[发明专利]日志审计告警方法、装置及存储介质

权利要求书

1.一种日志审计告警方法，其特征在于，包括：

预先配置审计规则；

获取日志流，按照预先配置的审计规则对所述日志流进行审计，当出现不符合所述审计规则的日志时，获取所述不符合规则的日志；

对所述不符合规则的日志进行评判得到评判结果，将所述评判结果与相应的日志关联；

将所述日志以及评判结果输出。

2.根据权利要求1所述的日志审计告警方法，其特征在于，

所述预先配置审计规则包括：

预先设置第一触发条件，获取所述日志流中所有满足第一触发条件的日志生成初筛日志流；

预先设置第二触发条件，获取所述初筛日志流中满足第二触发条件的日志得到不符合规则的日志。

3.根据权利要求2所述的日志审计告警方法，其特征在于，

所述第一触发条件包括第一预设字符；

获取所述日志流中所有满足第一触发条件的日志生成初筛日志流包括：

获取所述日志流中每个日志的所有字符，判断每个日志的所有字符是否存在第一预设字符；

若有存在第一预设字符的日志，则统计具有所述第一预设字符的所有日志生成初筛日志流。

4.根据权利要求2所述的日志审计告警方法，其特征在于，

所述第二触发条件包括第二预设字符；

获取所述初筛日志流中满足第二触发条件的日志得到不符合规则的日志包括：

获取所述初筛日志流中每个日志的所有字符，判断初筛日志流中每个日志的所有字符是否存在第二预设字符；

若有存在第二预设字符的日志，则将具有第二预设字符的日志作为不符合规则的日志输出。

5.根据权利要求2所述的日志审计告警方法，其特征在于，

对所述不符合规则的日志进行评判得到评判结果包括：

获取所述不符合规则的日志中所有第二预设字符的数量；

当所述第二预设字符的数量大于第一预设数量时得到第一评判结果；

当所述第二预设字符的数量大于第二预设数量时得到第二评判结果，所述第二预设数量大于第一预设数量。

6.一种日志审计告警装置，其特征在于，包括：

配置模块，用于预先配置审计规则；

审计模块，用于获取日志流，按照预先配置的审计规则对所述日志流进行审计，当出现不符合所述审计规则的日志时，获取所述不符合规则的日志；

评判模块，用于对所述不符合规则的日志进行评判得到评判结果，将所述评判结果与相应的日志关联；

输出模块，用于将所述日志以及评判结果输出。

7.根据权利要求6所述的日志审计告警装置，其特征在于，

所述配置模块还用于执行以下步骤，包括：

预先设置第一触发条件，获取所述日志流中所有满足第一触发条件的日志生成初筛日志流；

预先设置第二触发条件，获取所述初筛日志流中满足第二触发条件的日志得到不符合规则的日志。

8.根据权利要求7所述的日志审计告警装置，其特征在于，

所述第一触发条件包括第一预设字符；

所述审计模块包括第一审计单元，所述第一审计单元用于执行以下步骤，包括：

获取所述日志流中每个日志的所有字符，判断每个日志的所有字符是否存在第一预设字符；

若有存在第一预设字符的日志，则统计具有所述第一预设字符的所有日志生成初筛日志流。

9.根据权利要求7所述的日志审计告警装置，其特征在于，

所述第二触发条件包括第二预设字符；

所述审计模块包括第二审计单元，所述第二审计单元用于执行以下步骤，包括：

获取所述初筛日志流中每个日志的所有字符，判断初筛日志流中每个日志的所有字符是否存在第二预设字符；

若有存在第二预设字符的日志，则将具有第二预设字符的日志作为不符合规则的日志输出。

10.一种可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时用于实现权利要求1至5任一所述的方法。