[发明专利]一种网络安全日志的快速关联分类及分级存储方法

权利要求书

1.一种网络安全日志的快速关联分类及分级存储方法，其特征在于，包括如下步骤：

S1：根据应用元数据的不同定义XML格式日志模板，日志模板包括告警日志信息，关联流日志信息，应用元数据日志信息，报文日志信息，文件附件日志信息；

S2：通过日志中的流、事务信息将告警日志、关联流日志、应用元数据日志、报文日志和文件附件日志关联在一起，每条告警日志输出一条完整的日志；

S3：对日志进行分级存储机制输出，包括告警日志信息，关联流日志信息，应用元数据日志信息，报文日志信息，文件附件日志信息中的值；分级存储机制采用两级，第一级采用内存文件系统，第二级采用带RAID SSD/HD存储系统。

2.如权利要求1所述的网络安全日志的快速关联分类及分级存储方法，其特征在于，步骤S1中，定义日志模板具体为定义输出日志中的关键词。

3.如权利要求1所述的网络安全日志的快速关联分类及分级存储方法，其特征在于，步骤S2中，具体关联流程包括：

接收各类日志消息，根据日志中的流信息查找关联表；

若查找到关联节点，则根据流信息创建新的关联节点；

若没有查找到关联节点，则将当前日志节点添加到查到到的关联节点列表里。

4.如权利要求1所述的网络安全日志的快速关联分类及分级存储方法，其特征在于，步骤S3中，具体输出过程包括：

判断关联节点收集日志是否完整，若未完整，则继续接收日志消息并关联，若完整，则进入下一步；

取得关联节点中的告警日志，并获取应用日志模板，解析并输出模板中的告警部分信息；

判断是否存在流日志，若存在，则取得关联节点中的流日志，解析并输出模板中的流部分信息，若不存在，则进行下一步；

判断是否存在应用日志，若存在，则取得关联节点中的对应应用事务的日志，解析并输出模板中的应用部分信息，若不存在，则进行下一步；

判断是否存在报文日志，若存在，则取得关联节点中的对应报文日志，解析并输出模板中的报文部分信息，若不存在，则进行下一步；

判断是否存在附件日志，若存在，则取得关联节点中的对应文件日志，解析并输出模板中的文件附件部分信息，若不存在，则进行下一步；

输出完整的告警日志信息。

5.如权利要求1所述的网络安全日志的快速关联分类及分级存储方法，其特征在于，步骤S3中，具体的分级存储过程包括：日志输出首先输出到第一级的内存文件系统上，当输出日志条目数到一定数目后将XML格式日志模板、日志数据文件、报文文件、文件附件打包；

日志打包完成后，将打包好的日志文件拷贝到第二级的带RAID SSD/HD存储系统上。