[发明专利]用于企业的日志分析系统及其方法

权利要求书

1.一种用于企业的日志分析系统，包括应用层、中间层和设备层，其特征在于：

所述应用层按照域的分类分为BSS模块、MSS模块、OSS模块和EDA模块；所述应用层每个域内均设置有日志采集模块、日志分析模块、异常展示模块和监控模块；所述日志采集模块用于采集各个域内设备每天工作信息；所述日志分析模块用于将采集到的日志进行分析；所述异常展示模块用于展示日志分析模块分析后的异常日志的个数；所述监控模块用于实时监控服务的运行情况，并展示服务监控实例的IP和端口信息；

所述中间层包括数据库模块和服务模块；所述数据库模块用于存储不同场景的数据库数据；所述服务模块用于对不同的场景类型进行划分；

所述设备层包括网络设备和IT设备两大类；所述网络设备包括防火墙设备、VPN设备和WAF设备；所述IT设备包括存储设备和主机设备；所述设备层设备均设置有带外监控模块；所述带外监控模块用于提供基础设置的态势感知；所述带外监控模块基于IPMI协议通过独立LAN对集群服务器进行硬监控；

所述一种用于企业的日志分析系统的分析方法，包括如下步骤：

步骤S01、日志采集：采集各个域内设备每天工作信息和操作信息；

步骤S02、日志预处理：对采集到的日志信息进行预处理；

步骤S03、行为分析：对预处理后的数据进行行为分析；

步骤S04、威胁名单查询：基于攻击特征进行匹配监测，将匹配成功的存入威胁名单；

步骤S05、信任名单查询：基于攻击特征进行匹配监测，将匹配成功的存入信任名单；

步骤S06、数据统计展示：将威胁名单和信任名单进行分类统计展示；

所述步骤S01之前，需要对日志的采集进行流程配置，具体的配置流程步骤如下：

步骤S011：选择日志类型场景；

步骤S012：编辑基本属性；

步骤S013：判断日志源是否存在；

若存在，则执行步骤S014；

若不存在，则执行步骤S015；

步骤S014：选择采集规则；

步骤S015：增加日志源；

步骤S016：判断采集规则是否存在；

若存在，则执行步骤S017；

若不存在，则执行步骤S018；

步骤S017：编辑自定义属性；

步骤S018：新增规格；

步骤S019：将制定的规格部署在对应服务器上。

2.根据权利要求1所述的一种用于企业的日志分析系统，其特征在于，所述数据库模块包括Oracle数据库、MySQL数据库和SQLSerber数据库；所述服务模块包括Weblogic、Tuxedo和Tomcat。

3.根据权利要求1所述的一种用于企业的日志分析系统，其特征在于，所述日志分析模块内设置有警报生成模块；所述警报生成模块在检测出日志信息出现异常的情况下，将异常信息生成警报通过进行分级并通知管理者；所述警报分级包括分为轻微量、一般量和严重量三类。

4.根据权利要求1所述的一种用于企业的日志分析系统，其特征在于，所述步骤S01中，日志采集的方式为SSH采集方式或Samba采集方式或Telnet采集方式。