[发明专利]对日志消息内容的面向语义分析

说明书

公开了处理日志消息。接收日志消息。识别要被分离地提取的日志消息的一个或多个部分。从每个识别的部分提取值。提取值包括使用提取规则。提取规则与识别的部分相关联。

背景技术

设备、服务器、应用和其它计算机系统将系统、安全、应用和其它信息记入日志。必须分析在这些日志中的消息以将原始数据变成可行动智能（actionable intelligence）。不幸地，日志消息不总是良好指定的（即，采用形式语法），并且日志分析系统必须从示例数据反向工程模式。现存的日志消息语法分析器（parser）要求整个日志消息要遵从由正则表达式规定的指定模式以使得日志消息能够被语法分析（parse）。给定了日志消息和其类型，语法分析器对照适当的正则表达式运行消息并提取感兴趣的元素。然而，为了利用语法分析器，语法分析器必须具有整个消息结构和用于整个消息的正则表达式的先验知识。日志消息实质上不像编程语言那样被严格地构成，而是代替地是被预定用于人类消费的简单构成的片段的宽松混合（amalgams）。即使采用正则表达式语法分析整个消息，由于在日志消息格式中的轻微变化正则表达式易受失败。因此，存在用于以更好的方式分析日志消息的需要。

附图说明

在以下详细描述和附图中公开本发明的各种实施例。

图1是图解用于处理日志消息的系统的实施例的框图。

图2是图解用于处理日志消息部分处理规则的过程的实施例的流程图。

图3A示出了具有三个规则的值后（value-after）消息处理辨认器的示例。

图3B示出了具有三个规则的直接消息处理辨认器的示例。

图4是图解用于处理日志消息的过程的实施例的流程图。

图5是图解用于使用值后辨认器/规则处理日志消息部分的过程的实施例的流程图。

图6是图解用于对规则处理的结果进行后期处理的过程的实施例的流程图。

图7A是具有重叠识别的关键字和值的示例日志消息。

图7B是具有重叠修饰语辨认器的识别关键字和值的示例日志消息。

图8是图解用于使用直接辨认器/规则处理日志消息部分的过程的实施例的流程图。

具体实施方式

本发明可以以众多方式被实现，包括被实现为过程；装置；系统；物质的组成；体现在计算机可读存储媒体上的计算机程序产品；和/或处理器，诸如被配置成执行存储在被耦合到该处理器的存储器上和/或由其提供的指令的处理器。在该说明书中，这些实现、或者本发明可能采取的任何其它形式可以被称为技术。一般而言，所公开过程的步骤顺序可以在本发明的范围内被更改。除非以其它方式声明，可以将诸如处理器或存储器的被描述为被配置成执行任务的组件实现为在给定的时间临时地被配置成执行该任务的通用组件或是被制造用于执行该任务的指定组件。如在本文中使用的那样，术语“处理器”指的是被配置成处理诸如计算机程序指令的数据的一个或多个设备、电路和/或处理核。

在下面与图解本发明原理的附图一起提供了本发明的一个或多个实施例的详细描述。关于这样的实施例描述本发明，但是本发明不被限于任何实施例。仅通过权利要求限制本发明的范围并且本发明包括众多替换、修改和等价。在以下描述中陈述众多指定细节以便提供对本发明的透彻理解。出于示例的目的提供这些细节并且可以在没有这些指定细节中的一些或所有的情况下根据权利要求实践本发明。出于清楚的目的，没有详细描述本发明涉及的技术领域中已知的技术材料以便本发明没有不必要地被模糊。