CN108551444A - 一种日志处理方法、装置及设备 - Google Patents
一种日志处理方法、装置及设备 Download PDFInfo
- Publication number
- CN108551444A CN108551444A CN201810295903.5A CN201810295903A CN108551444A CN 108551444 A CN108551444 A CN 108551444A CN 201810295903 A CN201810295903 A CN 201810295903A CN 108551444 A CN108551444 A CN 108551444A
- Authority
- CN
- China
- Prior art keywords
- daily record
- node device
- record data
- event
- distributed system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本申请实施例提供了一种日志处理方法、装置及设备。该方法包括:分布式系统中的主节点设备可以获取待处理的多条日志数据,针对分布式系统中的每一节点设备,确定与节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为节点设备分配相应日志数据量的日志数据,以使节点设备将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件,获取分布式系统中每一节点设备得到的日志事件。应用本申请实施例提供的方案,能够提高处理大量日志数据时的效率,及时响应网络安全事件。
Description
技术领域
本申请涉及数据处理技术领域,特别是涉及一种日志处理方法、装置及设备。
背景技术
由于网络环境日趋复杂,网络攻击日益猖獗,企业通常会部署防火墙等各类安全设备以进行网络安全建设,以期望保持网络的正常运行。各类安全设备每天都会产生大量的日志数据,对日志数据进行分析,例如将日志数据中的特征字段与事件规则进行匹配,当特征字段的数值与事件规则中日志事件对应的特征字段匹配时,可以得到日志数据中的日志事件。在得到日志事件后,设备可以对大量日志事件进行关联分析,以对网络安全事件进行监督和预测,进一步采取相应措施,确保网络环境的安全。
由于上述日志数据的来源种类繁多,设备需要分析并处理大量的日志数据,数据量大且冗余度高,导致设备处理大量日志数据时效率较低,进而无法及时地响应网络安全事件。
发明内容
本申请实施例的目的在于提供了一种日志处理方法、装置及设备,以提高处理大量日志数据时的效率,及时响应网络安全事件。
为了达到上述目的,本申请实施例提供了一种日志处理方法,该方法应用于分布式系统中的主节点设备,所述分布式系统还包括从节点设备;所述方法包括:
获取待处理的多条日志数据;
针对所述分布式系统中的每一节点设备,确定与所述节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为所述节点设备分配所述相应日志数据量的日志数据,以使所述节点设备对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
获取所述分布式系统中每一节点设备得到的日志事件。
本申请实施例还提供了一种日志处理方法,该方法应用于分布式系统中的从节点设备,所述分布式系统还包括主节点设备;所述方法包括:
接收所述主节点设备发送的日志数据,所述日志数据的数据量为所述主节点设备根据所述从节点设备的剩余资源分配;
对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
将得到的日志事件发送至所述主节点设备。
本申请实施例还提供了一种日志处理装置,该装置应用于分布式系统中的主节点设备,所述分布式系统还包括从节点设备;所述装置包括:
获取模块,用于获取待处理的多条日志数据;
分配模块,用于针对所述分布式系统中的每一节点设备,确定与所述节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为所述节点设备分配所述相应日志数据量的日志数据,以使所述节点设备对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
所述获取模块,还用于获取所述分布式系统中每一节点设备得到的日志事件。
本申请实施例还提供了一种日志处理装置,该装置应用于分布式系统中的从节点设备,所述分布式系统还包括主节点设备;所述装置包括:
接收模块,用于接收所述主节点设备发送的日志数据,所述日志数据的日志数据量为所述主节点设备根据所述从节点设备的剩余资源分配;
匹配模块,用于对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
发送模块,用于将得到的日志事件发送至所述主节点设备。
本申请实施例还提供了一种分布式系统中的主节点设备,所述分布式系统还包括从节点设备;所述主节点设备包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现本申请实施例提供的日志处理方法。该方法包括:
获取待处理的多条日志数据;
针对所述分布式系统中的每一节点设备,确定与所述节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为所述节点设备分配所述相应日志数据量的日志数据,以使所述节点设备对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
获取所述分布式系统中每一节点设备得到的日志事件。
本申请实施例还提供了一种分布式系统中的从节点设备,所述分布式系统还包括主节点设备;所述从节点设备包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现本申请实施例提供的日志处理方法。该方法包括:
接收所述主节点设备发送的日志数据,所述日志数据的数据量为所述主节点设备根据所述从节点设备的剩余资源分配;
对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
将得到的日志事件发送至所述主节点设备。
本申请实施例还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现本申请实施例提供的日志处理方法。该方法包括:
获取待处理的多条日志数据;
针对所述分布式系统中的每一节点设备,确定与所述节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为所述节点设备分配所述相应日志数据量的日志数据,以使所述节点设备对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
获取所述分布式系统中每一节点设备得到的日志事件。
本申请实施例还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现本申请实施例提供的日志处理方法。该方法包括:
接收所述主节点设备发送的日志数据,所述日志数据的数据量为所述主节点设备根据所述从节点设备的剩余资源分配;
对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
将得到的日志事件发送至所述主节点设备。
本申请实施例提供的日志处理方法、装置及设备中,分布式系统中的主节点设备可以确定与节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为节点设备分配相应日志数据量的日志数据,节点设备对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件。由于大量的日志数据由分布式系统中的各个节点设备共同分担处理,每个节点设备均处理与自身剩余资源匹配的日志数据量,而不是由单个设备处理日志数据,因此可以提高处理大量日志数据时的效率,及时响应网络安全事件。当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种日志处理方法的流程示意图;
图2为本申请实施例提供的日志数据的一种示意图;
图3为本申请实施例提供的另一种日志处理方法的流程示意图;
图4为本申请实施例提供的分布式系统的一种应用场景示意图;
图5为本申请实施例提供的一种日志处理装置的结构示意图;
图6为本申请实施例提供的另一种日志处理装置的结构示意图;
图7为本申请实施例提供的分布式系统中的主节点设备的一种结构示意图;
图8为本申请实施例提供的分布式系统中的从节点设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了提高处理大量日志数据时的效率,及时响应网络安全事件,本申请实施例提供了一种日志处理方法、装置及设备。下面通过具体实施例,对本申请进行详细说明。
图1为本申请实施例提供的日志处理方法的一种流程示意图。该方法应用于分布式系统中的主节点设备,分布式系统还包括从节点设备,分布式系统中的从节点设备可以为一个或两个及以上。该分布式系统中各节点设备可以均安装有Spark组件、Kafka组件,以能够实现相应的功能。各个节点设备可以是虚拟主机,也可以是物理主机设备。该方法包括如下步骤S101~步骤S103:
步骤S101:获取待处理的多条日志数据。
其中,日志数据可以理解为记录设备系统操作过程的数据,日志数据可以包括字段和字段的字段内容。图2所示为日志数据的一种示意图,该图2中日志数据包括多个字段,该多个字段可以为以下至少一项:日期、应用、协议类型、源地址、来源端口(或源端口)、目的地址、目的端口。其中,第一行为日志数据的多个字段,例如“源地址”为一个字段。字段行下方的每行数据均为一条日志数据,一条日志数据中包括各个字段包含的字段内容。例如,第一条日志数据中“源地址”字段包括的字段内容为“192.168.1.2”,“来源端口”字段包括的字段内容为“80”。
本实施例中,在获取待处理的多条日志数据时,可以从用于存储日志数据的搜集设备(例如日志收集器)中获取,该搜集设备从生成日志数据的设备中获取日志数据。
日志数据的生成是源源不断的、实时的,因此会存在大量的待处理日志数据。为了方便获取大量实时生成的日志数据,搜集设备也可以是由安装有Kafka组件的设备组成的Kafka集群,通过Kafka组件的日志收集功能实时收集日志。
在获取待处理的多条日志数据时,可以从Kafka集群的消息队列中获取。
应当理解的是,当主节点设备安装Kafka组件时,主节点设备也可以进行日志收集。
步骤S102:针对分布式系统中的每一节点设备,确定与节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为节点设备分配相应日志数据量的日志数据,以使节点设备将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件。
在确定与节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据之前,还可以获取节点设备的剩余资源。
在获取节点设备的剩余资源时,当节点设备为主节点设备时,可以直接从主节点设备自身获取;当节点设备为从节点设备时,可以向从节点设备发送剩余资源获取请求,接收从节点设备发送的剩余资源。该剩余资源获取请求用于获取从节点设备的剩余资源。
其中,剩余资源用于表示节点设备的剩余处理能力,剩余资源较大,表示节点设备较空闲,节点设备还可以处理较多的日志数据,因此与节点设备剩余资源匹配的日志数据量较大;剩余资源较小,表示节点设备较繁忙,节点设备还可以处理的日志数据较少,因此与节点设备剩余资源匹配的日志数据量较小。
剩余资源可以采用CPU剩余利用率等参量来表示。CPU剩余利用率可以为1-CPU利用率。例如,当节点设备的CPU利用率为80%时,CPU剩余利用率为1-80%,为20%。
日志数据量可以采用日志数据的条数表示,也可以采用日志数据的数据量表示。例如,日志数据的数据量可以为以kB为单位的数据量。
在确定与节点设备剩余资源匹配的日志数据量时,可以从预设的剩余资源与日志数据量的对应关系中,确定与节点设备剩余资源匹配的日志数据量。例如,预设的剩余资源与日志数据量的对应关系包括:CPU剩余利用率为20%~30%时,日志数据量为30kB;CPU剩余利用率为30%~40%时,日志数据量为45kB;CPU剩余利用率为40%~50%时,日志数据量为60kB。若节点设备的CPU剩余利用率为35%,则可以确定与节点设备的CPU剩余利用率匹配的日志数据量为45kB。
以上仅为示例性的说明,对于采用其他方式进行剩余资源与日志数据量的匹配规则,应当认为是本申请实施例的变型。
为节点设备分配相应日志数据量的日志数据,以使节点设备将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件时,具体可以包括:
若节点设备为主节点设备,则将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件。
若节点设备为从节点设备,则向节点设备发送相应日志数据量的日志数据。
从节点设备接收到日志数据时,可以将每一条日志数据分别匹配事件规则,得到对应的日志事件。
其中,事件规则用于存储各个日志事件与特征字段、字段取值的对应关系,特征字段为日志数据中多个字段中的某些字段,字段取值可以理解为日志数据中特征字段的字段内容或取值。事件规则可以以文件格式存在,文件格式可以为xml或drl。日志事件可以理解为日志数据反映出的情况。日志事件对应特征字段的字段取值可以是固定的取值,也可以是取值范围。下表为事件规则的一种示例。其中,危险访问对应的特征字段(例如目的地址)的字段取值为固定的取值,即字段取值为“111.1.1.1”,限制访问对应的特征字段(例如目的地址)的字段取值为取值范围,即字段取值为“111.1.10.1~111.1.10.255”,端口限制对应的特征字段(例如目的端口)的字段取值为固定的取值,即字段取值为“80”。
特征字段 | 字段取值 | 日志事件 |
目的地址 | 111.1.1.1 | 危险访问 |
目的地址 | 111.1.10.1~111.1.10.255 | 限制访问 |
目的端口 | 80 | 端口限制 |
节点设备将接收到的每一条日志数据分别匹配事件规则时,具体可以将日志数据中的特征字段与事件规则中的特征字段进行匹配,当日志数据的特征字段与事件规则中特征字段的取值相同,或者,日志数据的特征字段处于事件规则中特征字段的取值范围内时,认为该条日志数据与事件规则匹配成功,该条日志数据匹配成功的日志事件为:事件规则中匹配成功的特征字段对应的日志事件。
例如,将图2中的第一条日志数据与上表的事件规则进行匹配,得到第一条日志数据中特征字段“目的地址”的字段内容“111.1.1.1”与事件规则中特征字段“目的地址”的字段取值“111.1.1.1”匹配成功;第一条日志数据中特征字段“目的端口”的字段内容“80”与事件规则中特征字段“目的端口”的字段取值“80”匹配成功。因此,认为第一条日志数据匹配成功的日志事件为:危险访问和端口限制。
日志数据中的特征字段可以采用以下方式确定:根据预先存储的特征字段确定日志数据中的特征字段。预先存储的特征字段可以从事件规则中得到。
例如,事件规则中存储各个日志事件与特征字段(例如,特征字段包括目的地址和目的端口)的对应关系,则预先存储的特征字段可以包括事件规则中的目的地址和目的端口,日志数据中的特征字段可以为目的地址和目的端口。
步骤S103:获取分布式系统中每一节点设备得到的日志事件。
当节点设备为主节点设备时,可以直接从主节点设备中获取得到的日志事件。当节点设备为从节点设备时,可以向从节点设备发送日志事件获取请求,接收从节点设备发送的日志事件。从节点设备发送的日志事件为:从节点设备将接收到的每一条日志数据分别匹配事件规则后得到的日志事件。
由上述内容可知,本实施例中,分布式系统中的主节点设备可以确定与节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为节点设备分配相应日志数据量的日志数据,节点设备对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件。由于大量的日志数据由分布式系统中的各个节点设备共同分担处理,每个节点设备均处理与自身剩余资源匹配的日志数据量,而不是由单个设备处理日志数据,因此可以提高处理大量日志数据时的效率,及时响应网络安全事件。
同时,根据节点设备的剩余资源确定每个节点设备的日志数据量,这样可以使各个节点设备尽可能多地处理日志数据,提高分布式系统的综合处理能力。
在本申请的另一实施例中,基于图1所示实施例,在为节点设备分配相应日志数据量的日志数据之后,还可以保存为各个节点设备对应分配的日志数据。
当接收到第一节点设备发送的日志数据获取请求时,从保存的为各个节点设备对应分配的日志数据中,确定为第一节点设备对应分配的日志数据,将确定的为第一节点设备对应分配的日志数据分配至第一节点设备。该日志数据获取请求用于获取为第一节点设备对应分配的日志数据。
第一节点设备可以为从节点设备。
当从节点设备发生硬盘损坏或者数据格式转换错误等情况时,原来接收的日志数据会发生丢失,此时从节点设备可以向主节点设备发送日志数据获取请求,并接收主节点设备响应于该日志数据获取请求所发送的日志数据。
这样,当从节点设备丢失日志数据时,可以从主节点设备中再次获取原来的日志数据,从而保证了分布式系统的较高容错性。
在本申请的另一实施例中,基于图1所示实施例,在获取待处理的多条日志数据之后,还可以将多条日志数据转换为流数据。
步骤S102中,确定与节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为节点设备分配相应日志数据量的日志数据的步骤,具体可以包括:
确定与节点设备剩余资源匹配的日志数据量,并从流数据中确定相应日志数据量的日志流数据,为节点设备分配相应日志数据量的日志流数据。
其中,流数据(Data stream)为一组顺序、大量、快速、连续到达的数据序列。
本实施例中,可以采用分布式流式处理框架Spark Streaming将多条日志数据转换为流数据。在Spark Streaming框架中,流数据可以被转换为弹性分布式数据(ResilientDistributed Datasets,RDD)。在从流数据中确定相应日志数据量的日志流数据时,可以从RDD数据中确定相应日志数据量的日志流数据。因此,流数据可以是多个窗口RDD的集合,即将流数据按时间间隔切分为一段一段的批处理作业,每个窗口期的流数据转换为一个RDD,然后提交任务到任务管理器,由主设备分发给节点设备任务。
在Spark Streaming框架中,可以调用createDirectStream函数,使用DStream格式将流数据转换为RDD数据。
由于每个RDD数据都是一个不可变的分布式可重算的数据集,因此任意一个RDD数据出错,都可以利用原始输入数据通过转换重新确定,这种方式具有较高的容错性。
在为节点设备分配相应日志数据量的日志流数据时,还可以设置为各个节点设备分配相应日志数据量的日志流数据时的时间间隔,根据该时间间隔可以实现对日志流数据的跟踪监控,确保每批日志数据的实时处理。
本实施例中将日志数据转换为流数据,可以在对大量日志数据进行处理时系统的高吞吐量,保证数据的完整性。
在本申请的另一实施例中,各个节点设备中的事件规则可以相同。各个节点设备可以均从同一设备中获取事件规则;也可以是,各个从节点设备从主节点设备中获取事件规则,这样可以保证各个节点设备中的事件规则相同。当各个节点设备将各条日志数据与同一事件规则进行匹配,可以保证各节点设备匹配得到的日志事件处于同一层面上,这使得主节点设备在对获取的日志事件进行综合分析时更准确。
图3为本申请实施例提供的另一种日志处理方法的流程示意图。该方法应用于分布式系统中的从节点设备,分布式系统还包括主节点设备。该分布式系统中各节点设备可以均安装有Spark组件、Kafka组件,以能够实现相应的功能。各个节点设备可以是虚拟主机,也可以是物理主机设备。该方法包括以下步骤S301~步骤S303:
步骤S301:接收主节点设备发送的日志数据,日志数据的数据量为主节点设备根据从节点设备的剩余资源分配。
其中,接收的日志数据的数量可以为多条。
步骤S302:将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件。
其中,事件规则可以是预先获取的。在获取事件规则时,可以从主节点设备中获取,也可以从其他指定设备中获取。在对日志数据进行匹配之前获取事件规则,可以保证事件规则是最新版本,进而提高匹配结果的准确性。
事件规则用于存储各个日志事件与特征字段、字段取值的对应关系,特征字段为日志数据中多个字段中的某些字段,字段取值可以理解为日志数据中特征字段的字段内容或取值。事件规则可以以文件格式存在,文件格式可以为xml或drl。日志事件可以理解为日志数据反映出的情况。日志事件对应特征字段的字段取值可以是固定的取值,也可以是取值范围。
从节点设备将接收到的每一条日志数据分别匹配事件规则时,具体可以将日志数据中的特征字段与事件规则中的特征字段进行匹配,当日志数据的特征字段与事件规则中特征字段的取值相同,或者,日志数据的特征字段处于事件规则中特征字段的取值范围内时,认为该条日志数据与事件规则匹配成功,该条日志数据匹配成功的日志事件为:事件规则中匹配成功的特征字段对应的日志事件。
日志数据中的特征字段可以采用以下方式确定:根据预先存储的特征字段确定日志数据中的特征字段。预先存储的特征字段可以从事件规则中得到。
从节点设备在将各条日志数据分别匹配事件规则时,可以调用从节点设备中的规则引擎(Drools),采用fireAllRules函数将各条日志数据分别匹配事件规则。从节点设备在调用规则引擎之前,可以调用initEngine函数初始化规则引擎。
步骤S303:将得到的日志事件发送至主节点设备。
由上述内容可知,本实施例中,分布式系统中的从节点设备可以接收主节点设备发送的日志数据,并将各条日志数据分别匹配事件规则,将得到的日志事件发送至主节点设备。由于大量的日志数据由分布式系统中的各个节点设备共同分担处理,每个节点设备均处理与自身剩余资源匹配的日志数据量,而不是由单个设备处理日志数据,因此可以提高处理大量日志数据时的效率,及时响应网络安全事件。
在本申请的另一实施例中,在接收主节点设备发送的日志数据之前,从节点设备还可以接收主节点设备发送的剩余资源获取请求,确定从节点设备自身的剩余资源,将确定的剩余资源发送至主节点设备。
其中,该剩余资源用于表示节点设备的剩余处理能力,可以采用CPU剩余利用率等量来表示。剩余资源较大,表示节点设备较空闲,节点设备还可以处理较多的日志数据;剩余资源较小,表示节点设备较繁忙,节点设备还可以处理的日志数据较少。
综上,本实施例中,当主节点设备获取到从节点设备发送的剩余资源时,可以确定与从节点设备的剩余资源匹配的日志数据量,这样可以使各个节点设备尽可能多地处理日志数据,提高分布式系统的综合处理能力。
在本申请的另一实施例中,当从节点设备接收的主节点设备发送的日志数据发生损坏时,从节点设备还可以向主节点设备发送日志数据获取请求,并接收主节点设备发送的为从节点设备对应分配的日志数据。其中,日志数据获取请求用于获取为从节点设备对应分配的日志数据。
当从节点设备发生硬盘损坏或者数据格式转换错误等情况时,原来接收的日志数据会发生丢失,此时从节点设备可以向主节点设备发送日志数据获取请求,并接收主节点设备响应于该日志数据获取请求所发送的日志数据。
这样,当从节点设备丢失日志数据时,可以从主节点设备中再次获取原来的日志数据,从而保证了分布式系统的较高容错性。
下面结合具体实例对本申请进行详细说明。
图4为本申请实施例提供的分布式系统的一种应用场景示意图。在图4中,分布式系统包括节点设备1~节点设备4四个节点设备,其中,节点设备1为主节点设备,节点设备2~节点设备4均为从节点设备。
节点设备1获取到待处理的多条日志数据时,可以向各个从节点设备发送剩余资源获取请求。各个从节点设备在接收到主节点设备发送的剩余资源获取请求时可以确定自身的剩余资源,并将确定的剩余资源发送至主节点设备。
主节点设备在接收到各个从节点设备的剩余资源时,可以确定与各个从节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据。然后主节点设备将确定的日志数据分别发送至对应的从节点设备,发送日志数据的过程可以认为是分发任务Task的过程。主节点设备还可以保存为各个从节点设备对应分配的日志数据。
每个从节点设备在接收到主节点设备发送的日志数据时,可以从指定设备中获取事件规则,以保证匹配时采用的事件规则是最新版本。每个从节点设备可以对接收到的每一条日志数据分别匹配获取的事件规则,得到对应的日志事件(得到的日志事件用Result表示),并将得到的日志事件(Result)发送至主节点设备。主节点设备可以接收到各个从节点设备发送的日志事件。
如果某个从节点设备(例如从节点设备4)在将日志数据匹配事件规则时,检测到日志数据发生损坏,则可以向主节点设备发送日志数据获取请求。主节点设备在接收到从节点设备4发送的日志数据获取请求时,可以从保存的为各个从节点设备对应分配的日志数据中确定为从节点设备4分配的日志数据,并将该日志数据发送至从节点设备4。从节点设备4可以在接收到该主节点设备发送的日志数据时将该日志数据匹配事件规则。
图5为本申请实施例提供的一种日志处理装置的结构示意图。该装置应用于分布式系统中的主节点设备,该分布式系统还包括从节点设备。该装置实施例与图1所示方法实施例相对应。该装置包括:
获取模块501,用于获取待处理的多条日志数据;
分配模块502,用于针对所述分布式系统中的每一节点设备,确定与所述节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为所述节点设备分配所述相应日志数据量的日志数据,以使所述节点设备将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
获取模块501,还用于获取所述分布式系统中每一节点设备得到的日志事件。
在本申请的另一实施例中,在图5所示实施例中,分配模块502具体用于:
若节点设备为主节点设备,则将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
若节点设备为从节点设备,则向节点设备发送相应日志数据量的日志数据。
在本申请的另一实施例中,在图5所示实施例中,上述装置还包括:
保存模块(图中未示出),用于在所述为所述节点设备分配所述相应日志数据量的日志数据之后,保存为各个节点设备对应分配的日志数据;
再分配模块(图中未示出),用于当接收到第一节点设备发送的日志数据获取请求时,从保存的为各个节点设备对应分配的日志数据中,确定为所述第一节点设备对应分配的日志数据;将确定的为所述第一节点设备对应分配的日志数据分配至所述第一节点设备。
在本申请的另一实施例中,在图5所示实施例中,上述装置还包括:
转换模块(图中未示出),用于在获取待处理的多条日志数据之后,将所述多条日志数据转换为流数据;
分配模块502具体用于:
确定与所述节点设备剩余资源匹配的日志数据量,并从所述流数据中确定相应日志数据量的日志流数据,并为所述节点设备分配所述相应日志数据量的日志流数据。
由于上述装置实施例是基于图1所示方法实施例得到的,与该方法具有相同的技术效果,因此装置实施例的技术效果在此不再赘述。对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
图6为本申请实施例提供的另一种日志处理装置的结构示意图。该装置应用于分布式系统中的从节点设备,分布式系统还包括主节点设备。该装置实施例与图3所示方法实施例相对应。该装置包括:
接收模块601,用于接收所述主节点设备发送的日志数据,所述日志数据的数据量为所述主节点设备根据所述从节点设备的剩余资源分配;
匹配模块602,用于将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
发送模块603,用于将得到的日志事件发送至所述主节点设备。
在本申请的另一实施例中,在图6所示实施例中,接收模块601,还用于在接收所述主节点设备发送的日志数据之前,接收所述主节点设备发送的剩余资源获取请求;
发送模块603,还用于确定所述从节点设备自身的剩余资源,将确定的剩余资源发送至所述主节点设备。
在本申请的另一实施例中,在图6所示实施例中,发送模块603,还用于当所述从节点设备接收的所述主节点设备发送的日志数据发生损坏时,向所述主节点设备发送日志数据获取请求;所述日志数据获取请求用于获取为所述从节点设备对应分配的日志数据;
接收模块601,还用于接收所述主节点设备发送的为所述从节点设备对应分配的日志数据。
由于上述装置实施例是基于图3所示方法实施例得到的,与该方法具有相同的技术效果,因此装置实施例的技术效果在此不再赘述。对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
图7为本申请实施例提供的一种分布式系统中的主节点设备的结构示意图。分布式系统还包括从节点设备。该主节点设备包括处理器701和机器可读存储介质702。机器可读存储介质702存储有能够被处理器701执行的机器可执行指令,处理器701被所述机器可执行指令促使:实现本申请实施例提供的日志处理方法,该方法包括:
获取待处理的多条日志数据;
针对分布式系统中的每一节点设备,确定与节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为节点设备分配相应日志数据量的日志数据,以使节点设备将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
获取分布式系统中每一节点设备得到的日志事件。
上述处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本实施例中,由于大量的日志数据由分布式系统中的各个节点设备共同分担处理,每个节点设备均处理与自身剩余资源匹配的日志数据量,而不是由单个设备处理日志数据,因此可以提高处理大量日志数据时的效率,及时响应网络安全事件。
图8为本申请实施例提供的一种分布式系统中的从节点设备的结构示意图。该分布式系统还包括主节点设备。该从节点设备包括处理器801和机器可读存储介质802。机器可读存储介质802存储有能够被处理器801执行的机器可执行指令,处理器801被所述机器可执行指令促使:实现本申请实施例提供的日志处理方法,该方法包括:
接收主节点设备发送的日志数据,该日志数据的数据量为主节点设备根据从节点设备的剩余资源分配;
对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
将得到的日志事件发送至主节点设备。
本实施例中,由于大量的日志数据由分布式系统中的各个节点设备共同分担处理,每个节点设备均处理与自身剩余资源匹配的日志数据量,而不是由单个设备处理日志数据,因此可以提高处理大量日志数据时的效率,及时响应网络安全事件。
本申请实施例还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器:实现本申请实施例提供的日志处理方法,该方法包括:
获取待处理的多条日志数据;
针对分布式系统中的每一节点设备,确定与节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为节点设备分配相应日志数据量的日志数据,以使节点设备将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
获取分布式系统中每一节点设备得到的日志事件。
综上,本实施例中,由于大量的日志数据由分布式系统中的各个节点设备共同分担处理,每个节点设备均处理与自身剩余资源匹配的日志数据量,而不是由单个设备处理日志数据,因此可以提高处理大量日志数据时的效率,及时响应网络安全事件。
本申请实施例还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器:实现本申请实施例提供的日志处理方法,该方法包括:
接收主节点设备发送的日志数据,该日志数据的数据量为主节点设备根据从节点设备的剩余资源分配;
对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
将得到的日志事件发送至主节点设备。
本实施例中,由于大量的日志数据由分布式系统中的各个节点设备共同分担处理,每个节点设备均处理与自身剩余资源匹配的日志数据量,而不是由单个设备处理日志数据,因此可以提高处理大量日志数据时的效率,及时响应网络安全事件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种日志处理方法,其特征在于,应用于分布式系统中的主节点设备,所述分布式系统还包括从节点设备;所述方法包括:
获取待处理的多条日志数据;
针对所述分布式系统中的每一节点设备,确定与所述节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为所述节点设备分配所述相应日志数据量的日志数据,以使所述节点设备将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
获取所述分布式系统中每一节点设备得到的日志事件。
2.根据权利要求1所述的方法,其特征在于,所述为所述节点设备分配所述相应日志数据量的日志数据,以使所述节点设备将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件的步骤,包括:
若所述节点设备为主节点设备,则将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
若所述节点设备为从节点设备,则向所述节点设备发送所述相应日志数据量的日志数据。
3.根据权利要求1所述的方法,其特征在于,在所述为所述节点设备分配所述相应日志数据量的日志数据之后,所述方法还包括:
保存为各个节点设备对应分配的日志数据;
当接收到第一节点设备发送的日志数据获取请求时,从保存的为各个节点设备对应分配的日志数据中,确定为所述第一节点设备对应分配的日志数据;
将确定的为所述第一节点设备对应分配的日志数据分配至所述第一节点设备。
4.根据权利要求1-3任一项所述的方法,其特征在于,在获取待处理的多条日志数据之后,所述方法还包括:将所述多条日志数据转换为流数据;
所述确定与所述节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为所述节点设备分配所述相应日志数据量的日志数据的步骤,包括:
确定与所述节点设备剩余资源匹配的日志数据量,并从所述流数据中确定相应日志数据量的日志流数据,并为所述节点设备分配所述相应日志数据量的日志流数据。
5.一种日志处理方法,其特征在于,应用于分布式系统中的从节点设备,所述分布式系统还包括主节点设备;所述方法包括:
接收所述主节点设备发送的日志数据,所述日志数据的数据量为所述主节点设备根据所述从节点设备的剩余资源分配;
将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
将得到的日志事件发送至所述主节点设备。
6.根据权利要求5所述的方法,其特征在于,在接收所述主节点设备发送的日志数据之前,所述方法还包括:
接收所述主节点设备发送的剩余资源获取请求;
确定所述从节点设备自身的剩余资源,将确定的剩余资源发送至所述主节点设备。
7.根据权利要求5所述的方法,其特征在于,当所述从节点设备接收的所述主节点设备发送的日志数据发生损坏时,所述方法还包括:
向所述主节点设备发送日志数据获取请求;所述日志数据获取请求用于获取为所述从节点设备对应分配的日志数据;
接收所述主节点设备发送的为所述从节点设备对应分配的日志数据。
8.一种日志处理装置,其特征在于,应用于分布式系统中的主节点设备,所述分布式系统还包括从节点设备;所述装置包括:
获取模块,用于获取待处理的多条日志数据;
分配模块,用于针对所述分布式系统中的每一节点设备,确定与所述节点设备剩余资源匹配的日志数据量及相应日志数据量的日志数据,并为所述节点设备分配所述相应日志数据量的日志数据,以使所述节点设备将接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
所述获取模块,还用于获取所述分布式系统中每一节点设备得到的日志事件。
9.一种日志处理装置,其特征在于,应用于分布式系统中的从节点设备,所述分布式系统还包括主节点设备;所述装置包括:
接收模块,用于接收所述主节点设备发送的日志数据,所述日志数据的数据量为所述主节点设备根据所述从节点设备的剩余资源分配;
匹配模块,用于对接收到的每一条日志数据分别匹配事件规则,得到对应的日志事件;
发送模块,用于将得到的日志事件发送至所述主节点设备。
10.一种分布式系统中的节点设备,其特征在于,所述节点设备包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-7任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810295903.5A CN108551444A (zh) | 2018-03-30 | 2018-03-30 | 一种日志处理方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810295903.5A CN108551444A (zh) | 2018-03-30 | 2018-03-30 | 一种日志处理方法、装置及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108551444A true CN108551444A (zh) | 2018-09-18 |
Family
ID=63514230
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810295903.5A Pending CN108551444A (zh) | 2018-03-30 | 2018-03-30 | 一种日志处理方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108551444A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110401657A (zh) * | 2019-07-24 | 2019-11-01 | 网宿科技股份有限公司 | 一种访问日志的处理方法及装置 |
CN113381883A (zh) * | 2021-05-31 | 2021-09-10 | 北京网藤科技有限公司 | 一种基于工业网络安全事件日志监测的系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101800668A (zh) * | 2010-03-23 | 2010-08-11 | 成都市华为赛门铁克科技有限公司 | 日志归并方法和装置 |
US20120005542A1 (en) * | 2010-07-01 | 2012-01-05 | LogRhythm Inc. | Log collection, structuring and processing |
CN105897718A (zh) * | 2016-04-25 | 2016-08-24 | 上海携程商务有限公司 | 防止局域网被扫描的系统及方法 |
CN106250290A (zh) * | 2016-08-03 | 2016-12-21 | 广州唯品会信息科技有限公司 | 异常信息的分析方法及装置 |
CN106844483A (zh) * | 2016-12-23 | 2017-06-13 | 航天星图科技(北京)有限公司 | 一种日志数据流处理方法 |
CN107832153A (zh) * | 2017-11-14 | 2018-03-23 | 北京科技大学 | 一种Hadoop集群资源自适应分配方法 |
-
2018
- 2018-03-30 CN CN201810295903.5A patent/CN108551444A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101800668A (zh) * | 2010-03-23 | 2010-08-11 | 成都市华为赛门铁克科技有限公司 | 日志归并方法和装置 |
US20120005542A1 (en) * | 2010-07-01 | 2012-01-05 | LogRhythm Inc. | Log collection, structuring and processing |
CN105897718A (zh) * | 2016-04-25 | 2016-08-24 | 上海携程商务有限公司 | 防止局域网被扫描的系统及方法 |
CN106250290A (zh) * | 2016-08-03 | 2016-12-21 | 广州唯品会信息科技有限公司 | 异常信息的分析方法及装置 |
CN106844483A (zh) * | 2016-12-23 | 2017-06-13 | 航天星图科技(北京)有限公司 | 一种日志数据流处理方法 |
CN107832153A (zh) * | 2017-11-14 | 2018-03-23 | 北京科技大学 | 一种Hadoop集群资源自适应分配方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110401657A (zh) * | 2019-07-24 | 2019-11-01 | 网宿科技股份有限公司 | 一种访问日志的处理方法及装置 |
CN110401657B (zh) * | 2019-07-24 | 2020-09-25 | 网宿科技股份有限公司 | 一种访问日志的处理方法及装置 |
US11272029B2 (en) | 2019-07-24 | 2022-03-08 | Wangsu Science & Technology Co., Ltd. | Access log processing method and device |
CN113381883A (zh) * | 2021-05-31 | 2021-09-10 | 北京网藤科技有限公司 | 一种基于工业网络安全事件日志监测的系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108874640B (zh) | 一种集群性能的评估方法和装置 | |
Chaczko et al. | Availability and load balancing in cloud computing | |
CN104468282B (zh) | 集群监控处理系统及方法 | |
WO2017131774A1 (en) | Log event summarization for distributed server system | |
CN109547240B (zh) | 基于边缘计算的智能设备以及接入与设备的解析方法 | |
CN105631026A (zh) | 一种安全数据分析系统 | |
US10419553B2 (en) | Dynamic docker pool recycling | |
CN111124830B (zh) | 一种微服务的监控方法及装置 | |
CN111026602A (zh) | 一种云平台的健康巡检调度管理方法、装置及电子设备 | |
CN105761011A (zh) | 一种基于云平台的实验室资源管理系统 | |
CN111625419A (zh) | 一种日志采集方法、系统、设备及计算机可读存储介质 | |
CN108551444A (zh) | 一种日志处理方法、装置及设备 | |
CN106034047B (zh) | 数据处理方法及装置 | |
CN208046653U (zh) | 一种电力监控系统网络安全监测主站平台系统 | |
CN112202879B (zh) | 中间件管理方法、装置、电子设备和存储介质 | |
CN111324644A (zh) | 大型微服务架构下的数据库连接风暴的监控方法及装置 | |
CN107666399A (zh) | 一种监控数据的方法和装置 | |
CN107193749B (zh) | 测试方法、装置及设备 | |
CN102541563A (zh) | 一种监控界面生成方法及系统 | |
CN109510730A (zh) | 分布式系统及其监控方法、装置、电子设备及存储介质 | |
CN116594843A (zh) | 服务监测方法、装置、系统及电子设备 | |
CN108289086A (zh) | 请求处理方法及装置、服务器 | |
CN111130882A (zh) | 网络设备的监控系统及方法 | |
CN203911977U (zh) | 一种跨网络信息设备监控系统 | |
CN115329005A (zh) | 多集群的协同方法、系统、装置及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180918 |