[发明专利]一种基于规则的日志报警方法、装置及系统

摘要

本发明实施例提供一种基于规则的日志报警方法、装置及系统。所述方法包括：实时获取待检测服务产生的包括第一标识ID的日志消息；获取与第一标识ID匹配的报警规则集作为目标报警规则集，报警规则集包括至少一条报警规则，每一条规则包括规则表达式和报警方式；依次获取目标报警规则集中的一条报警规则，若判断获知日志消息满足获取的报警规则中的规则表达式，则根据获取的报警规则中的报警方式触发报警。所述装置和系统用于执行所述方法。本发明实施例通针对不同服务产生的日志消息选择对应的报警规则集来进行报警分析，一方面满足了不同服务的个性化需求，另一方面提高了报警分析的效率。 1

主权项

1.一种基于规则的日志报警方法，其特征在于，包括：

实时获取待检测服务产生的日志消息，所述日志消息包括所述待检测服务对应的第一标识ID；

获取与所述第一标识ID匹配的报警规则集作为目标报警规则集，所述报警规则集包括至少一条报警规则，每一条规则包括规则表达式和报警方式；

依次获取所述目标报警规则集中的一条报警规则，若判断获知所述日志消息满足获取的所述报警规则中的规则表达式，则根据获取的所述报警规则中的报警方式触发报警。

2.根据权利要求1所述的方法，其特征在于，所述日志消息包括待检测关键词，所述判断获知所述日志消息满足获取的所述报警规则中的规则表达式，包括：

对所述报警规则进行解析，获得规则表达式中的关键词和逻辑关系，所述逻辑关系包括逻辑与、逻辑或和逻辑非中的任意一项或其组合；

根据所述日志消息中的待检测关键词和所述规则表达式中的关键词和逻辑关系，获得所述规则表达式的计算结果，若所述计算结果为真，则判断获知所述日志消息满足获取的所述报警规则中的规则表达式。

3.根据权利要求1所述的方法，其特征在于，所述方法，还包括：

预先创建多个待检测服务分别对应的报警规则集，并将所述报警规则集进行存储。

4.根据权利要求3所述的方法，其特征在于，所述报警规则还包括待检测服务对应的第二标识ID，相应的，所述预先创建多个待检测服务分别对应的报警规则集，并将所述报警规则集进行存储，包括：

预先创建多个待检测服务分别对应的报警规则，将所述报警规则按照所述第二标识ID进行分组，构成多个报警规则集，将所述报警规则集进行存储。

5.根据权利要求1所述的方法，其特征在于，所述报警规则还包括优先级信息，相应的，所述依次获取所述报警规则集中的一条报警规则，包括：

根据所述优先级依次获取所述报警规则集中的一条报警规则。

6.根据权利要求1‑5任一项所述的方法，其特征在于，所述报警方式包括：报警触发方式和报警发送方式，所述报警触发方式包括单条触发和阈值触发，所述报警发送方式包括邮件报警、短信报警和微信报警。

7.一种基于规则的日志报警装置，其特征在于，包括：

获取模块，用于实时获取待检测服务产生的日志消息，所述日志消息包括所述待检测服务对应的标识ID；

匹配模块，用于获取与所述第一标志ID匹配的报警规则集作为目标报警规则集，所述报警规则集包括至少一条报警规则，每一条规则包括规则表达式和报警方式；

报警模块，用于依次获取所述目标报警规则集中的一条报警规则，若判断获知所述日志消息满足获取的所述报警规则中的规则表达式，则根据获取的所述报警规则中的报警方式触发报警。

8.一种基于规则的日志报警系统，其特征在于，包括通信连接的日志报警装置、日志消费装置、数据库和报警管理装置；

所述日志报警装置用于执行权利要求1‑5任一项所述的方法；

所述日志消费装置用于获取各服务产生的日志消息，并将所述日志消息发送至所述日志报警装置；

所述数据库用于存储报警规则集和报警信息；

所述报警管理装置用于配置所述报警规则集。

9.一种电子设备，其特征在于，包括：处理器、存储器和总线，其中，

所述处理器和所述存储器通过所述总线完成相互间的通信；

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如权利要求1‑6任一项所述的方法。

10.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如权利要求1‑6任一项所述的方法。