[发明专利]一种日志快速匹配范化策略的方法及系统在审
申请号: | 202111439387.7 | 申请日: | 2021-11-30 |
公开(公告)号: | CN114398518A | 公开(公告)日: | 2022-04-26 |
发明(设计)人: | 石凌志;王福志 | 申请(专利权)人: | 北京威努特技术有限公司 |
主分类号: | G06F16/901 | 分类号: | G06F16/901;G06F16/903 |
代理公司: | 暂无信息 | 代理人: | 暂无信息 |
地址: | 100085 北京市*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 日志 快速 匹配 策略 方法 系统 | ||
1.一种日志快速匹配范化策略的方法,其特征在于,包括:
步骤S1、配置日志源和对应的范化策略组,并设置快速匹配策略;快速匹配策略包括快速索引匹配策略和范化策略动态基线匹配策略;
步骤S2、系统启动,将所有日志源信息和范化策略组缓存在系统内存中;
步骤S3、接收待匹配日志源信息,根据待匹配日志源信息查找对应的范化策略组,确定是否可以使用快速索引匹配策略进行日志源信息和范化策略的快速匹配,如果是,则经快速匹配找到对应的范化策略进行范化处理,否则执行步骤S4;
步骤S4、使用范化策略动态基线匹配策略所形成的范化策略基线进行日志源信息和范化策略的匹配,找到匹配的范化策略后进行范化处理。
2.如权利要求1所述的一种日志快速匹配范化策略的方法,其特征在于,日志源信息包括IP地址、设备类型、设备名称、范化策略组、日志协议类型;每个日志源都有属于自己的范化策略组,这个范化策略组包含了对这个日志源所有日志的范化策略,接收到该日志源的日志后,只需要在对应的范化策略组内进行查找匹配。
3.如权利要求2所述的一种日志快速匹配范化策略的方法,其特征在于,范化策略组包含多个范化策略,每一个范化策略对应解析一种格式的日志。
4.如权利要求1所述的一种日志快速匹配范化策略的方法,其特征在于,快速索引匹配策略用于快速找到匹配的范化策略,具体算法包括:1)检查固定位置的固定字符串是否为可快速索引的日志类型;2)检查固定长度或根据分隔符分割后的固定长度是否在预设字符串长度之内。
5.如权利要求1所述的一种日志快速匹配范化策略的方法,其特征在于,范化策略动态基线匹配策略包括:使用范化策略动态排序方法进行范化策略的动态排序,具体算法包括:每隔固定时间t,统计这t时间段内范化策略的命中次数,按照命中次数倒序排序,即命中次数最多的范化策略排在最前面,按照排序依次进行匹配。
6.如权利要求5所述的一种日志快速匹配范化策略的方法,其特征在于,范化策略动态基线匹配策略还包括:每隔固定时间段T(Tt)统计该时间段内范化策略的命中次数总排名,按照总排名为范化策略排序,成为这个时间段内范化策略优先级基线,汇总一天内的范化策略优先级基线,得到一天的范化策略基线,然后经过多天的学习,汇总同一时间段T内的范化策略命中次数,形成学习后的范化策略优先级基线。
7.如权利要求6所述的一种日志快速匹配范化策略的方法,其特征在于,建立范化策略优先级基线后,按照基线在固定的时间段形成学习好的范化策略优先级队列。
8.如权利要求7所述的一种日志快速匹配范化策略的方法,其特征在于,启用范化策略动态基线匹配策略后,使用每天按小时动态切换的范化策略优先级队列遍历轮询验证,找到匹配的范化策略后进行范化处理。
9.一种日志审计与分析系统,其特征在于,包括:所述系统执行如权利要求1-8任一项所述的一种日志快速匹配范化策略的方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京威努特技术有限公司,未经北京威努特技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111439387.7/1.html,转载请声明来源钻瓜专利网。