[发明专利]一种日志审计方法及装置

权利要求书

1.一种日志审计方法，其特征在于，所述方法包括：

利用正则表达式匹配的方式对从大数据平台组件采集到的原始日志进行解析，得到所述原始日志中的有效日志字段及所述有效日志字段对应的属性值；

根据预设字段映射规则，对所述原始日志中的有效日志字段对应的属性值进行所属标准化字段归类，得到初始日志；

根据所述初始日志中的有效日志字段中的关键字，进行所述初始日志的操作类型和操作细项划分，得到标准化日志；

根据预设审计规则和分析策略，对所述大数据平台组件的标准化日志进行审计；

根据预设审计规则和分析策略，对所述大数据平台组件的标准化日志进行审计，包括：

根据所述大数据平台组件的标准化日志中的操作类型和操作细项，选定相应的日志内容审计点以及审计规则，其中，所述内容审计点包括访问时间、访问地点、重要目录文件、关键操作命令、操作频次及操作总量；

根据所述日志内容审计点以及审计规则，对所述标准化日志的日志内容进行审计。

2.根据权利要求1所的方法，其特征在于，对从大数据平台组件采集到的原始日志进行解析之前，所述方法还包括：

开启所述大数据平台组件日志的保存选项，以及设置所述大数据平台组件日志的保存操作选项，其中，所述保存操作选项包括日志文件的名称、日志文件的存储路径、日志文件的大小和日志文件的数量。

3.根据权利要求2所的方法，其特征在于，所述日志文件的存储路径的选取方法包括：

选取所述大数据平台组件中节点数量最少的节点作为日志文件的存储路径。

4.根据权利要求1所述的方法，其特征在于，所述大数据平台组件的原始日志的采集方式包括：

通过syslog协议，获取所述大数据平台组件发送的原始日志；

或者，

通过FTP/SFTP的方式，从所述大数据平台组件采集其保存的原始日志。

5.根据权利要求1所述的方法，其特征在于，对所述大数据平台组件的标准化日志进行审计之后，所述方法还包括：

当所述标准化日志中存在日志内容不符合预设审计规则时，则生成相应的安全预警信息。

6.一种日志审计装置，其特征在于，所述装置包括：

原始日志解析模块：用于利用正则表达式匹配的方式对从大数据平台组件采集到的原始日志进行解析，得到所述原始日志中的有效日志字段及所述有效日志字段对应的属性值；

标准化字段归类模块：用于根据预设字段映射规则，对所述原始日志中的有效日志字段对应的属性值进行所属标准化字段归类，得到初始日志；

操作类型划分模块：用于根据所述初始日志中的有效日志字段中的关键字，进行所述初始日志的操作类型和操作细项划分，得到标准化日志；

标准化日志审计模块：用于根据预设审计规则和分析策略，对所述大数据平台组件的标准化日志进行审计；

所述标准化日志审计模块包括：

审计策略选取子模块：用于根据所述大数据平台组件的标准化日志中的操作类型和操作细项，选定相应的日志内容审计点以及审计规则，其中，所述内容审计点包括访问时间、访问地点、重要目录文件、关键操作命令、操作频次及操作总量；

日志内容审计子模块：用于根据所述日志内容审计点以及审计规则，对所述标准化日志的日志内容进行审计。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

日志选项设置模块：用于开启所述大数据平台组件日志的保存选项，以及设置所述大数据平台组件日志的保存操作选项，其中，所述保存操作选项包括日志文件的名称、日志文件的存储路径、日志文件的大小和日志文件的数量。

8.根据权利要求6所述的装置，其特征在于，所述装置还包括：

日志预警模块：用于当所述标准化日志中存在日志内容不符合预设审计规则时，则生成相应的安全预警信息。