CN101291256A - 系统日志升级为告警的方法及系统 - Google Patents
系统日志升级为告警的方法及系统 Download PDFInfo
- Publication number
- CN101291256A CN101291256A CNA2008101142803A CN200810114280A CN101291256A CN 101291256 A CN101291256 A CN 101291256A CN A2008101142803 A CNA2008101142803 A CN A2008101142803A CN 200810114280 A CN200810114280 A CN 200810114280A CN 101291256 A CN101291256 A CN 101291256A
- Authority
- CN
- China
- Prior art keywords
- alarm
- filtering rule
- system journal
- parameter
- close attention
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明公开了系统日志升级为告警的方法及系统。方法包括:当新增了一类系统日志时,采用预定的通用系统日志格式模块注册该类系统日志的内容及告警OID,采用预定的通用系统日志告警过滤规则模板注册该类系统日志的告警过滤规则;当接收到一条系统日志时,根据已注册的该类系统日志的内容,从收到的该系统日志中读取用户关注参数信息,将用户关注参数信息与已注册的该类系统日志的告警过滤规则匹配,若匹配上,则根据已注册的该类系统日志对应的告警OID生成告警。本发明可以灵活处理各种格式的系统日志,降低了系统日志升级为告警的成本。
Description
技术领域
本发明涉及告警技术领域,具体涉及一种系统日志升级为告警的方法及系统。
背景技术
系统日志(syslog)记录任何用户对设备的操作,例如交换机安全类日志记录:某个目标网段中IP地址的地址解析协议(ARP,Address ResolutionProtocol)地址冲突报文、对端口访问拒绝报文、端口安全入侵检测报文、端口安全登录失败报文等。
如果在一定时间内如:1分钟内syslog记录某类报文的次数到达一定次数,则表明网络中发生了应该引起用户密切关注的事件,需要将该事件告知用户,并自动或人工采取必要的动作,例如:发送一定级别的告警、关闭指定的端口等。
对于不同类型的syslog,用户需要关注的syslog记录的报文中的参数不同。例如:对于ARP自动检测IP地址冲突类的syslog,该syslog记录的一个报文为:
%Apr 205:12:30:993 2000 Quidway ARP/4/DUPIFIP:-1-Duplicateaddress 1.1.1.1on VLAN1,sourced by 0016-e0c0-a681
其中,用户应该关注的为MAC地址,即上述报文中的0016-e0c0-a681。
对于端口安全登录类的syslog,该syslog记录的一个报文为:
Apr 303:23:53 2000 Monza_IRF%%10PORTSEC/2/LOGINFAILURE(1):-8-OID:1.3.6.1.4.1.2011.10.2.26.1.3.3(h3cSecureLoginFailure)A user loginfailure occurs due to the user not being successfully authorized IfIndex:503316834 Port:Ethernet8/0/42 MAC Addr:0010-5ce8-89fa VLAN id:999PortNum:503316834 UserName:local@local
其中,用户应该关注登录的用户名、接口,即上述报文中的local@local、Ethernet8/0/42。
因此,不同的网络环境下、用户在关注不同类型的syslog时,需要关注的参数是不同的,同时需要升级成不同的告警。且,只有在规定时间间隔内,syslog记录的某类事件的重复次数超过了预设阈值时才触发生成告警。
现有的syslog升级告警方法如图1所示,系统预先为所有已知类型的syslog分别定义一个告警升级器,每个告警升级器中记录了一类syslog的用户关注参数、告警条件以及生成的告警,当收到一条syslog,根据该syslog的类型,将该syslog送往对应的告警升级器,告警升级器对该syslog进行分析,确定是否生成告警。
现有syslog升级告警方法的缺点:
一、由于不同的syslog,其格式不同、用户关注的参数不同、升级为告警的条件不同、所生成的告警也不同,这样,需要针对不同类型的syslog开发出不同的syslog告警升级器,很显然,成本较高。
二、增加了新类型的syslog后,需要开发新的syslog告警升级器,不具有扩展性和动态适配性,同时,用户需要购买新的syslog告警升级器,增加了用户支出。
发明内容
本发明提供一种syslog升级为告警的方法及系统,以降低syslog升级为告警的成本。
本发明的技术方案是这样实现的:
一种系统日志升级为告警的方法,包括:
当新增了一类系统日志时,采用预定的通用系统日志格式模块注册该类系统日志的内容及告警对象标识符OID,采用预定的通用系统日志告警过滤规则模板注册该类系统日志的告警过滤规则;
当接收到一条系统日志时,根据已注册的该类系统日志的内容,从收到的该系统日志中读取用户关注参数信息,将用户关注参数信息分别与已注册的该类系统日志的各告警过滤规则匹配,若匹配上,则根据已注册的该类系统日志对应的告警OID生成告警。
所述通用系统日志格式模板包括:
系统日志的摘要字段、告警OID、系统日志中各用户关注参数的名称、OID及在系统日志中的位置信息。
所述通用系统日志告警过滤规则模板包括:
系统日志的摘要字段、系统日志中备用户关注参数的名称、各用户关注参数的告警值、告警生成阈值。
所述通用系统日志告警过滤规则模板进一步包括:告警过滤匹配方式。
所述根据已注册的该类系统日志的内容,从收到的系统日志中读取各用户关注参数信息包括:
根据收到的系统日志的摘要字段,查找到已注册的该类系统日志的告警OID、各用户关注参数的名称、OID及在系统日志中的位置,根据各用户关注参数在系统日志中的位置,从收到的系统日志中读取各用户关注参数的值。
所述将用户关注参数信息分别与已注册的该类系统日志的各告警过滤规则匹配包括:
对于该类系统日志的每条告警过滤规则,将从收到的系统日志中读取的各用户关注参数的值分别与该告警过滤规则中该用户关注参数的告警值匹配,若匹配上,则将该用户关注参数针对该告警过滤规则的过滤匹配次数加1,当所有用户关注参数都匹配时,判断各用户关注参数针对该告警过滤规则的过滤匹配次数是否已达到该告警过滤规则中的告警生成阈值,若达到,则根据已注册的该类系统日志对应的告警OID,生成告警。
所述判断各用户关注参数的过滤匹配次数是否已达到该告警过滤规则中的告警生成阈值包括:
当该告警过滤规则中的过滤匹配方式为组合过滤匹配方式时,若所有用户关注参数针对该告警过滤规则的过滤匹配次数之和不小于该告警过滤规则中的告警生成阈值,则执行所述生成告警的动作;
当该告警过滤规则中的过滤匹配方式为单独过滤匹配方式时,若有任何用户关注参数针对该告警过滤规则的过滤匹配次数不小于该告警过滤规则中的告警生成阈值,则执行所述生成告警的动作。
所述生成告警之前进一步包括:
判断该类系统日志的当前告警过滤周期是否结束,若是,不生成告警;否则,执行所述生成告警的动作。
所述生成告警之前进一步包括:判断在当前告警过滤周期内该类系统日志针对当前告警过滤规则是否已生成过告警,若否,则执行所述生成告警的动作。
一种系统日志升级为告警的系统,包括:
模板定义模块,定义通用系统日志格式模板和通用系统日志告警过滤规则模板;
注册模块,新增了一类系统日志,采用通用系统日志格式模块注册该系统日志的内容及告警对象标识符OID,采用通用系统日志告警过滤规则模板注册该系统日志的告警过滤规则;
告警处理模块,接收一条系统日志,根据已注册的该类系统日志的内容,从收到的该系统日志中读取用户关注参数信息,将用户关注参数信息分别与已注册的该类系统日志的各告警过滤规则匹配,若匹配上,根据已注册的该类系统日志的告警OID生成告警。
所述模板定义模块包括:
通用系统日志格式模板定义模块,定义通用系统日志格式模板,该模板包括:系统日志的摘要字段、告警OID、系统日志中各用户关注参数的名称、OID及在系统日志中的位置信息;
通用系统日志告警过滤规则模板定义模块,定义通用系统日志告警过滤规则模板,该模板包括:系统日志的摘要字段、系统日志中各用户关注参数的名称、各用户关注参数的告警值、告警生成阈值。
所述通用系统日志告警过滤规则模板定义模块中定义的通用系统日志告警过滤规则模板进一步包括:告警过滤匹配方式。
所述告警处理模块包括:
解析模块,接收一条系统日志,解析该系统日志,根据解析出的摘要字段,查找到已注册的该类系统日志的内容和告警OID,根据系统日志内容中的各用户关注参数的名称、OID及在系统日志中的位置,从收到的系统日志中读取各用户关注参数的值,将各用户关注参数值和摘要字段发送出去;
告警过滤模块,根据解析模块发来的摘要字段查找到该类系统日志的各告警过滤规则,对于该类系统日志的每条告警过滤规则,将从解析模块发来的各用户关注参数的值分别与该告警过滤规则中该用户关注参数的告警值匹配,记录各用户关注参数针对该告警过滤规则的过滤匹配次数,若各用户关注参数针对该告警过滤规则的过滤匹配次数达到该告警过滤规则中的告警生成阈值,根据已注册的该类系统日志对应的告警OID,生成告警。
所述告警过滤模块包括:
匹配方式判断模块,接收解析模块发来的摘要字段,根据该摘要字段从系统日志告警过滤规则模板中读取各告警过滤规则的告警过滤匹配方式,将该告警过滤匹配方式发送出去;
过滤模块,接收解析模块发来的摘要字段和各用户关注参数值,接收匹配方式判断模块发来的各告警过滤规则的告警过滤匹配方式,当当前告警过滤规则的告警过滤匹配方式为组合过滤匹配方式时,若所有用户关注参数针对当前告警过滤规则的过滤匹配次数之和不小于该告警过滤规则中的告警生成阈值,则生成告警;当为单独过滤匹配方式时,若有任何用户关注参数针对当前告警过滤规则的过滤匹配次数不小于该告警过滤规则中的告警生成阈值,则生成告警。
所述告警处理模块进一步包括:已生成告警系统日志记录模块,记录在其告警过滤周期内已生成过告警的系统日志的摘要字段和告警过滤规则标识的对应关系,并在每类系统日志的告警过滤周期开始时,删除该系统日志的摘要字段与所有告警过滤规则标识的对应关系,
且,所述告警过滤模块进一步用于,在生成告警之前,判断该系统日志的摘要字段和当前告警过滤规则标识是否已记录在已生成告警系统日志记录模块中,若否,则生成告警;且,在生成告警时,在已生成告警系统日志记录模块中记录该系统日志的摘要字段和当前告警过滤规则标识的对应关系。
所述系统进一步包括:
告警过滤周期监测模块,用于从已注册的每类系统日志的告警过滤规则模板中获取每类系统日志的告警过滤周期,在每类系统日志的告警过滤周期开始时,通知已生成告警系统日志记录模块。
与现有技术相比,本发明通过预先定义通用系统日志格式模板和通用系统日志告警过滤规则模板,当新增了一类系统日志时,采用通用系统日志格式模块注册该类系统日志的内容及告警对象标识符(OID,Object Identifier),采用通用系统日志告警过滤规则模板注册该类系统日志的告警过滤规则;当接收到一条系统日志时,根据已注册的该类系统日志的内容,从收到的该系统日志中读取用户关注参数信息,将用户关注参数信息分别与已注册的该类系统日志的各告警过滤规则匹配,若匹配上,则根据已注册的该类系统日志对应的告警OID生成告警。本发明满足了格式复杂多变的syslog升级成告警的需求,只要在模板中注册新的syslog内容、告警OID、告警过滤规则,就可以产生用户预定义的告警,具有很强的灵活性和扩展性,降低了系统日志升级为告警的成本。
附图说明
图1为现有的syslog升级为告警的实现示意图;
图2为本发明实施例一提供的syslog升级为告警的流程图;
图3为本发明实施例二提供的syslog升级为告警的流程图;
图4为本发明实施例提供的syslog升级为告警的系统组成图;
图5为本发明实施例提供的告警处理模块的结构示意图。
具体实施方式
对于不同类型的syslog,其格式不同、用户关注的参数不同、由syslog升级成告警的条件也不同、生成的告警也不同,需要一种机制来描述这些差异性。因此,本发明的核心思想是:为所有类型的syslog定义一种通用的syslog格式模板,同时定义一种通用的syslog告警过滤规则模板,用户定制该两模板,当新增加了一类syslog时,用户将该syslog的内容和告警OID采用通用syslog格式模板注册,同时将该syslog的告警过滤规则采用通用syslog告警过滤规则模板注册,这样,当收到了一条某个类型的syslog时,根据注册的该类syslog的内容,从该收到的syslog中读取各用户关注参数的值,再将各用户关注参数的值分别与注册的该类syslog的各告警过滤规则匹配,若匹配上,则根据注册的该类syslog对应的告警OID生成告警。
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图2为本发明实施例一提供的syslog升级为告警的流程图,如图2所示,其具体步骤如下:
步骤201:定义通用syslog格式模板。
通用syslog格式模板中包括:摘要(digest)字段、升级成的告警的OID,用户关注参数的名称、OID及在syslog中的位置。
以下为采用可扩展标记语言(XML,Extensible Markup Language)文件定义的通用syslog格式模板:
<syslog>
<!--以摘要字段区分的syslog类型-->
<digest>SYSLOG_DIGEST</digest>
<!--从syslog升级的告警的OID-->
<trap_oid>TRAP_OID</trap_oid>
<!--syslog中的用户关注参数列表-->
<params>
<param>
<!--参数1名称-->
<name>PARAM_NAME</name>
<!--参数1的OID-->
<oid>PARAM_OID</oid>
</param>
<!--以下为其余参数的描述-->
</params>
/**以下为各用户关注参数在syslog中的位置,其中,字符串string_i为参数param_i的前导字符串,string_(i+1)为参数param_i的后导字符串,即参数param_i在syslog中位于字符串string_i与string_(i+1)之间。string_i与string_(i+1)可以为空,与$(param_i)之间用空格分开。
*/
<templ>
string_1 $(param_1) string_2 $(param_2) string_3 $(param_3)
string_4...
</templ>
</syslog>
上述模板中需要用户填写的内容如下:
1、SYSLOG_DIGEST,即syslog的摘要字段,不同类型的syslog的摘要字段不同,因此以syslog的摘要字段区分不同类型的syslog。
2、TRAP_OID,表示从syslog升级出的告警的OID。
3、PARAM_NAME、PARAM_OID,分别表示一类syslog中用户关注参数的名称和OID,每个用户关注参数对应一对PARAM_NAME、PARAM_OID。
4、string_l $(param_1)string_2 $(param_2)string_3 $(param_3)string_4...,表示每个用户关注参数在syslog中的位置,其中,字符串string_i为参数param_i的前导字符串,string_(i+1)为参数param_i的后导字符串,即参数param_i在syslog中位于字符串string_i与string_(i+1)之间。
步骤202:定义通用syslog告警过滤规则模板。
通用syslog告警过滤规则模板中包括:
1、syslog的摘要类型。
2、告警过滤周期。
在每个告警过滤周期内,对该周期内产生的syslog进行告警过滤,且在每个告警过滤周期内,对一类syslog最多只能生成一次告警。
3、用户关注参数名称、OID、告警值列表。
对于某个用户关注参数来说,若收到的一条syslog中的该用户关注参数的值等于该类syslog的告警过滤规则中该参数对应的告警值,则确定该用户关注参数已一次达到告警条件。
告警值可以是特定的值,也可以是一个范围。
4、告警生成阈值和告警过滤匹配方式。
告警过滤匹配方式可分为两种:
A、组合过滤匹配式。采用该方式时,当syslog中参与告警过滤的所有用户关注参数的值达到告警条件的次数之和不小于告警生成阈值时,生成告警。
例如:对于某类syslog,其用户关注参数有三个:参数1、2、3,其对应的告警值分别为a、b、c,告警生成阈值为Cm,若对于在某个告警过滤周期内产生的所有该类syslog,其中,参数1的值达到a的次数为Ca,参数2的值达到b的次数为Cb,参数3的值达到c的次数为Cc,且Ca+Cb+Cc>Cm,则生成告警,又设Cb>Ca>Cc,则可在告警中携带参数2的名称、OID及参数2达到告警值的次数Cb。
B、单独过滤匹配式。采用该方式时,只要syslog中的任意一个参与告警过滤的用户关注参数的值达到告警条件的次数不小于告警生成阈值,就生成告警。
例如:对于某类syslog,其用户关注参数有三个:参数1、2、3,其对应的告警值分别为a、b、c,告警生成阈值为Cm,若对于在某个告警过滤周期内产生的所有该类syslog,其中,参数1的值达到a的次数为Ca,参数2的值达到b的次数为Cb,参数3的值达到c的次数为Cc,且只有Cb>Cm,而Ca<Cm、Cc<Cm,则上报告警,且在告警中携带参数b的名称、OID及Cb。若同时有Cb>Cm、Ca>Cm,则需在告警中同时携带参数a、b的名称、OID及Ca、Cb。
以下为采用XML文件定义的通用syslog告警过滤规则模板:
<rules>
<rule>
<!--syslog的摘要字段-->
<digest>SYSLOG_DIGEST</digest>
<!--告警过滤规则名称-->
<name>RULE_NAME</name>
<!--告警过滤规则简述-->
<desc>RULE_DESC</desc>
<!--告警过滤周期,缺省为60秒-->
<interval>SYSLOG_INTERVAL</interval>
<!--syslog告警生成阈值-->
<threshold>SYSLOG_THRESHOLD</threshold>
<!--告警过滤规则参数列表-->
<params>
<param>
<!--参数名称-->
<param_name>PARAM_NAME</param_name>
<!--参数值,若参数值为N/A,则在进行告警过滤规则匹配时
忽略该参数-->
<param_value>PARAM_VALUE</param_value>
<!--告警过滤匹配方式-->
<!--COMP_FLAG若为1,则为组合匹配方式;若为0,则不为
组合匹配方式-->
<comp_flag>COMP_FLAG</comp_flag>
<!--INDEP_FLAG若为1,则为单独匹配方式;若为0,则不
为单独匹配方式-->
<indep_flag>INDEP_FLAG</indep_flag>
</param>
<!--以下为其余参数-->
</params>
</rule>
<!--以下为其余规则-->
</>rules
上述模板中需要用户填写的内容如下:
1、SYSLOG_DIGEST,即syslog的摘要字段。
2、RULE_NAME,即告警过滤规则的名称,可省略。
3、RULE_DESC,即为该告警过滤规则的简要描述,以帮助用户理解该规则,可省略。
4、SYSLOG_INTERVAL,即告警过滤周期。
5、SYSLOG_THRESHOLD,即告警生成阈值。
6、PARAM_NAME,即用户关注参数的名称。
7、PARAM_VALUE,即用户关注参数的告警值,若值为N/A,则在进行告警过滤规则匹配时忽略该参数。
8、COMP_FLAG,即组合过滤匹配方式标志,若值为1,表示在生成告警时对该用户关注参数采用组合过滤匹配方式,值为0表示在生成告警时对该用户关注参数不采用组合过滤匹配方式。
9、INDEP_FLAG,即单独过滤匹配方式标志,若值为1,表示在生成告警时对该用户关注参数采用单独过滤匹配方式,值为0表示在生成告警时对该用户关注参数不采用单独过滤匹配方式。
可以看出:对于同一类syslog,可能有多条告警过滤规则,接收到的syslog只要满足任意一条告警过滤规则都要产生告警。
步骤203:新增加一类syslog,采用通用syslog格式模板注册该syslog的内容及升级成的告警,包括注册:syslog的摘要字段、syslog升级成的告警的OID、各用户关注参数的名称、OID及在syslog中的位置。
例如,新增加了一类APR自动检测IP地址冲突类syslog,将该syslog的内容及升级成的告警采用通用syslog格式模板(XML文件)注册如下:
<syslog>
<digest>DUPIFIP(1)</digest>
<trap_oid>1.3.6.1.4.1.2011.10.4.2.2.2.0.1</trap_oid>
<params>
<param>
<name>IP2</name>
<oid>1.3.6.1.4.1.2011.10.4.2.2.1.10</oid>
</param>
<param>
<name>Vlan</name>
<oid>1.3.6.1.4.1.2011.10.4.2.2.1.14</oid>
</param>
<param>
<name>Src Mac</name>
<oid>1.3.6.1.4.1.2011.10.4.2.2.1.12</oid>
</param>
</params>
<templ>
“Duplicate address $(IP2)on $(Vlan),sourced by $(Src Mac)”
</templ>
</syslog>
可以看出,该APR自动检测IP地址冲突类syslog的摘要字段为“DUPIFIP(1)”,升级成的告警的OID为“1.3.6.1.4.1.2011.10.4.2.2.2.0.1”,用户关注参数有三个:IP2、VLAN和Src Mac,其中,IP2的OID为1.3.6.1.4.1.2011.10.4.2.2.1.10,VLAN的OID为1.3.6.1.4.1.2011.10.4.2.2.1.14,Src Mac的OID为1.3.6.1.4.1.2011.10.4.2.2.1.12,且,IP2在syslog中的字符串“Duplicate address”和“on”之间,Vlan在字符串“on”和“,sourced by”之间,Src Mac在字符串“,sourced by”之后。
步骤204:确定该类syslog的告警过滤规则,将该告警过滤规则采用通用syslog告警过滤模板注册。
例如:APR自动检测IP地址冲突类syslog的告警过滤规则采用通用syslog告警过滤模板注册如下:
<rules>
<rule>
<digest>DUPIFIP(1)</digest>
<interval>100</interval>
<threshold>10</threshold>
<params>
<param>
<param_name>IP2</param_name>
<param_value>192.168.1.0</param_value>
<comp_flag>1</comp_flag>
<indep_flag>0</indep_flag>
</param>
<param>
<param_name>VLAN</param_name>
<param_value>10</param_value>
<comp_flag>1</comp_flag>
<indep_flag>0</indep_flag>
</param>
<param>
<param_name>Src MAC</param_name>
<param_value>00-16-ec-6a-70-9a</param_value>
<comp_flag>1</comp_flag>
<indep_flag>0</indep_flag>
</param>
</rule>
<!--以下为其余规则-->
</>rules
可以看出:该APR自动检测IP地址冲突类syslog的摘要字段为“DUPIFIP(1)”,告警过滤周期为100s,告警生成阈值为10,告警过滤匹配方式为组合匹配方式,其中,用户关注参数IP2的告警范围为:192.168.1.0~192.168.1.255,VLAN的告警值为10,Src MAC的告警值为00-16-ec-6a-70-9a。即:对于在某个100s的告警过滤周期内收到的所有APR自动检测IP地址冲突类syslog来说,若IP2落在192.168.1.0~192.168.1.255范围内的次数Ca、VLAN等于10的次数Cb、Src MAC等于00-16-ec-6a-70-9a的次数Cc之和不小于10,则生成告警。
步骤205:接收一条syslog。
步骤206:在已注册的syslog内容中,查找与该收到的syslog的摘要字段匹配的syslog内容及告警OID,根据该syslog内容中的用户关注参数的名称及用户关注参数在syslong中的位置,从收到的syslog中取出各用户关注参数的值。
若在已注册的syslog内容中未查找到与收到的syslog的摘要字段匹配的syslog内容及告警OID,则确定该类syslog未被注册,直接按照现有技术对收到的syslog进行处理如:写数据库、转发等。
步骤207:在已注册的syslog告警过滤规则中,查找与收到的syslog的摘要字段匹配的syslog告警过滤规则。
步骤208:判断收到的syslog中各用户关注参数的值是否与查找到的syslog告警过滤规则匹配,若是,执行步骤209;否则,返回步骤203或205。
步骤209:根据步骤206查找到的告警OID,生成告警,返回步骤203或205。
由于在进行告警过滤时,不同类型的syslog的告警过滤匹配方式可能不同,以下对本发明进行进一步详细说明。
图3为本发明实施例二提供的syslog升级告警的流程图,如图3所示,其具体步骤如下:
步骤301~307与步骤201~207相同。
对于查找到的每条告警过滤规则,分别执行步骤308~320:
每类syslog可能包含多条告警过滤规则,只要满足任意一条规则,就生成告警。
步骤308:依次判断从收到的syslog中取出的各用户关注参数的值是否与当前告警过滤规则中该用户关注参数的告警值匹配,若是,执行步骤309;否则,执行步骤310。
步骤309:将该用户关注参数针对当前告警过滤规则的告警过滤匹配次数即:满足告警条件的次数加1。
实际上是记录告警过滤规则名称、用户关注参数的OID、告警过滤匹配次数的对应关系。
步骤310:判断是否针对当前告警过滤规则的所有用户关注参数都已匹配完毕,若是,执行步骤312;否则,执行步骤311。
步骤311:转至下一个用户关注参数,返回步骤308。
步骤312:判断该类syslog的当前告警过滤周期是否已结束,若是,执行步骤318;否则,执行步骤313。
步骤313:判断当前告警过滤规则中的告警过滤匹配方式为组合匹配方式还是单独匹配方式,若为组合匹配方式,执行步骤314;若为单独匹配方式,执行步骤316。
步骤314:判断所有用户关注参数针对当前告警过滤规则的过滤匹配次数之和是否不小于syslog告警过滤匹配规则中的告警生成阈值,若是,执行步骤315;否则,转至步骤318。
步骤315:根据步骤306查找到的告警OID,生成告警,同时将所有用户关注参数针对当前告警过滤规则的过滤匹配次数之和上报给用户,转至步骤318。
步骤316:判断是否有用户关注参数针对当前告警过滤规则的过滤匹配次数不小于syslog告警过滤匹配规则中的告警生成阈值,若是,执行步骤317;否则,转至步骤318。
步骤317:根据步骤306查找到的告警OID,生成告警,同时将针对当前告警过滤规则的不小于当前告警过滤匹配规则中的告警生成阈值的用户关注参数名称、参数值上报给用户,执行步骤318。
步骤318:按照现有技术对收到的syslog进行其它处理如:写数据库、转发等。
在实际应用中,在每个告警过滤周期内,针对同一类syslog的同一告警过滤规则,可能会多次生成告警。由于同一原因频繁地生成告警,不仅增加了系统处理负担,且对于用户来说也是不必要的。通常对于同一类syslog的每条告警过滤规则,在一个告警过滤周期内最多只需生成一次告警,因此,可通过以下方式对图3所示实施例进行优化:
预先设置一个已生成告警列表,用于记录在其当前告警过滤周期内已生成过告警的syslog的摘要字段与告警过滤规则名称的对应关系,并在每类syslog的告警过滤周期开始时,清空该列表中的该类syslog的摘要字段与所有告警过滤规则名称的对应关系。
同时,在步骤315或317中,在生成告警之前,判断该syslog的摘要字段和告警过滤规则名称是否已出现在已生成告警列表中,若是,则确定在当前告警过滤周期内针对该告警过滤规则已生成过告警,则直接转至步骤318;否则,继续执行原步骤315或317。且,在原步骤315和317中还需在已生成告警列表中记录当前syslog的摘要字段和当前告警过滤规则名称的对应关系,以表示该syslog在当前告警过滤周期内针对当前告警过滤规则已生成过告警。
图4为本发明实施例提供的syslog升级为告警的系统组成图,如图4所示,其只要包括:模板定义模块41、注册模块42和告警处理模块43,其中:
模板定义模块41:定义通用syslog格式模板和通用syslog告警过滤规则模板。
注册模块42:当新增了一类syslog,采用通用syslog格式模块注册该syslog的内容及告警OID,采用通用syslog告警过滤规则模板注册该syslog的告警过滤规则。
告警处理模块43:当接收到一条syslog,根据已注册的该类syslog的内容,从收到的该syslog中读取用户关注参数信息,将用户关注参数信息分别与已注册的该类syslog的各告警过滤规则匹配,若匹配上,根据已注册的该类syslog的告警OID生成告警。
模板定义模块41可包括:通用syslog格式模板定义模块和通用syslog告警过滤规则模板定义模块,其中:
通用syslog格式模板定义模块:定义通用syslog格式模板,该模板包括:syslog的摘要字段、告警OID、syslog中各用户关注参数的名称、OID及在syslog中的位置信息。
通用syslog告警过滤规则模板定义模块:定义通用syslog告警过滤规则模板,该模板包括:syslog的摘要字段、syslog中各用户关注参数的名称、各用户关注参数的告警值、告警生成阈值。
通用syslog告警过滤规则模板还可包括:告警过滤匹配方式。
如图5所示,告警处理模块43可包括:解析模块431和告警过滤模块432,其中:
解析模块431:当接收一条syslog,解析该syslog,根据解析出的摘要字段,查找到已注册的该类syslog的内容和告警OID,根据syslog内容中的各用户关注参数的名称、OID及在syslog中的位置,从收到的syslog中读取各用户关注参数的值,将各用户关注参数值和摘要字段发送给告警过滤模块432。
告警过滤模块432:根据解析模块431发来的摘要字段查找到该类syslog的各告警过滤规则,对于该类系统日志的每条告警过滤规则,将从解析模块431发来的各用户关注参数的值分别与该告警过滤规则中该用户关注参数的告警值匹配,记录各用户关注参数针对该告警过滤规则的过滤匹配次数,若各用户关注参数针对该告警过滤规则的过滤匹配次数达到该告警过滤规则中的告警生成阈值,根据已注册的该类syslog的告警OID,生成告警。
告警过滤模块432可包括:匹配方式判断模块4321和过滤模块4322,其中:
匹配方式判断模块4321:接收解析模块431发来的摘要字段,根据该摘要字段从syslog告警过滤规则模板中读取各告警过滤规则的告警过滤匹配方式,将该各告警过滤规则的告警过滤匹配方式发送给过滤模块4322。
过滤模板4322:接收解析模块431发来的摘要字段和各用户关注参数值,接收匹配方式判断模块4321发来的各告警过滤规则的告警过滤匹配方式,当当前告警过滤规则的告警过滤匹配方式为组合过滤匹配方式时,若所有用户关注参数针对当前告警过滤规则的过滤匹配次数之和不小于当前告警过滤规则中的告警生成阈值,则生成告警;当当前告警过滤规则的告警过滤匹配方式为组合过滤匹配方式时,若有任何用户关注参数针对当前告警过滤规则的过滤匹配次数不小于当前告警过滤规则中的告警生成阈值,则生成告警。
告警处理模块43还可包括:已生成告警syslog记录模块,记录在其告警过滤周期内已生成过告警的syslog的摘要字段和告警过滤规则名称的对应关系,并在每类syslog的告警过滤周期开始时,删除该syslog的摘要字段与所有告警过滤规则名称的对应关系。
对应地,告警过滤模块432在生成告警时,在已生成告警syslog记录模块中记录该syslog的摘要字段和当前告警过滤规则名称的对应关系。且,在生成告警之前判断该syslog的摘要字段和当前告警过滤规则名称是否已记录在已生成告警syslog记录模块中,若是,则直接采用现有技术对syslog进行写数据库、转发等处理,而不生成告警;否则,生成告警。
在实际应用中,图4所示系统还可包括:告警过滤周期监测模块,用于从已注册的每类syslog的告警过滤规则模板中获取每类syslog的告警过滤周期,在每类syslog的告警过滤周期开始时,通知已生成告警syslog记录模块。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1、一种系统日志升级为告警的方法,其特征在于,包括:
当新增了一类系统日志时,采用预定的通用系统日志格式模块注册该类系统日志的内容及告警对象标识符OID,采用预定的通用系统日志告警过滤规则模板注册该类系统日志的告警过滤规则;
当接收到一条系统日志时,根据已注册的该类系统日志的内容,从收到的该系统日志中读取用户关注参数信息,将用户关注参数信息分别与已注册的该类系统日志的各告警过滤规则匹配,若匹配上,则根据已注册的该类系统日志对应的告警OID生成告警。
2、如权利要求1所述的方法,其特征在于,所述通用系统日志格式模板包括:
系统日志的摘要字段、告警OID、系统日志中各用户关注参数的名称、OID及在系统日志中的位置信息。
3、如权利要求2所述的方法,其特征在于,所述通用系统日志告警过滤规则模板包括:
系统日志的摘要字段、系统日志中各用户关注参数的名称、各用户关注参数的告警值、告警生成阈值。
4、如权利要求3所述的方法,其特征在于,所述通用系统日志告警过滤规则模板进一步包括:告警过滤匹配方式。
5、如权利要求4所述的方法,其特征在于,所述根据已注册的该类系统日志的内容,从收到的系统日志中读取各用户关注参数信息包括:
根据收到的系统日志的摘要字段,查找到已注册的该类系统日志的告警OID、各用户关注参数的名称、OID及在系统日志中的位置,根据各用户关注参数在系统日志中的位置,从收到的系统日志中读取各用户关注参数的值。
6、如权利要求5所述的方法,其特征在于,所述将用户关注参数信息分别与已注册的该类系统日志的各告警过滤规则匹配包括:
对于该类系统日志的每条告警过滤规则,将从收到的系统日志中读取的各用户关注参数的值分别与该告警过滤规则中该用户关注参数的告警值匹配,若匹配上,则将该用户关注参数针对该告警过滤规则的过滤匹配次数加1,当所有用户关注参数都匹配时,判断各用户关注参数针对该告警过滤规则的过滤匹配次数是否已达到该告警过滤规则中的告警生成阈值,若达到,则根据已注册的该类系统日志对应的告警OID,生成告警。
7、如权利要求6所述的方法,其特征在于,所述判断各用户关注参数的过滤匹配次数是否已达到该告警过滤规则中的告警生成阈值包括:
当该告警过滤规则中的过滤匹配方式为组合过滤匹配方式时,若所有用户关注参数针对该告警过滤规则的过滤匹配次数之和不小于该告警过滤规则中的告警生成阈值,则执行所述生成告警的动作;
当该告警过滤规则中的过滤匹配方式为单独过滤匹配方式时,若有任何用户关注参数针对该告警过滤规则的过滤匹配次数不小于该告警过滤规则中的告警生成阈值,则执行所述生成告警的动作。
8、如权利要求1所述的方法,其特征在于,所述生成告警之前进一步包括:
判断该类系统日志的当前告警过滤周期是否结束,若是,不生成告警;否则,执行所述生成告警的动作。
9、如权利要求1所述的方法,其特征在于,所述生成告警之前进一步包括:判断在当前告警过滤周期内该类系统日志针对当前告警过滤规则是否已生成过告警,若否,则执行所述生成告警的动作。
10、一种系统日志升级为告警的系统,其特征在于,包括:
模板定义模块,定义通用系统日志格式模板和通用系统日志告警过滤规则模板;
注册模块,新增了一类系统日志,采用通用系统日志格式模块注册该系统日志的内容及告警对象标识符OID,采用通用系统日志告警过滤规则模板注册该系统日志的告警过滤规则;
告警处理模块,接收一条系统日志,根据已注册的该类系统日志的内容,从收到的该系统日志中读取用户关注参数信息,将用户关注参数信息分别与已注册的该类系统日志的各告警过滤规则匹配,若匹配上,根据已注册的该类系统日志的告警OID生成告警。
11、如权利要求10所述的系统,其特征在于,所述模板定义模块包括:
通用系统日志格式模板定义模块,定义通用系统日志格式模板,该模板包括:系统日志的摘要字段、告警OID、系统日志中各用户关注参数的名称、OID及在系统日志中的位置信息;
通用系统日志告警过滤规则模板定义模块,定义通用系统日志告警过滤规则模板,该模板包括:系统日志的摘要字段、系统日志中各用户关注参数的名称、各用户关注参数的告警值、告警生成阈值。
12、如权利要求11所述的系统,其特征在于,所述通用系统日志告警过滤规则模板定义模块中定义的通用系统日志告警过滤规则模板进一步包括:告警过滤匹配方式。
13、如权利要求10至12任一所述的系统,其特征在于,所述告警处理模块包括:
解析模块,接收一条系统日志,解析该系统日志,根据解析出的摘要字段,查找到已注册的该类系统日志的内容和告警OID,根据系统日志内容中的各用户关注参数的名称、OID及在系统日志中的位置,从收到的系统日志中读取各用户关注参数的值,将各用户关注参数值和摘要字段发送出去;
告警过滤模块,根据解析模块发来的摘要字段查找到该类系统日志的各告警过滤规则,对于该类系统日志的每条告警过滤规则,将从解析模块发来的各用户关注参数的值分别与该告警过滤规则中该用户关注参数的告警值匹配,记录各用户关注参数针对该告警过滤规则的过滤匹配次数,若各用户关注参数针对该告警过滤规则的过滤匹配次数达到该告警过滤规则中的告警生成阈值,根据已注册的该类系统日志对应的告警OID,生成告警。
14、如权利要求13所述的系统,其特征在于,所述告警过滤模块包括:
匹配方式判断模块,接收解析模块发来的摘要字段,根据该摘要字段从系统日志告警过滤规则模板中读取各告警过滤规则的告警过滤匹配方式,将该告警过滤匹配方式发送出去;
过滤模块,接收解析模块发来的摘要字段和各用户关注参数值,接收匹配方式判断模块发来的各告警过滤规则的告警过滤匹配方式,当当前告警过滤规则的告警过滤匹配方式为组合过滤匹配方式时,若所有用户关注参数针对当前告警过滤规则的过滤匹配次数之和不小于该告警过滤规则中的告警生成阈值,则生成告警;当为单独过滤匹配方式时,若有任何用户关注参数针对当前告警过滤规则的过滤匹配次数不小于该告警过滤规则中的告警生成阈值,则生成告警。
15、如权利要求13所述的系统,其特征在于,所述告警处理模块进一步包括:已生成告警系统日志记录模块,记录在其告警过滤周期内已生成过告警的系统日志的摘要字段和告警过滤规则标识的对应关系,并在每类系统日志的告警过滤周期开始时,删除该系统日志的摘要字段与所有告警过滤规则标识的对应关系,
且,所述告警过滤模块进一步用于,在生成告警之前,判断该系统日志的摘要字段和当前告警过滤规则标识是否已记录在已生成告警系统日志记录模块中,若否,则生成告警;且,在生成告警时,在已生成告警系统日志记录模块中记录该系统日志的摘要字段和当前告警过滤规则标识的对应关系。
16、如权利要求15所述的系统,其特征在于,所述系统进一步包括:
告警过滤周期监测模块,用于从已注册的每类系统日志的告警过滤规则模板中获取每类系统日志的告警过滤周期,在每类系统日志的告警过滤周期开始时,通知已生成告警系统日志记录模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101142803A CN101291256B (zh) | 2008-06-02 | 2008-06-02 | 系统日志升级为告警的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101142803A CN101291256B (zh) | 2008-06-02 | 2008-06-02 | 系统日志升级为告警的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101291256A true CN101291256A (zh) | 2008-10-22 |
| CN101291256B CN101291256B (zh) | 2011-02-09 |
Family
ID=40035351
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101142803A Expired - Fee Related CN101291256B (zh) | 2008-06-02 | 2008-06-02 | 系统日志升级为告警的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101291256B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594598A (zh) * | 2012-02-16 | 2012-07-18 | 浪潮(北京)电子信息产业有限公司 | 一种日志管理系统及其实现方法 |
| CN103034802A (zh) * | 2012-11-29 | 2013-04-10 | 广东全通教育股份有限公司 | 一种基于智能规则匹配的自动巡检系统及方法 |
| CN103501234A (zh) * | 2013-07-17 | 2014-01-08 | 国电南瑞科技股份有限公司 | 一种电力系统多应用告警的通用处理方法 |
| CN103944761A (zh) * | 2014-04-18 | 2014-07-23 | 深圳芯智汇科技有限公司 | Android日志信息过滤方法及系统 |
| CN105528280A (zh) * | 2015-11-30 | 2016-04-27 | 中电科华云信息技术有限公司 | 系统日志与健康监控关系决定日志告警等级的方法及系统 |
| CN106385331A (zh) * | 2016-09-08 | 2017-02-08 | 努比亚技术有限公司 | 一种基于日志的监控告警方法及系统 |
| CN108170580A (zh) * | 2017-11-22 | 2018-06-15 | 链家网(北京)科技有限公司 | 一种基于规则的日志报警方法、装置及系统 |
| CN104038466B (zh) * | 2013-03-05 | 2018-09-21 | 中国银联股份有限公司 | 用于云计算环境的入侵检测系统、方法及设备 |
| CN109117181A (zh) * | 2018-07-24 | 2019-01-01 | 郑州云海信息技术有限公司 | 一种标识的生成方法及装置 |
| CN109189807A (zh) * | 2018-09-13 | 2019-01-11 | 北京奇虎科技有限公司 | 一种报警数据的过滤方法和装置 |
| CN111092758A (zh) * | 2019-12-06 | 2020-05-01 | 上海上讯信息技术股份有限公司 | 降低告警及恢复误报的方法、装置及电子设备 |
| CN111832260A (zh) * | 2020-05-26 | 2020-10-27 | 国电南瑞南京控制系统有限公司 | 一种syslog日志到电力系统通用告警日志的转换方法 |
| CN112463553A (zh) * | 2020-12-18 | 2021-03-09 | 杭州立思辰安科科技有限公司 | 一种基于普通告警关联分析智能告警的系统与方法 |
| CN113810242A (zh) * | 2020-06-16 | 2021-12-17 | 中盈优创资讯科技有限公司 | 系统日志分析方法及装置 |
| CN115913885A (zh) * | 2022-12-21 | 2023-04-04 | 中盈优创资讯科技有限公司 | 一种可自定义的告警订阅转发方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100388698C (zh) * | 2001-10-19 | 2008-05-14 | 上海贝尔有限公司 | 用于数字数据网接入模块的管理指配控件及其控制方法 |
| CN100484028C (zh) * | 2005-12-22 | 2009-04-29 | 杭州华三通信技术有限公司 | 一种下发命令的方法和系统 |
-
2008
- 2008-06-02 CN CN2008101142803A patent/CN101291256B/zh not_active Expired - Fee Related
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594598A (zh) * | 2012-02-16 | 2012-07-18 | 浪潮(北京)电子信息产业有限公司 | 一种日志管理系统及其实现方法 |
| CN103034802A (zh) * | 2012-11-29 | 2013-04-10 | 广东全通教育股份有限公司 | 一种基于智能规则匹配的自动巡检系统及方法 |
| CN103034802B (zh) * | 2012-11-29 | 2015-10-28 | 广东全通教育股份有限公司 | 一种基于智能规则匹配的自动巡检系统及方法 |
| CN104038466B (zh) * | 2013-03-05 | 2018-09-21 | 中国银联股份有限公司 | 用于云计算环境的入侵检测系统、方法及设备 |
| CN103501234A (zh) * | 2013-07-17 | 2014-01-08 | 国电南瑞科技股份有限公司 | 一种电力系统多应用告警的通用处理方法 |
| CN103944761A (zh) * | 2014-04-18 | 2014-07-23 | 深圳芯智汇科技有限公司 | Android日志信息过滤方法及系统 |
| CN103944761B (zh) * | 2014-04-18 | 2018-01-26 | 深圳芯智汇科技有限公司 | Android日志信息过滤方法及系统 |
| CN105528280A (zh) * | 2015-11-30 | 2016-04-27 | 中电科华云信息技术有限公司 | 系统日志与健康监控关系决定日志告警等级的方法及系统 |
| CN106385331A (zh) * | 2016-09-08 | 2017-02-08 | 努比亚技术有限公司 | 一种基于日志的监控告警方法及系统 |
| CN108170580A (zh) * | 2017-11-22 | 2018-06-15 | 链家网(北京)科技有限公司 | 一种基于规则的日志报警方法、装置及系统 |
| CN109117181A (zh) * | 2018-07-24 | 2019-01-01 | 郑州云海信息技术有限公司 | 一种标识的生成方法及装置 |
| CN109189807A (zh) * | 2018-09-13 | 2019-01-11 | 北京奇虎科技有限公司 | 一种报警数据的过滤方法和装置 |
| CN111092758A (zh) * | 2019-12-06 | 2020-05-01 | 上海上讯信息技术股份有限公司 | 降低告警及恢复误报的方法、装置及电子设备 |
| CN111832260A (zh) * | 2020-05-26 | 2020-10-27 | 国电南瑞南京控制系统有限公司 | 一种syslog日志到电力系统通用告警日志的转换方法 |
| CN111832260B (zh) * | 2020-05-26 | 2024-03-26 | 国电南瑞南京控制系统有限公司 | 一种syslog日志到电力系统通用告警日志的转换方法 |
| CN113810242A (zh) * | 2020-06-16 | 2021-12-17 | 中盈优创资讯科技有限公司 | 系统日志分析方法及装置 |
| CN112463553A (zh) * | 2020-12-18 | 2021-03-09 | 杭州立思辰安科科技有限公司 | 一种基于普通告警关联分析智能告警的系统与方法 |
| CN115913885A (zh) * | 2022-12-21 | 2023-04-04 | 中盈优创资讯科技有限公司 | 一种可自定义的告警订阅转发方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101291256B (zh) | 2011-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101291256B (zh) | 系统日志升级为告警的方法及系统 | |
| US8789182B2 (en) | Security event logging in process control | |
| Stallings | SNMP, SNMPv2, SNMPv3, and RMON 1 and 2 | |
| Caselli et al. | Specification mining for intrusion detection in networked control systems | |
| EP2033370B1 (en) | Service-centric communication network monitoring | |
| CN110460521A (zh) | 一种边缘计算软网关 | |
| CN111327662B (zh) | 一种异构物联网平台的通信方法及管理装置 | |
| CN112350846B (zh) | 一种智能变电站的资产学习方法、装置、设备及存储介质 | |
| CN103618692A (zh) | 一种构建日志快速匹配的方法 | |
| CN102356413A (zh) | 网络系统 | |
| CN102546442A (zh) | 通信协议转换技术 | |
| CN101707608A (zh) | 应用层协议自动化测试方法及装置 | |
| CN101159614A (zh) | 一种实现对设备进行统一管理的网关及方法 | |
| US11689573B2 (en) | Multi-layered policy management | |
| CN106452839A (zh) | 一种消息上报方法及装置 | |
| CN112751733A (zh) | 一种链路检测方法、装置、设备、系统及交换机 | |
| CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN105099916A (zh) | 开放流路由交换设备及其对数据报文的处理方法 | |
| JP2011034181A (ja) | 遠隔監視又は遠隔操作のための異種通信サーバーシステム | |
| CN109981388A (zh) | 一种监控设备的方法和装置 | |
| CN101202672A (zh) | 一种网络运行指标实现方法、系统及装置 | |
| CN115150207A (zh) | 工业网络设备识别方法、装置、终端设备及存储介质 | |
| KR20180074128A (ko) | 차량 게이트웨이용 진단 메시지 라우팅 시스템 및 방법 | |
| CN105139599A (zh) | 一种社区报警方法及系统 | |
| US20020188715A1 (en) | System and method for processing unsolicited messages |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110209 Termination date: 20200602 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |