專利名稱:一種可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉 信息安全領(lǐng)域內(nèi)事件關(guān)聯(lián)分析技術(shù)領(lǐng)域���,特別涉及一種對多個不同的日志進行并發(fā)分析和斷續(xù)分析的日志事件關(guān)聯(lián)分析方法和裝置。
背景技術(shù):
近年來�����,由于信息技術(shù)的快速發(fā)展���,企業(yè)信息技術(shù)基礎(chǔ)設(shè)施建設(shè)規(guī)模不斷擴大���,IT 監(jiān)控�����、運維系統(tǒng)也得到廣泛運用���,此類系統(tǒng)針對網(wǎng)絡(luò)設(shè)備、主機�����、操作系統(tǒng)�、數(shù)據(jù)庫系統(tǒng)以及各種應用系統(tǒng)進行監(jiān)控,其技術(shù)手段主要是對各種日志數(shù)據(jù)進行采集��,并通過對這些數(shù)據(jù)進行有效地分析���,使用者或管理員就能夠提前發(fā)現(xiàn)和避開災難,并且找到安全事件的根本原因���。這里的日志是指系統(tǒng)對某些對象的某些操作和其操作結(jié)果��,比如用戶登錄或者是其在系統(tǒng)上的行為按時間有序的集合����。每條日志記錄存儲著一次單獨的事件,記錄中一般包含一個時間戳和一個消息�����。目前流行的日志分析的方法可分為三種(1)字串查找方法這是最簡單的方法�, 即從日志文件中搜尋特征字串,并根據(jù)搜尋的結(jié)果來判斷是否需要報警���。這種方法提取速度快��,但無分析功能�����,功能簡單����,智能化不高�。(2)正則表達式方法利用正則表達式對日志文件進行分析,正則表達式實際上也是一種規(guī)則表達式��,這種方法能夠?qū)崿F(xiàn)單個日志內(nèi)的復雜字串分析���,但是無法適用于多日志聯(lián)合分析�����。(3)事件關(guān)聯(lián)分析事先按一定的定義規(guī)則腳本�����,利用規(guī)則腳本進行日志審計�����,能夠在整體上將日志文件中不同信息行在時間和事件上進行關(guān)聯(lián)���,這種方式現(xiàn)在已逐漸成為日志分析的主流技術(shù)�����。但是目前的事件關(guān)聯(lián)分析方法均沒有從多日志的并發(fā)分析和斷續(xù)分析上考慮�,日志并發(fā)分析是指單個分析模塊能夠在同一時間間隔內(nèi)對多個不同來源的日志進行分析�����,并能夠在不同日志之間進行事件關(guān)聯(lián)分析�,日志斷續(xù)分析是指分析模塊能夠保存前一次日志分析的狀態(tài)����,當新的日志片段到來時���,能夠結(jié)合所保存的前一次的分析狀態(tài)繼續(xù)運行。現(xiàn)有的方法均沒有給出實現(xiàn)上述功能的啟示���。因此���,研究一種可對多個不同的日志進行并發(fā)分析和斷續(xù)分析的日志分析方法和裝置具有極大的理論和實用價值。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于克服現(xiàn)有技術(shù)的缺點與不足�,提供一種可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析方法和裝置,使得單一事件關(guān)聯(lián)分析裝置能夠在同一時間間隔內(nèi)對不同來源的日志進行分析��,并能夠保證日志分析中斷后能從斷點開始繼續(xù)分析�,從而實現(xiàn)單個日志內(nèi)以及多個日志之間的事件關(guān)聯(lián)分析。本發(fā)明的一個目的通過以下的技術(shù)方案實現(xiàn)一種可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析方法�,具體包括以下步驟(1)準備階段首先根據(jù)所分析事件的性質(zhì)在規(guī)則定義模塊中定義分析規(guī)則,分析規(guī)則被傳送至事件關(guān)聯(lián)分析模塊����,然后日志報文采集模塊依次采集各個日志來源的日志報文,并根據(jù)狀態(tài)保存模塊所保存的日志最近時間戳����,即日志報文的最后一行的時間戳���,每次只采集上一次采集后新增的日志內(nèi)容,采集完成后更新狀態(tài)保存模塊所保存的該日志最近時間戳�����;(2)事件關(guān)聯(lián)分析事件關(guān)聯(lián)分析模塊接收到日志報文采集模塊采集到的日志報文后按照順序送入緩存區(qū)����,根據(jù)規(guī)則的需求判斷是否需要對多個日志進行合并分析,是則 將多個日志進行合并然后進行解析���,否則直接進行解析�;(3)狀態(tài)信息保存將當前事件關(guān)聯(lián)分析的中間狀態(tài)變量值保存到狀態(tài)保存模塊����;(4)分析結(jié)果輸出事件關(guān)聯(lián)分析過程中如觸發(fā)某關(guān)聯(lián)事件,就將該關(guān)聯(lián)事件傳送至報警輸出模塊���,發(fā)出該關(guān)聯(lián)事件的報警信號��,然后繼續(xù)進行日志報文的采集����,如果觸發(fā)另一子規(guī)則��,則導入該子規(guī)則����,轉(zhuǎn)入步驟(2)。所述步驟(1)中����,定義的分析規(guī)則由下面的一個或若干個子規(guī)則組成,子規(guī)則的內(nèi)容包括(1-1)子規(guī)則名�,用于對各個規(guī)則進行標記;(1-2)日志來源����,日志來源由一個或若干個日志名組成;(1-3)觸發(fā)動作前提�����,即在滿足設(shè)定的條件下才觸發(fā)動作���;(1-4)動作��,即步驟(1-3)所采用的觸發(fā)動作前提被滿足后所需完成的動作���。所述步驟(1-3)中所述的觸發(fā)動作前提為以下四種(1-3-1)某正則表達式被匹配則觸發(fā)動作���;(1-3-2)某正則表達式在時間戳A和時間戳B之間被匹配則觸發(fā)動作,時間戳A小于時間戳B;(1-3-3)計算某正則表達式在規(guī)定時間內(nèi)被匹配的次數(shù)�����,如在時間戳C和時間戳D 之間被匹配的次數(shù)達到一定閾值則觸發(fā)動作�,時間戳C小于時間戳D ;(1-3-4)正則表達式1被匹配的前提下����,接著又匹配正則表達式2,則觸發(fā)動作��。所述步驟(1-4)中�����,所述的動作分為兩種形式���,一種是從一個子規(guī)則觸發(fā)另一個子規(guī)則�����,此時需在此子規(guī)則中寫入下一個子規(guī)則的規(guī)則名����;另一種是從一個子規(guī)則觸發(fā)一個關(guān)聯(lián)事件���,此時需在這一個子規(guī)則中寫入此關(guān)聯(lián)事件的事件名。所述步驟(2)中���,解析具體是指根據(jù)規(guī)則和上次保存的中間狀態(tài)信息依次對日志報文進行解析�,具體解析流程如下(2-1)讀取規(guī)則中的第一個子規(guī)則�,如日志來源只包含一個日志名��,就將所采集的該名稱的日志報文傳入事件關(guān)聯(lián)分析模塊�;如日志來源包含多個日志名�,就將名稱在日志來源中的所有日志報文合并成單個報文再傳入事件關(guān)聯(lián)分析模塊�����;(2-2)根據(jù)子規(guī)則中的觸發(fā)動作前提對日志報文進行正則表達式匹配;(2-3)完成此子規(guī)則所讀入的日志報文的所有行的匹配后�,將中間狀態(tài)變量保存到狀態(tài)保存模塊,(2-4)在該條子規(guī)則解析過程中如觸發(fā)動作����,則根據(jù)觸發(fā)對象不同采用不同的處理方式,具體如下若觸發(fā)另一子規(guī)則�����,則立即轉(zhuǎn)入此子規(guī)則并進行解析,解析方法如上�; 若觸發(fā)關(guān)聯(lián)事件,將該關(guān)聯(lián)事件傳送至報警輸出模塊�。所述步驟(2-3)中所述的中間狀態(tài)變量包括
(2-3-1)當前正在解析的子規(guī)則名��;(2-3-2)根據(jù)觸發(fā) 動作前提的種類不同,所保存的匹配信息也不同���,具體分類如下觸發(fā)動作前提為步驟(1-3-1)或(1-3-2)所述類型時�,不記錄匹配信息���;觸發(fā)動作前提為步驟(1-3-3)所述類型時,保存匹配次數(shù)��;觸發(fā)動作前提為步驟(1-3-4)所述類型時�,記錄正則表達式1是否被匹配�。一種實現(xiàn)上述方法的可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析裝置��,包括規(guī)則定義模塊,用于提供用戶可以進行規(guī)則定義的人機交互接口 �;日志報文采集模塊,用于根據(jù)設(shè)定的時間間隔和狀態(tài)保存模塊中的日志最近時間戳依次采集不同來源的日志報文�����,在采集完畢后將此次所采集的日志最近時間戳發(fā)送至狀態(tài)保存模塊�;事件關(guān)聯(lián)分析模塊,用于根據(jù)定義好的規(guī)則對日志報文進行解析���,如需要同時解析多個日志來源,就首先對多個日志報文進行合并�,然后再進行解析,在對日志進行分析時使用上一次分析所保存的各種中間狀態(tài)變量值���,并更新狀態(tài)保存模塊中的中間狀態(tài)變量�����;狀態(tài)保存模塊����,用于保存日志分析中的中間狀態(tài)變量和每一個日志的最近時間戳;報警輸出模塊���,用于在事件關(guān)聯(lián)分析過程中觸發(fā)某關(guān)聯(lián)事件時�����,發(fā)出該關(guān)聯(lián)事件的報警信號;其中規(guī)則定義模塊����、日志報文采集模塊��、日志報文采集模塊���、報警輸出模塊均分別與事件關(guān)聯(lián)分析模塊相連�,日志報文采集模塊也與狀態(tài)保存模塊相連�����。所述日志報文采集模塊有兩種方式,一種是在服務(wù)器上安裝單個日志報文采集模塊���,采集不同來源的日志報文;另一種是將多個日志報文采集模塊分散部署到日志來源所在的系統(tǒng)上�����,多個日志報文采集模塊同時運行采集�。本發(fā)明與現(xiàn)有技術(shù)相比��,具有如下優(yōu)點和有益效果1�����、本發(fā)明可同時采集多個日志���,然后通過一個事件關(guān)聯(lián)分析裝置進行分析���,能夠更好的將采集的數(shù)據(jù)進行綜合分析���,把分散的異常事件痕跡關(guān)聯(lián)起來,從而給出完整的事件描述�����,例如對于黑客入侵行為����,因為黑客入侵行為并不是獨立的,而都是有關(guān)聯(lián)的�,所以要保護網(wǎng)絡(luò)的安全及在黑客入侵時做出提前報警,就需要對入侵行為進行全面分析�,而入侵痕跡大多是以日志的形式表現(xiàn)�����,因此能夠?qū)⒍嗳罩具M行同時分析����,可提高預測的準確性�����。2����、本發(fā)明將事件關(guān)聯(lián)分析后的值以中間狀態(tài)值的形式存入狀態(tài)保存模塊�,同時還保存最后的日志時間�,從而可使日志分析中斷后能從斷點開始繼續(xù)分析�����,能夠解決現(xiàn)有技術(shù)在日志采集不是實時連續(xù)時會導致分析中斷的問題,能夠提高分析的準確度��。3、本發(fā)明為網(wǎng)絡(luò)監(jiān)控��、網(wǎng)絡(luò)管理系統(tǒng)提供了多個日志的并發(fā)分析功能、以及斷續(xù)分析功能�����,實現(xiàn)單個日志內(nèi)以及多個日志之間的事件關(guān)聯(lián)分析�����,增強了網(wǎng)絡(luò)監(jiān)控����、網(wǎng)絡(luò)管理系統(tǒng)的日志審計功能���,并能夠提高網(wǎng)絡(luò)預警的準確度,進而保障網(wǎng)絡(luò)監(jiān)控和管理系統(tǒng)的安全��。
圖1是本發(fā)明裝置的結(jié)構(gòu)示意圖����;圖2是本發(fā)明方法的流程示意圖。
具體實施例方式
下面結(jié)合實施例及附圖對本發(fā)明作進一步詳細的描述��,但本發(fā)明的實施方式不限于此����。實施例1如圖1所示,一種實現(xiàn)可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析裝置����,包括規(guī)則定義模塊,用于提供用戶可以進行規(guī)則定義的人機交互接口 �;日志報文采集模塊,用于根據(jù)設(shè)定的時間間隔和狀態(tài)保存模塊中的日志最近時間戳依次采集不同來源的日志報文����,在采集完畢后將此次所采集的日志最近時間戳發(fā)送至狀態(tài)保存模塊;事件關(guān)聯(lián)分析模塊�,用于根據(jù)定義好的規(guī)則對日志報文進行解析,如需要同時解析多個日志來源��,就首先對多個日志報文進行合并�����,然后再進行解析�,在對日志進行分析時使用上一次分析所保存的各種中間狀態(tài)變量值,并更新狀態(tài)保存模塊中的中間狀態(tài)變量�����;狀態(tài)保存模塊,用于保存日志分析中的中間狀態(tài)變量和每一個日志的最近時間戳���;報警輸出模塊����,用于在事件關(guān)聯(lián)分析過程中觸發(fā)某關(guān)聯(lián)事件時���,發(fā)出該關(guān)聯(lián)事件的報警信號��;其中規(guī)則定義模塊�、日志報文采集模塊��、日志報文采集模塊���、報警輸出模塊均分別與事件關(guān)聯(lián)分析模塊相連����,日志報文采集模塊也與狀態(tài)保存模塊相連�。所述日志報文采集模塊有兩種方式,一種是在服務(wù)器上安裝單個日志報文采集模塊�,采集不同來源的日志報文;另一種是將多個日志報文采集模塊分散部署到日志來源所在的系統(tǒng)上�����,多個日志報文采集模塊同時運行采集。如圖2所示��,本實施例中通過對三個日志來源(L0g_A�����、Log_B�����、Log_C)進行日志事件關(guān)聯(lián)分析�,來說明本發(fā)明方法是如何實現(xiàn)并發(fā)和斷續(xù)分析�,具體包括以下步驟(1)準備階段首先根據(jù)所分析事件的性質(zhì)在規(guī)則定義模塊中定義分析規(guī)則,分析規(guī)則具體包含4個子規(guī)則�����,分別是(1-1)子規(guī)則 1 規(guī)則名Rule_A日志來源Log_A觸發(fā)動作前提正則表達式Reg_A被觸發(fā)動作轉(zhuǎn)入子規(guī)則Rule_B(1-2)子規(guī)則 2 規(guī)則名Rule_A日志來源Log_B觸發(fā)動作前提正則表達式Reg_B在時間戳Time_A和Time_B之間被匹配動作轉(zhuǎn)入子規(guī)則Rule_C(1-3)子規(guī)則 3 規(guī)則名Rule_C
日志來源Log_A和 Log_B觸發(fā)動作前提正則表達式Reg_C在時間戳Time_C和Time_D
之間被匹配5次以上動作轉(zhuǎn)入子規(guī)則Rule_D(1-4)子規(guī)則 4 規(guī)則名Rule_D日志來源Log_C觸發(fā)動作前提首先匹配正則表達式Reg_D�����,接著又匹配正則表達式 Reg_E動作觸發(fā)關(guān)聯(lián)事件EVent_A然后將這4個子規(guī)則傳送至事件關(guān)聯(lián)分析模塊���,然后日志報文采集模塊依次采集 Log_A���、Log_B> Log_C的日志報文���,并將采集的日志報文傳送至事件關(guān)聯(lián)分析模塊,同時將 L0g_A����、Log_B、Log_C的日志報文最后一行的時間戳ts_A�����、ts_B����、ts_C保存在狀態(tài)保存模塊。(2)事件關(guān)聯(lián)分析事件關(guān)聯(lián)分析模塊接收到日志報文采集模塊采集到的日志報文后按照順序送入緩存區(qū)�����,根據(jù)規(guī)則的需求判斷是否需要對多個日志進行合并分析��,是則將多個日志進行合并然后進行解析,否則直接進行解析��。對于本實施例�,根據(jù)4個子規(guī)則不同,具體解析過程描述如下(2-1)讀入子規(guī)則Rule_A�����,規(guī)則中日志來源為Log_A�,所以僅對Log_A的日志報文進行分析,如果日志報文中的內(nèi)容使得正則表達式Reg_A被觸發(fā)�,則觸發(fā)動作前提成立轉(zhuǎn)入動作��,即轉(zhuǎn)入子規(guī)則Rule_B����,進行步驟(2-2)的操作;否則結(jié)束分析�,等待最新采集的日志報文;(2-2)讀入子規(guī)則Rule_B���,規(guī)則中日志來源為Log_B�����,所以僅對Log_B的日志報文進行分析����,如果日志報文中的內(nèi)容使得正則表達式Reg B在時間戳Time_B之間被匹配,則觸發(fā)動作前提成立轉(zhuǎn)入動作���,即轉(zhuǎn)入子規(guī)則Rule C���,進行步驟(2-3)的操作;否則結(jié)束分析��,等待最新采集的日志報文���;(2-3)讀入子規(guī)則Rule_C���,規(guī)則中日志來源為Log_A和Log_B,所以需先將Log_ A和Log_B進行合并����,然后再對合并后的日志報文進行分析,如果合并后的日志報文中的內(nèi)容使得正則表達式時間戳Time_(^nTime_D之間被匹配5次以上��,則觸發(fā)動作前提成立轉(zhuǎn)入動作�,即轉(zhuǎn)入子規(guī)則Rule_D,進行步驟(2-4)的操作;否則結(jié)束分析�,將Reg_C· 配成功的次數(shù)存儲到狀態(tài)保存模塊,用于下次連續(xù)分析���,然后等待最新采集的日志報文���;(2-4)讀入子規(guī)則Rule_D,規(guī)則中日志來源為Log_C���,所以僅對Log_C的日志報文進行分析�����,如果該日志報文中的內(nèi)容首先匹配了正則表達式Reg_D�,接著又匹配了正則表達式Reg_E��,則觸發(fā)動作前提成立從而觸發(fā)關(guān)聯(lián)事件EVent_A �;否則結(jié)束分析�����,在狀態(tài)保存模塊中記錄正則表達式Reg_D是否被匹配���,用于下次連續(xù)分析��,然后等待最新采集的日志報文�����。(3)分析結(jié)果輸出對于步驟(2-1)��、(2-2)���、(2-3)所述的動作均為觸發(fā)另一子規(guī)貝1J����,則分析過程立即轉(zhuǎn)入此子規(guī)則并進行解析��;對于步驟(2-4)所述的動作為觸發(fā)關(guān)聯(lián)事件Event_A��,就將該關(guān)聯(lián)事件傳送至報警輸出模塊�,發(fā)出該關(guān)聯(lián)事件的報警信號。(4)日志報文采集模塊繼續(xù)依次采集時間戳ts_A���、ts_B> ts_C后的Log_A�、Log_B>Log_C的日志報文��,并將Log_A、Log_B> Log_C的日志報文最后一行的時間戳ts_A'���、ts_ B'�、ts_C'保存在狀態(tài)保存模塊�,然后按照上述步驟繼續(xù)對新的日志報文進行分析。
上述實施例為本發(fā)明較佳的實施方式�����,但本發(fā)明的實施方式并不受上述實施例的限制����,其他的任何未背離本發(fā)明的精神實質(zhì)與原理下所作的改變、修飾���、替代��、組 合���、簡化�, 均應為等效的置換方式,都包含在本發(fā)明的保護范圍之內(nèi)��。
權(quán)利要求
1.一種可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析方法,其特征在于�����,具體包括以下步驟(1)準備階段首先根據(jù)所分析事件的性質(zhì)在規(guī)則定義模塊中定義分析規(guī)則�����,分析規(guī)則被傳送至事件關(guān)聯(lián)分析模塊�����,然后日志報文采集模塊依次采集各個日志來源的日志報文��,并根據(jù)狀態(tài)保存模塊所保存的日志最近時間戳���,即日志報文的最后一行的時間戳����,每次只采集上一次采集后新增的日志內(nèi)容��,采集完成后更新狀態(tài)保存模塊所保存的該日志最近時間戳��;(2)事件關(guān)聯(lián)分析事件關(guān)聯(lián)分析模塊接收到日志報文采集模塊采集到的日志報文后按照順序送入緩存區(qū)����,根據(jù)規(guī)則的需求判斷是否需要對多個日志進行合并分析���,是則將多個日志進行合并然后進行解析,否則直接進行解析����;(3)狀態(tài)信息保存將當前事件關(guān)聯(lián)分析的中間狀態(tài)變量值保存到狀態(tài)保存模塊;(4)分析結(jié)果輸出事件關(guān)聯(lián)分析過程中如觸發(fā)某關(guān)聯(lián)事件�,就將該關(guān)聯(lián)事件傳送至報警輸出模塊,發(fā)出該關(guān)聯(lián)事件的報警信號�����,然后繼續(xù)進行日志報文的采集�,如果觸發(fā)另一子規(guī)則,則導入該子規(guī)則�,轉(zhuǎn)入步驟O)。
2.根據(jù)權(quán)利要求1所述的可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析方法���,其特征在于�, 所述步驟(1)中����,定義的分析規(guī)則由下面的一個或若干個子規(guī)則組成,子規(guī)則的內(nèi)容包括(1-1)子規(guī)則名��,用于對各個規(guī)則進行標記���;(1-2)日志來源��,日志來源由一個或若干個日志名組成��;(1-3)觸發(fā)動作前提���,即在滿足設(shè)定的條件下才觸發(fā)動作;(1-4)動作��,即步驟(1-3)所采用的觸發(fā)動作前提被滿足后所需完成的動作��。
3.根據(jù)權(quán)利要求2所述的可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析方法�,其特征在于, 所述步驟(1-3)中所述的觸發(fā)動作前提為以下四種(1-3-1)某正則表達式被匹配則觸發(fā)動作���;(1-3-2)某正則表達式在時間戳A和時間戳B之間被匹配則觸發(fā)動作���,時間戳A小于時間戳B;(1-3- 計算某正則表達式在規(guī)定時間內(nèi)被匹配的次數(shù),如在時間戳C和時間戳D之間被匹配的次數(shù)達到一定閾值則觸發(fā)動作��,時間戳C小于時間戳D ;(1-3-4)正則表達式1被匹配的前提下�����,接著又匹配正則表達式2����,則觸發(fā)動作。
4.根據(jù)權(quán)利要求2所述的可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析方法���,其特征在于���, 所述步驟(1-4)中,所述的動作分為兩種形式����,一種是從一個子規(guī)則觸發(fā)另一個子規(guī)則,此時需在此子規(guī)則中寫入下一個子規(guī)則的規(guī)則名�;另一種是從一個子規(guī)則觸發(fā)一個關(guān)聯(lián)事件,此時需在這一個子規(guī)則中寫入此關(guān)聯(lián)事件的事件名���。
5.根據(jù)權(quán)利要求1所述的可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析方法��,其特征在于��, 所述步驟O)中����,解析具體是指根據(jù)規(guī)則和上次保存的中間狀態(tài)信息依次對日志報文進行解析�,具體解析流程如下(2-1)讀取規(guī)則中的第一個子規(guī)則,如日志來源只包含一個日志名�����,就將所采集的該名稱的日志報文傳入事件關(guān)聯(lián)分析模塊�;如日志來源包含多個日志名,就將名稱在日志來源中的所有日志報文合并成單個報文再傳入事件關(guān)聯(lián)分析模塊���;(2-2)根據(jù)子規(guī)則中的觸發(fā)動作前提對日志報文進行正則表達式匹配����;(2-3)完成此子規(guī)則所讀入的日志報文的所有行的匹配后�,將中間狀態(tài)變量保存到狀態(tài)保存模塊;(2-4)在該條子規(guī)則解析過程中如觸發(fā)動作�,則根據(jù)觸發(fā)對象不同采用不同的處理方式,具體如下若觸發(fā)另一子規(guī)則����,則立即轉(zhuǎn)入此子規(guī)則并進行解析���,解析方法如上;若觸發(fā)關(guān)聯(lián)事件�����,將該關(guān)聯(lián)事件傳送至報警輸出模塊����。
6.根據(jù)權(quán)利要求5所述的可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析方法,其特征在于���, 所述步驟0-3)中所述的中間狀態(tài)變量包括(2-3-1)當前正在解析的子規(guī)則名�;(2-3-2)根據(jù)觸發(fā)動作前提的種類不同����,所保存的匹配信息也不同,具體分類如下觸發(fā)動作前提為步驟(1-3-1)或(1-3-2)所述類型時�,不記錄匹配信息;觸發(fā)動作前提為步驟 (1-3-3)所述類型時���,保存匹配次數(shù)�;觸發(fā)動作前提為步驟(1-3-4)所述類型時,記錄正則表達式1是否被匹配���。
7.一種實現(xiàn)權(quán)利要求1所述方法的可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析裝置��,包括規(guī)則定義模塊��,用于提供用戶可以進行規(guī)則定義的人機交互接口 ����;日志報文采集模塊���,用于根據(jù)設(shè)定的時間間隔和狀態(tài)保存模塊中的日志最近時間戳依次采集不同來源的日志報文,在采集完畢后將此次所采集的日志最近時間戳發(fā)送至狀態(tài)保存模塊��;事件關(guān)聯(lián)分析模塊�����,用于根據(jù)定義好的規(guī)則對日志報文進行解析�,如需要同時解析多個日志來源,就首先對多個日志報文進行合并���,然后再進行解析���,在對日志進行分析時使用上一次分析所保存的各種中間狀態(tài)變量值�,并更新狀態(tài)保存模塊中的中間狀態(tài)變量���;狀態(tài)保存模塊�����,用于保存日志分析中的中間狀態(tài)變量和每一個日志的最近時間戳�;報警輸出模塊��,用于在事件關(guān)聯(lián)分析過程中觸發(fā)某關(guān)聯(lián)事件時��,發(fā)出該關(guān)聯(lián)事件的報警信號����;其中規(guī)則定義模塊、日志報文采集模塊�����、日志報文采集模塊�、報警輸出模塊均分別與事件關(guān)聯(lián)分析模塊相連,日志報文采集模塊也與狀態(tài)保存模塊相連���。
8.根據(jù)權(quán)利要求7所述的可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析裝置���,其特征在于��, 所述日志報文采集模塊有兩種方式����,一種是在服務(wù)器上安裝單個日志報文采集模塊��,采集不同來源的日志報文��;另一種是將多個日志報文采集模塊分散部署到日志來源所在的系統(tǒng)上�,多個日志報文采集模塊同時運行采集�。
全文摘要
本發(fā)明公開了一種可并發(fā)和斷續(xù)分析的日志事件關(guān)聯(lián)分析方法和裝置,該方法是首先定義分析規(guī)則���,將規(guī)則傳入事件關(guān)聯(lián)分析模塊��,然后依次采集各個日志來源的日志報文��,將日志報文傳入事件關(guān)聯(lián)分析模塊���,事件關(guān)聯(lián)分析模塊對日志進行解析�,在解析過程中將當前事件關(guān)聯(lián)分析的中間狀態(tài)變量值保存到狀態(tài)保存模塊�����;如果解析過程中觸發(fā)某關(guān)聯(lián)事件���,就對外發(fā)出該關(guān)聯(lián)事件的報警信號���。該裝置包括規(guī)則定義模塊、日志報文采集模塊��、日志報文采集模塊��、報警輸出模塊和事件關(guān)聯(lián)分析模塊���。本發(fā)明能同時對多個日志進行并發(fā)和斷續(xù)分析���,增強了網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)管理系統(tǒng)的日志審計功能��,提高了網(wǎng)絡(luò)預警的準確度���,保障了網(wǎng)絡(luò)監(jiān)控和管理系統(tǒng)的安全���。
文檔編號H04L12/24GK102158355SQ201110058800
公開日2011年8月17日 申請日期2011年3月11日 優(yōu)先權(quán)日2011年3月11日
發(fā)明者司徒新紅, 周鐵道, 楊東曉, 梁英宏, 王玉中, 龔春媚 申請人:廣州藍科科技股份有限公司