CN103138989B - 一种海量日志分析系统及方法 - Google Patents
一种海量日志分析系统及方法 Download PDFInfo
- Publication number
- CN103138989B CN103138989B CN201310058332.0A CN201310058332A CN103138989B CN 103138989 B CN103138989 B CN 103138989B CN 201310058332 A CN201310058332 A CN 201310058332A CN 103138989 B CN103138989 B CN 103138989B
- Authority
- CN
- China
- Prior art keywords
- module
- node
- management
- log
- journal file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种海量日志分析系统及方法,该系统包括任务结点集群、管理结点和数据库;其中该任务结点集群包括至少一个任务结点,用于海量日志文件的分布式采集、存储和分析,该管理结点用于制定采集策略,对所述任务结点集群实施调度管理,完成分布式存储和分析,并由该管理结点将最终的日志分析结果和审计信息写入所述数据库。本发明可以在大型网络环境中对海量日志进行高效的分析和存储,提高了利用日志进行安全审计的可靠性和有效性。
Description
技术领域
本发明有关一种日志分析系统及方法,特别是指一种在大型复杂网络中对海量日志分析的系统及方法。
背景技术
当前,针对网络环境中关键信息资源的威胁数量和类型都在急剧上升,如何及时对网络攻击行为做出主动反应,是网络安全领域近年来的研究热点。通过分析日志文件对网络安全态势进行评估已得到越来越广泛的认可。然而,当前的日志分析系统通常由日志采集代理和分析管理系统组成,可对数据量较小的日志进行安全分析,但面对大型、复杂网络中的海量日志文件,其以工具形态工作的方式无法较好地胜任采集与分析任务,并且缺乏对整体日志数据的综合分析,无法使网络成为一个整体来应对安全事件;而且大型网络中,由于网络的复杂性,由其他网络安全设备、负载均衡设备带来诸多的不确定因素,也需要采集、分析能力更为强劲,部署更为灵活的日志分析系统。
发明内容
有鉴于此,本发明的主要目的在于提供一种在大型复杂网络中对海量日志文件分析的系统及方法。
为达到上述目的,本发明提供一种海量日志分析系统,其包括任务结点集群、管理结点和数据库;其中该任务结点集群包括至少一个任务结点,用于海量日志文件的分布式采集、存储和分析,该管理结点用于制定采集策略,对所述任务结点集群实施调度管理,完成分布式存储和分析,并由该管理结点将最终的日志分析结果和审计信息写入所述数据库。
单个所述任务结点负责至少一个目标对象的日志文件采集和本地存储,并接受所述管理结点的调度完成分布式存储和分析,所述任务结点的功能模块,包括日志采集模块、日志存储模块、日志预处理模块、日志分析模块和管理配置模块,该日志存储模块包括具有本地使用空间的本地存储管理模块与具有分布式文件系统空间的分布式存储管理模块。
所述管理结点是日志采集与分析的控制中心,该管理结点的功能模块包括采集策略模块、接收管理模块、结点调度模块和存储管理模块。
每个所述任务结点通过所述配置管理模块接收采集任务、设置采集的目标对象,所述日志采集模块采集日志文件,将采集的原始日志文件由所述本地存储管理模块存储于本地存储空间,所述分布式存储管理模块接受所述管理结点的调度,用于将管理结点分配的日志数据存储至所述分布式文件系统空间,实现海量日志文件的分布式存储;所述日志预处理模块将采集并存储于所述本地存储空间中的日志文件进行预处理;所述日志分析模块组成的分布式分析系统,在所述管理结点的调度下分析存储在所述分布式文件系统空间中的海量日志文件,识别安全事件,形成分布式分析结果;所述配置管理模块接受管理结点的调度管理,接收下发的任务并将预处理后的日志文件提交给所述管理结点。
所述采集策略模块制定采集方案,由所述结点调度模块向所述任务结点集群下发采集任务并调度执行;所述任务结点集群完成采集并提交后,所述接收管理模块接收任务结点集群提交的日志文件,由所述结点调度模块调度任务结点集群将日志文件分布式存储及分析,并由所述接收管理模块接收分析结果;所述存储管理模块将任务结点集群提交的分析结果存入所述数据库。
所述管理结点通过制定和下发的采集策略,将不同任务结点采集的属于同一集群的日志完成合并后再分析,得到完整的集群日志分析结果。
所述日志预处理模块对日志文件的预处理为过滤和格式化处理,去除那些不能体现网络安全的日志记录,并将多类型日志文件进行归一化处理,统一文件格式。
所述日志采集模块按一次性采集、手动采集或定时采集方式采集日志文件。
本发明还提供一种海量日志分析方法,该方法包括:
步骤1:由采集策略模块制定采集方案,由结点调度模块将采集任务下发至任务结点集群;
步骤2:配置管理模块接受采集任务后,日志采集模块采集日志文件,同时,本地存储管理模块将日志文件存储至本地存储空间中,日志预处理模块将日志文件进行预处理后,配置管理模块向管理结点的接收管理模块提交预处理后的日志文件;
步骤3:接收管理模块接收任务结点集群提交的日志文件后,根据采集任务判断是否需要进行集群日志合并,若不需,转到下一步;若需,则将不同任务结点采集的同集群日志文件合并后输出;
步骤4:结点调度模块调度任务结点集群的分布式存储管理模块将预处理后的日志文件分片存储于任务结点集群的分布式文件系统空间;
步骤5:结点调度模块命令任务结点的日志分析模块分析本节点分布式文件系统空间中的日志文件;
步骤6:配置管理模块向管理结点的接收管理模块提交分析结果;
步骤7:存储管理模块将分析结果统一存入数据库,步骤结束。
本发明可以在大型网络环境中对海量日志进行高效的分析和存储,提高了利用日志进行安全审计的可靠性和有效性。
附图说明
图1为本发明海量日志分析系统的组成示意图;
图2为图1所示系统的任务结点组成示意图;
图3为图1所示系统的管理结点组成示意图;
图4为本发明海量日志分析系统分析流程示意图。
具体实施方式
为便于对本发明的方法及系统以及达到的效果有进一步的了解,现结合附图并举较佳实施例详细说明如下。
图1为本发明海量日志分析系统组成示意图。如图1所示,海量日志分析系统包括任务结点集群100、管理结点200和数据库300;其中该任务结点集群100包括至少一个任务结点101,用于海量日志文件的分布式采集、存储和分析,该管理结点200用于制定采集策略,对任务结点集群100实施调度管理,完成分布式存储和分析,并由管理结点200将最终的日志分析结果和审计信息写入数据库300。
图2为图1所示海量日志分析系统的任务结点组成示意图。本发明中的单个任务结点101负责一个或多个目标对象的日志文件采集和本地存储,并接受管理结点200的调度完成分布式存储和分析;如图2所示,海量日志分析系统的任务结点101,其功能模块,包括日志采集模块M11、日志存储模块M12、日志预处理模块M13、日志分析模块M14和管理配置模块M15。该日志存储模块M12包括具有本地使用空间S1的本地存储管理模块M121与具有分布式文件系统空间S2的分布式存储管理模块M122。
图3为图1所示海量日志分析系统的管理结点组成示意图。如图3所示,海量日志分析系统的管理结点200,其功能模块,包括采集策略模块M21、接收管理模块M22、结点调度模块M23和存储管理模块M24。
所述任务结点集群100,用于执行采集、存储和分析任务。每个任务结点101通过配置管理模块M15接收采集任务、设置采集的目标对象后,日志采集模块M11按一次性采集、手动采集或定时采集等方式采集日志文件,原始日志文件由本地存储管理模块M121存储于本地存储空间S1,分布式存储管理模块M122接受所述管理结点200的结点调度模块M23的调度,用于将管理结点200分配的日志数据存储至分布式文件系统空间S2,实现海量日志文件的分布式存储;日志预处理模块M13将采集并存储于本地存储空间S1中的日志文件进行过滤和格式化处理,去除那些不能体现网络安全的日志记录,如图片、视频等网络资源的访问记录,并将多类型日志文件进行归一化处理,统一文件格式;日志分析模块M14组成的分布式分析系统,将在管理结点200的结点调度模块M23的调度下根据预设规则分析存储在分布式文件系统空间S2中的海量日志文件,识别安全事件,形成分布式分析结果;所述配置管理模块M15接受管理结点200的结点调度模块M23的调度管理,接收下发的任务并将处理后的日志文件提交给管理结点200的接收管理模块M22。
所述管理结点200,是日志采集与分析的控制中心。通过采集策略模块M21制定采集方案后,由结点调度模块M23向任务结点集群100下发采集任务并调度执行;待任务结点集群100完成采集并提交后,接收管理模块M22接收任务结点集群100提交的日志文件,由结点调度模块M23调度任务结点集群100将日志文件分布式存储及分析,并由接收管理模块M22接收分析结果;存储管理模块M24将任务结点集群100提交的分析结果存入数据库300。管理结点200通过制定和下发的采集策略,可将不同任务结点101采集的属于同一集群的日志完成合并后再分析,得到完整的集群日志分析结果。
所述数据库300,是海量日志分析结果的存储中心,由管理结点200的存储管理模块M24将日志分析结果写入数据库。
图4为本发明海量日志文件分析流程示意图。如图4所示,海量日志文件分析流程如下:
步骤A1:由采集策略模块M21制定采集方案,由结点调度模块M23将采集任务下发至任务结点集群100;
步骤A2:配置管理模块M15接受采集任务后,日志采集模块M11采集日志文件,同时,本地存储管理模块M121将日志文件存储至本地存储空间S1中,日志预处理模块M13将日志文件进行预处理后,配置管理模块M15向管理结点200的接收管理模块M22提交预处理后的日志文件;
步骤A3:接收管理模块M22接收任务结点集群100提交的日志文件后,根据采集任务判断是否需要进行集群日志合并,若不需,转到下一步;若需,则将不同任务结点101采集的同集群日志文件合并后输出;
步骤A4:结点调度模块M23调度任务结点集群100的分布式存储管理模块M122将预处理后的日志文件分片存储于任务结点集群100的分布式文件系统空间S2;
步骤A5:结点调度模块M23命令任务结点的日志分析模块M14分析本节点分布式文件系统空间S2中的日志文件;
步骤A6:配置管理模块M15向管理结点200的接收管理模块M22提交分析结果;
步骤A7:存储管理模块M24将分析结果统一存入数据库300,步骤结束。
总之,本发明解决了大型网络环境中海量日志的高效分析和存储,提高了利用日志进行安全审计的可靠性和有效性。
以上所描述的实施例仅是本发明的较佳实施例,并非用于限定本发明的保护范围。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
Claims (6)
1.一种海量日志分析系统,其特征在于,其包括任务结点集群、管理结点和数据库;其中该任务结点集群包括至少一个任务结点,用于海量日志文件的分布式采集、存储和分析,该管理结点用于制定采集策略,对所述任务结点集群实施调度管理,完成分布式存储和分析,并由该管理结点将最终的日志分析结果和审计信息写入所述数据库;
单个所述任务结点负责至少一个目标对象的日志文件采集和本地存储,并接受所述管理结点的调度完成分布式存储和分析,所述任务结点的功能模块,包括日志采集模块、日志存储模块、日志预处理模块、日志分析模块和配置管理模块,该日志存储模块包括具有本地使用空间的本地存储管理模块与具有分布式文件系统空间的分布式存储管理模块;
每个所述任务结点通过所述配置管理模块接收采集任务、设置采集的目标对象,所述日志采集模块采集日志文件,将采集的原始日志文件由所述本地存储管理模块存储于本地存储空间,所述分布式存储管理模块接受所述管理结点的调度,用于将管理结点分配的日志数据存储至所述分布式文件系统空间,实现海量日志文件的分布式存储;所述日志预处理模块将采集并存储于所述本地存储空间中的日志文件进行预处理;所述日志分析模块组成的分布式分析系统,在所述管理结点的调度下分析存储在所述分布式文件系统空间中的海量日志文件,识别安全事件,形成分布式分析结果;所述配置管理模块接受管理结点的调度管理,接收下发的任务并将预处理后的日志文件提交给所述管理结点。
2.如权利要求1所述的海量日志分析系统,其特征在于,所述管理结点是日志采集与分析的控制中心,该管理结点的功能模块包括采集策略模块、接收管理模块、结点调度模块和存储管理模块;
所述采集策略模块制定采集方案,由所述结点调度模块向所述任务结点集群下发采集任务并调度执行;所述任务结点集群完成采集并提交后,所述接收管理模块接收任务结点集群提交的日志文件,由所述结点调度模块调度任务结点集群将日志文件分布式存储及分析,并由所述接收管理模块接收分析结果;所述存储管理模块将任务结点集群提交的分析结果存入所述数据库。
3.如权利要求2所述的海量日志分析系统,其特征在于,所述管理结点通过制定和下发的采集策略,将不同任务结点采集的属于同一集群的日志完成合并后再分析,得到完整的集群日志分析结果。
4.如权利要求1所述的海量日志分析系统,其特征在于,所述日志预处理模块对日志文件的预处理为过滤和格式化处理,去除那些不能体现网络安全的日志记录,并将多类型日志文件进行归一化处理,统一文件格式。
5.如权利要求1所述的海量日志分析系统,其特征在于,所述日志采集模块按一次性采集、手动采集或定时采集方式采集日志文件。
6.一种利用权利要求2所述的海量日志分析系统进行日志分析的方法,其特征在于,该方法包括:
步骤1:由采集策略模块制定采集方案,由结点调度模块将采集任务下发至任务结点集群;
步骤2:配置管理模块接受采集任务后,日志采集模块采集日志文件,同时,本地存储管理模块将日志文件存储至本地存储空间中,日志预处理模块将日志文件进行预处理后,配置管理模块向管理结点的接收管理模块提交预处理后的日志文件;
步骤3:接收管理模块接收任务结点集群提交的日志文件后,根据采集任务判断是否需要进行集群日志合并,若不需,转到下一步;若需,则将不同任务结点采集的同集群日志文件合并后输出;
步骤4:结点调度模块调度任务结点集群的分布式存储管理模块将预处理后的日志文件分片存储于任务结点集群的分布式文件系统空间;
步骤5:结点调度模块命令任务结点的日志分析模块分析本节点分布式文件系统空间中的日志文件;
步骤6:配置管理模块向管理结点的接收管理模块提交分析结果;
步骤7:存储管理模块将分析结果统一存入数据库,步骤结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310058332.0A CN103138989B (zh) | 2013-02-25 | 2013-02-25 | 一种海量日志分析系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310058332.0A CN103138989B (zh) | 2013-02-25 | 2013-02-25 | 一种海量日志分析系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103138989A CN103138989A (zh) | 2013-06-05 |
| CN103138989B true CN103138989B (zh) | 2016-12-28 |
Family
ID=48498330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310058332.0A Active CN103138989B (zh) | 2013-02-25 | 2013-02-25 | 一种海量日志分析系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103138989B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103338260B (zh) * | 2013-07-04 | 2016-05-25 | 武汉世纪金桥安全技术有限公司 | 网络审计中url日志的分布式分析系统及分析方法 |
| CN103369054B (zh) * | 2013-07-30 | 2016-05-18 | 北京搜狐新媒体信息技术有限公司 | 一种采集任务管理方法及系统 |
| CN105579999A (zh) * | 2013-07-31 | 2016-05-11 | 慧与发展有限责任合伙企业 | 日志分析 |
| CN103532754B (zh) * | 2013-10-12 | 2016-08-17 | 北京首信科技股份有限公司 | 一种通过高速内存、分布式处理海量日志的系统及方法 |
| CN104036025A (zh) * | 2014-06-27 | 2014-09-10 | 蓝盾信息安全技术有限公司 | 一种基于分布式的海量日志采集系统 |
| CN105634845B (zh) * | 2014-10-30 | 2019-01-22 | 任子行网络技术股份有限公司 | 一种用于对海量dns日志进行多维统计分析的方法及系统 |
| CN105824837B (zh) * | 2015-01-06 | 2019-04-02 | 中国移动通信集团广东有限公司 | 一种日志处理方法及装置 |
| CN104994075A (zh) * | 2015-06-01 | 2015-10-21 | 广东电网有限责任公司信息中心 | 基于安全系统输出日志的安全事件处理方法、系统及终端 |
| CN105049232B (zh) * | 2015-06-19 | 2019-06-21 | 成都艾尔普科技有限责任公司 | 网络信息日志审计系统 |
| CN104993952A (zh) * | 2015-06-19 | 2015-10-21 | 成都艾尔普科技有限责任公司 | 网络用户行为审计与责任管理系统 |
| CN105490841B (zh) * | 2015-11-26 | 2019-03-01 | 广州华多网络科技有限公司 | 一种终端日志抓取方法、装置及系统 |
| CN106095864B (zh) * | 2016-06-03 | 2019-08-30 | 中国工商银行股份有限公司 | 一种日志处理系统及方法 |
| CN106095575B (zh) * | 2016-06-14 | 2019-02-15 | 上海浪潮云计算服务有限公司 | 一种日志审计的装置、系统和方法 |
| CN106776942B (zh) * | 2016-11-30 | 2019-10-15 | 任子行网络技术股份有限公司 | 一种网络审计日志的传输保存系统和方法 |
| CN107835080B (zh) * | 2017-11-09 | 2021-01-05 | 成都国盛天丰网络科技有限公司 | 一种分布式系统数据收集方法及数据签名生成方法 |
| CN108900505B (zh) * | 2018-06-28 | 2020-08-11 | 中国科学院软件研究所 | 一种基于区块链技术的集群审计管控方法 |
| CN109033196A (zh) * | 2018-06-28 | 2018-12-18 | 北京奇虎科技有限公司 | 一种分布式数据调度系统及方法 |
| CN109325044A (zh) * | 2018-09-20 | 2019-02-12 | 快云信息科技有限公司 | 一种数据库的审计日志处理方法及相关装置 |
| CN109474602A (zh) * | 2018-11-27 | 2019-03-15 | 武汉虹旭信息技术有限责任公司 | 一种海量数据的安全审计系统及其方法 |
| CN109445949A (zh) * | 2018-12-07 | 2019-03-08 | 武汉轻工大学 | 一种数据采集系统和数据采集方法 |
| CN116319074B (zh) * | 2023-05-12 | 2023-08-15 | 北京安博通科技股份有限公司 | 一种基于多源日志的失陷设备检测方法、装置及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101325520A (zh) * | 2008-06-17 | 2008-12-17 | 南京邮电大学 | 基于日志的智能自适应网络故障定位和分析方法 |
| CN102307111A (zh) * | 2011-09-02 | 2012-01-04 | 深圳中兴网信科技有限公司 | 一种日志分布式采集分析方法及系统 |
| CN102411533A (zh) * | 2011-08-08 | 2012-04-11 | 浪潮电子信息产业股份有限公司 | 一种集群存储系统的日志管理优化方法 |
| CN202364244U (zh) * | 2011-12-15 | 2012-08-01 | 苏州同程旅游网络科技有限公司 | 分布式日志分析系统处理装置 |
-
2013
- 2013-02-25 CN CN201310058332.0A patent/CN103138989B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101325520A (zh) * | 2008-06-17 | 2008-12-17 | 南京邮电大学 | 基于日志的智能自适应网络故障定位和分析方法 |
| CN102411533A (zh) * | 2011-08-08 | 2012-04-11 | 浪潮电子信息产业股份有限公司 | 一种集群存储系统的日志管理优化方法 |
| CN102307111A (zh) * | 2011-09-02 | 2012-01-04 | 深圳中兴网信科技有限公司 | 一种日志分布式采集分析方法及系统 |
| CN202364244U (zh) * | 2011-12-15 | 2012-08-01 | 苏州同程旅游网络科技有限公司 | 分布式日志分析系统处理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103138989A (zh) | 2013-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103138989B (zh) | 一种海量日志分析系统及方法 | |
| CN104022904B (zh) | 分布式机房it设备统一管理平台 | |
| CN107977473B (zh) | 基于Logback的分布式系统日志的检索方法和系统 | |
| CN108632111A (zh) | 一种基于日志的服务链路监控方法 | |
| CN103729446A (zh) | 一种用户操作数据的处理方法、处理装置及服务器 | |
| CN107403005A (zh) | 一种网站监控方法及装置 | |
| CN106330963A (zh) | 一种跨网络多节点日志采集的方法 | |
| CN102567531A (zh) | 一种通用的轻量级数据库状态监控方法 | |
| CN109408341A (zh) | 分布式存储系统性能监控方法、装置、设备及可读存储介质 | |
| CN107844325A (zh) | 一种分布式数据的获取方法及系统 | |
| CN104038821A (zh) | 统一收集Android电视各功能模块故障信息的方法 | |
| CN108228664B (zh) | 非结构化数据处理方法及装置 | |
| CN105824837A (zh) | 一种日志处理方法及装置 | |
| CN102495916A (zh) | 一种基于对象匹配的多应用系统全景建模方法 | |
| CN107506906A (zh) | 一种基于数据处理的任务智能调度引擎设计方法 | |
| CN111127250B (zh) | 一种电力数据监控事件分析系统及方法 | |
| CN104156299A (zh) | 一种用于并行系统的监测方法 | |
| CN103400220A (zh) | 一种网络设备信息的采集、分类以及固定标识的方法 | |
| CN102571424A (zh) | 一种工程事件处理方法、装置和系统 | |
| CN108228417A (zh) | 车联网日志处理方法及处理装置 | |
| CN202535378U (zh) | 一种检化验数据处理装置 | |
| CN111262734A (zh) | 一种网络安全事件应急处理方法 | |
| CN106250406A (zh) | 一种日志处理方法 | |
| CN104993977A (zh) | 基于iec61968标准的数据在线监测方法及系统 | |
| CN104766163A (zh) | 新闻采访管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |