一種系統(tǒng)消息處理方法及收集器的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域,具體涉及一種系統(tǒng)消息處理方法及收集器���。
【背景技術(shù)】
[0002] 在計(jì)算機(jī)技術(shù)高速發(fā)展的今天�����,各行各業(yè)的企事業(yè)單位普遍部署有局域網(wǎng)���,組成 局域網(wǎng)的硬件設(shè)備包括交換機(jī)�����,路由器���,防火墻,服務(wù)器等��,對這些設(shè)備的管理是局域網(wǎng)的 集中監(jiān)控和管理中必不可少的組成部分��。
[0003] 局域網(wǎng)中的每個(gè)設(shè)備均會產(chǎn)生并發(fā)送系統(tǒng)消息����,系統(tǒng)消息負(fù)責(zé)記錄一個(gè)設(shè)備中的 任何事件,包括運(yùn)行程序和系統(tǒng)軟件的執(zhí)行情況以及硬件的運(yùn)行情況�����,通過適當(dāng)配置,便可 以實(shí)現(xiàn)發(fā)送系統(tǒng)消息的各種設(shè)備之間的通信和集中管理��,并通過分析這些系統(tǒng)消息��,追蹤 和掌握局域網(wǎng)中設(shè)備的運(yùn)轉(zhuǎn)情況以及局域網(wǎng)整體網(wǎng)絡(luò)有關(guān)的情況����。
[0004] 但由于組成局域網(wǎng)的設(shè)備種類繁多,型號多變��,又由于生產(chǎn)廠家的不同���,各自遵循 不同生產(chǎn)廠家的企業(yè)標(biāo)準(zhǔn)���,即使一個(gè)相同事件的系統(tǒng)消息經(jīng)由不同廠家生產(chǎn)的同類型設(shè)備 發(fā)出��,也是完全不同的����,一個(gè)局域網(wǎng)內(nèi)部的系統(tǒng)消息從編碼方法,事件的語句表達(dá)��,事件級 別定義等各方面千差萬別,如何從根本上統(tǒng)一系統(tǒng)消息的格式�����,管理局域網(wǎng)中的系統(tǒng)消息����, 實(shí)現(xiàn)對局域網(wǎng)內(nèi)所有設(shè)備的集中監(jiān)控管理,是計(jì)算機(jī)領(lǐng)域亟待解決的問題�。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明所要解決的技術(shù)問題是針對現(xiàn)有技術(shù)中所存在的上述缺陷,提供一種系統(tǒng) 消息處理方法及收集器�,用以解決現(xiàn)有技術(shù)中存在的局域網(wǎng)內(nèi)部所有系統(tǒng)消息的集中監(jiān)控 和管理問題。
[0006] 為實(shí)現(xiàn)上述目的����,本發(fā)明提供一種系統(tǒng)消息處理方法,應(yīng)用于包括傳感器和收集 器的系統(tǒng)消息處理系統(tǒng)中�����,所述一個(gè)收集器與至少一個(gè)所述傳感器連接�����,包括:
[0007] 收集器接收傳感器發(fā)送的系統(tǒng)消息���,
[0008] 收集器將所述系統(tǒng)消息和與預(yù)存的與所述傳感器一一對應(yīng)的規(guī)則文件進(jìn)行匹配���, 所述規(guī)則文件包括至少一個(gè)規(guī)則條目��,所述規(guī)則條目為系統(tǒng)消息與相應(yīng)的處理規(guī)則之間的 對應(yīng)關(guān)系���,
[0009] 收集器將匹配的系統(tǒng)消息進(jìn)行歸一化處理,生成與所述系統(tǒng)消息一一對應(yīng)的歸一 化消息����,所述歸一化消息為具有統(tǒng)一的歸一化屬性的文件,
[0010]收集器輸出所述歸一化消息�����。
[0011]具體的�����,所述歸一化屬性���,具體包括收集器在匹配成功的系統(tǒng)消息中直接提取的 提取屬性,和收集器根據(jù)所述匹配成功的系統(tǒng)消息進(jìn)行回填的回填屬性�,所述系統(tǒng)消息為 傳感器根據(jù)不同的系統(tǒng)事件生成的自定義的事件記錄消息���,所述提取屬性包括:帳號,源 IP�,源端口,目的IP��,目的端口����,協(xié)議類型,事件發(fā)生時(shí)間����,事件結(jié)束時(shí)間,事件發(fā)生次數(shù)�����,事 件摘要����,訪問的網(wǎng)站,訪問的DNS�����,整形保留屬性,字符串類型保留屬性����,
[0012]所述回填屬性包括:歸一化事件級別,客戶ID�����,自定義事件ID�����,自定義事件類型�,傳 感器ID,傳感器IP�����,傳感器掩碼���,傳感器類型�,收集器ID�����,收集器IP��,系統(tǒng)消息接收時(shí)間���,原始 日志����。
[0013] 具體的���,所述歸一化事件級別���,具體包括根據(jù)匹配成功的系統(tǒng)消息中自定義的事 件類型和預(yù)設(shè)的歸一化事件級別對應(yīng)關(guān)系,確定歸一化事件級別����,所述預(yù)設(shè)的歸一化事件 級別對應(yīng)關(guān)系,為匹配成功的系統(tǒng)消息中的自定義的事件類型和歸一化事件級別之間一一 對應(yīng)的關(guān)系�����。
[0014] 優(yōu)選的�����,在收集器接收傳感器發(fā)送的系統(tǒng)消息之后,收集器將接收到的系統(tǒng)消息 與所述傳感器一一對應(yīng)的規(guī)則文件進(jìn)行匹配之前�����,所述方法還包括收集器將具有不同的字 符編碼方式的系統(tǒng)消息轉(zhuǎn)換為具有統(tǒng)一的字符編碼方式的系統(tǒng)消息�����。
[0015] 優(yōu)選的�����,當(dāng)收集器接收到的系統(tǒng)消息與預(yù)存的與所述傳感器--對應(yīng)的規(guī)則文件 不匹配時(shí)����,收集器將接收到的系統(tǒng)消息與預(yù)存的其他傳感器對應(yīng)的規(guī)則文件進(jìn)行匹配。
[0016] 優(yōu)選的���,在收集器將匹配成功的系統(tǒng)消息生成與所述系統(tǒng)消息一一對應(yīng)的歸一化 消息之后��,所述方法還包括收集器在預(yù)設(shè)時(shí)間范圍內(nèi)將具有至少一個(gè)歸一化屬性內(nèi)容相同 的多個(gè)歸一化消息合并�����,生成合并消息���,所述合并消息為與歸一化消息具有統(tǒng)一的歸一化 屬性的事件記錄�����,所述收集器輸出所述歸一化消息,具體包括收集器輸出所述歸一化消息 和合并消息��。
[0017] 具體的���,所述收集器將具有至少一個(gè)歸一化屬性的內(nèi)容相同的多個(gè)歸一化消息合 并生成合并消息����,具體包括所述至少一個(gè)歸一化屬性包括自定義事件ID��,傳感器類型�,傳感 器IP,源IP和目的IP��,所述合并生成合并消息包括將進(jìn)行合并的第一個(gè)歸一化消息中的事 件發(fā)生時(shí)間確定為合并消息中的事件發(fā)生時(shí)間�,將進(jìn)行合并的最后一個(gè)歸一化消息中的事 件結(jié)束時(shí)間確定為合并消息中的事件結(jié)束時(shí)間,將合并的所有歸一化消息中的事件發(fā)生次 數(shù)相加得到的和確定為合并消息中的事件發(fā)生次數(shù)���。
[0018] 本發(fā)明提供的系統(tǒng)消息處理方法��,能夠?qū)⒕钟蚓W(wǎng)中不同設(shè)備所發(fā)送的系統(tǒng)消息按 照預(yù)設(shè)設(shè)置好的處理規(guī)則進(jìn)行匹配��,如匹配成功則進(jìn)行進(jìn)一步的歸一化處理��,收集器通過 按照統(tǒng)一的歸一化消息的屬性在原系統(tǒng)中提取相應(yīng)的屬性�,以及按照歸一化屬性的定義進(jìn) 行回填,生成與系統(tǒng)消息一一對應(yīng)的歸一化消息�,通過收集器輸出的所述歸一化消息,局域 網(wǎng)便可以管理所有的系統(tǒng)消息�。本發(fā)明提供的方法還包括字符轉(zhuǎn)換和合并,所述字符轉(zhuǎn)換 的步驟使得不同字符編碼格式的系統(tǒng)消息在進(jìn)行規(guī)則匹配之前進(jìn)行統(tǒng)一��,便于后續(xù)的規(guī)則 匹配和歸一化處理����,所述合并是將一定時(shí)間范圍內(nèi)的相同事件產(chǎn)生的消息合并上報(bào),節(jié)省 網(wǎng)絡(luò)資源的同時(shí)��,更便于發(fā)現(xiàn)問題�����。
[0019] 本發(fā)明還提供一種收集器���,包括:
[0020] 接收模塊�,用于接收傳感器發(fā)送的系統(tǒng)消息,
[0021] 匹配模塊�,用于將所述系統(tǒng)消息和與預(yù)存的與所述傳感器一一對應(yīng)的規(guī)則文件進(jìn) 行匹配,所述規(guī)則文件包括至少一個(gè)規(guī)則條目���,所述規(guī)則條目為系統(tǒng)消息與相應(yīng)的處理規(guī) 則之間的對應(yīng)關(guān)系�����,
[0022]歸一化模塊,用于將匹配的系統(tǒng)消息進(jìn)行歸一化處理��,生成與所述系統(tǒng)消息一一 對應(yīng)的歸一化消息���,所述歸一化消息為具有統(tǒng)一的歸一化屬性的文件����,
[0023] 輸出模塊����,用于輸出所述歸一化消息。
[0024] 具體的�����,所述匹配模塊具體用于在匹配成功的系統(tǒng)消息中直接提取的提取屬性, 和收集器根據(jù)所述匹配成功的系統(tǒng)消息進(jìn)行回填的回填屬性�,所述系統(tǒng)消息為傳感器根據(jù) 不同的系統(tǒng)事件生成的自定義的事件記錄消息,所述提取屬性包括:帳號��,源IP�,源端口,目 的IP�����,目的端口����,協(xié)議類型,事件發(fā)生時(shí)間����,事件結(jié)束時(shí)間,事件發(fā)生次數(shù)��,事件摘要�����,訪問的 網(wǎng)站,訪問的DNS����,整形保留屬性,字符串類型保留屬性��,所述回填屬性包括:歸一化事件級 另IJ��,客戶ID�,自定義事件ID,自定義事件類型�,傳感器ID,傳感器IP���,傳感器掩碼,傳感器類 型��,收集器ID��,收集器IP�����,系統(tǒng)消息接收時(shí)間�����,原始日志。
[0025] 具體的��,所述匹配模塊具體用于根據(jù)匹配成功的系統(tǒng)消息中自定義的事件類型和 預(yù)設(shè)的歸一化事件級別對應(yīng)關(guān)系����,確定歸一化事件級別,所述預(yù)設(shè)的歸一化事件級別對應(yīng) 關(guān)系���,為匹配成功的系統(tǒng)消息中的自定義的事件類型和歸一化事件級別之間一一對應(yīng)的關(guān) 系�。
[0026] 優(yōu)選的��,還包括編碼統(tǒng)一模塊���,用于將具有不同的字符編碼方式的系統(tǒng)消息轉(zhuǎn)換 為具有統(tǒng)一的字符編碼方式的系統(tǒng)消息��。
[0027] 優(yōu)選的�,所述匹配模塊具體用于當(dāng)收集器接收到的系統(tǒng)消息與預(yù)存的與所述傳感 器一一對應(yīng)的規(guī)則文件不匹配時(shí)���,收集器將接收到的系統(tǒng)消息與預(yù)存的其他傳感器對應(yīng)的 規(guī)則文件進(jìn)行匹配���。
[0028]優(yōu)選的����,還包括合并模塊��,用于在預(yù)設(shè)時(shí)間范圍內(nèi)將具有至少一個(gè)歸一化屬性內(nèi) 容相同的多個(gè)歸一化消息合并�,生成合并消息,所述合并消息為與歸一化消息具有統(tǒng)一的 歸一化屬性的事件記錄���,所述輸出模塊�,具體用于輸出所述歸一化消息和合并消息����。
[0029] 具體的,所述合并模塊具體用于所述至少一個(gè)歸一化屬性包括自定義事件ID����,傳 感器類型,傳感器IP����,