| 发明名称 | 一种可并发和断续分析的日志事件关联分析方法和装置 | ||
| 摘要 | 本发明公开了一种可并发和断续分析的日志事件关联分析方法和装置,该方法是首先定义分析规则,将规则传入事件关联分析模块,然后依次采集各个日志来源的日志报文,将日志报文传入事件关联分析模块,事件关联分析模块对日志进行解析,在解析过程中将当前事件关联分析的中间状态变量值保存到状态保存模块;如果解析过程中触发某关联事件,就对外发出该关联事件的报警信号。该装置包括规则定义模块、日志报文采集模块、状态保存模块、报警输出模块和事件关联分析模块。本发明能同时对多个日志进行并发和断续分析,增强了网络监控、网络管理系统的日志审计功能,提高了网络预警的准确度,保障了网络监控和管理系统的安全。 | ||
| 申请公布号 | CN102158355B | 申请公布日期 | 2013.08.14 |
| 申请号 | CN201110058800.5 | 申请日期 | 2011.03.11 |
| 申请人 | 广州蓝科科技股份有限公司 | 发明人 | 梁英宏;杨东晓;王玉中;司徒新红;周铁道;龚春媚 |
| 分类号 | H04L12/24(2006.01)I | 主分类号 | H04L12/24(2006.01)I |
| 代理机构 | 广州市华学知识产权代理有限公司 44245 | 代理人 | 黄磊 |
| 主权项 | 一种可并发和断续分析的日志事件关联分析方法,其特征在于,具体包括以下步骤:(1)准备阶段:首先根据所分析事件的性质在规则定义模块中定义分析规则,分析规则被传送至事件关联分析模块,然后日志报文采集模块依次采集各个来源的日志报文,并根据状态保存模块所保存的日志最近时间戳,即日志报文的最后一行的时间戳,每次只采集上一次采集后新增的日志内容,采集完成后更新状态保存模块所保存的该日志最近时间戳;定义的分析规则由一个或若干个子规则组成,子规则的内容包括日志来源,日志来源由一个或若干个日志名组成;(2)事件关联分析:事件关联分析模块接收到日志报文采集模块采集到的日志报文后按照顺序送入缓存区,根据子规则的需求判断是否需要对多个日志进行合并分析,如日志来源只包含一个日志名,就将所采集的该名称的日志报文传入事件关联分析模块直接进行解析;如日志来源包含多个日志名,就将名称在日志来源中的所有日志报文合并成单个报文再传入事件关联分析模块进行解析;(3)状态信息保存:将当前事件关联分析的中间状态变量值保存到状态保存模块;(4)分析结果输出:事件关联分析过程中如触发某关联事件,就将该关联事件传送至报警输出模块,发出该关联事件的报警信号,然后继续进行日志报文的采集,如果触发另一子规则,则导入该子规则,转入步骤(2)。 | ||
| 地址 | 510600 广东省广州市越秀区寺右新马路108号丰伟大厦A栋23B | ||