-efficient fine-tuning technique and evaluate their performance by comparing with expert assessment. The results show that the dataset accurately reflects real-world scenarios and that fine-tuned SLMs consistently outperform LLMs in identifying issues and providing relevant remediation, while requiring fewer computational resources.