CN113391990A - 系统日志的监控方法、装置、设备及存储介质 - Google Patents
系统日志的监控方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113391990A CN113391990A CN202110737181.6A CN202110737181A CN113391990A CN 113391990 A CN113391990 A CN 113391990A CN 202110737181 A CN202110737181 A CN 202110737181A CN 113391990 A CN113391990 A CN 113391990A
- Authority
- CN
- China
- Prior art keywords
- log
- information
- monitored
- abnormal
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 107
- 238000000034 method Methods 0.000 title claims abstract description 47
- 230000002159 abnormal effect Effects 0.000 claims abstract description 75
- 230000006399 behavior Effects 0.000 claims description 39
- 238000004590 computer program Methods 0.000 claims description 12
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000013507 mapping Methods 0.000 claims description 5
- 230000000875 corresponding effect Effects 0.000 description 63
- 238000012546 transfer Methods 0.000 description 17
- 230000009471 action Effects 0.000 description 15
- 238000012986 modification Methods 0.000 description 13
- 230000004048 modification Effects 0.000 description 13
- 230000005856 abnormality Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 230000004888 barrier function Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 8
- 238000012423 maintenance Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000012806 monitoring device Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 241000282326 Felis catus Species 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及异常监控技术领域,揭示了一种系统日志的监控方法、装置、介质及设备,其中方法包括:获取被监控系统的系统信息,其中,所述系统信息包括所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;根据所述日志存储信息获取所述被监控系统的系统日志信息;根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息;判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志。从而降低了日志监控过程中,对被监控的系统的侵入性。
Description
技术领域
本申请涉及到异常监控技术领域,特别是涉及到一种系统日志的监控方法、装置、介质及设备。
背景技术
随着信息技术的发展,企业通常采用线上系统的方式进行业务办理、交易等行为。而为了保证线上系统的稳定运行,通常需要对系统的运行数据进行监控。
现有技术中通常采用CAT(Central Application Tracking)实时监控系统等数据监控方式,其拥有较良好的系统层面的数据监控体系,可以通过服务注入,数据拦截等方式进行系统日志监控,时效性较高。
然而,现有的数据监控方式对被监控的系统的侵入性高,因此需要对被监控的系统进行系统改造,将日志组件集成在对应的系统中,进行统一监控,对于被监控的系统来说存在较大改造风险和开发难度。
发明内容
本申请的主要目的为提供一种系统日志的监控方法、装置、介质及设备,旨在解决现有技术中的数据监控方式对被监控的系统的侵入性高的技术问题。
为了实现上述发明目的,本申请提出一种系统日志的监控方法,所述方法包括:
获取被监控系统的系统信息,其中,所述系统信息包括所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;
根据所述日志存储信息获取所述被监控系统的系统日志信息;
根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息;
判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志。
进一步的,所述判定与所述特征信息对应的系统日志为异常日志的步骤之后,还包括如下步骤:
当与所述特征信息对应的系统日志为异常日志时,根据异常的所述系统日志生成报警信号,并向用户发送所述报警信号;
根据若干个所述报警信号建立异常数据库,其中,所述异常数据库包括异常产生时间和对应的产生原因;
根据所述异常数据库统计得到所述被监控系统中各个功能节点的安全参数。
进一步的,所述获取被监控系统的系统信息的步骤,包括:
当获取到至少两个所述被监控系统的系统信息时,对每一所述被监控系统进行系统标记,得到各个所述被监控系统的标记信息,并将各个所述被监控系统的标记信息分别与各个所述被监控系统的日志存储信息和系统日志生成规则进行关联。
进一步的,所述获取被监控系统的系统信息的步骤,包括:
获取所述系统日志生成规则的规则类型;
判断所述系统日志生成规则的规则类型与预存储的标准日志生成规则的规则类型是否相同;
若不相同,获取所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;
若相同,获取所述被监控系统的日志存储信息,并将所述标准日志生成规则作为所述被监控系统的系统日志生成规则。
进一步的,所述根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息的步骤,包括:
根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的时间信息,其中,所述特征信息包括时间信息,所述系统日志生成规则包括所述系统日志信息与所述时间信息的映射关系。
进一步的,所述判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志的步骤,包括如下至少一个步骤:
判断各个所述时间信息是否满足预设的时间标准,若不满足,判定与所述时间信息对应的系统日志为异常日志;
判断各个所述时间信息是否满足预设的频率标准,若不满足,判定与所述时间信息对应的系统日志为异常日志;
判断各个所述时间信息是否满足预设的格式标准,若不满足,判定与所述格式信息对应的系统日志为异常日志。
进一步的,当所述被监控系统为金融系统时,所述判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志的步骤,包括:
根据各个所述系统日志的特征信息得到各个所述系统日志的行为信息对应的金额信息,判断各个所述金额信息是否满足预设的匹配标准,若不满足,判定与所述金额信息对应的系统日志为异常日志。
本申请还提出了一种系统日志的监控装置,包括:
系统信息获取模块,用于获取被监控系统的系统信息,其中,所述系统信息包括所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;
日志信息获取模块,用于根据所述日志存储信息获取所述被监控系统的系统日志信息;
日志信息解析模块,用于根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息;
日志信息监控模块,用于判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志。
本申请还提出了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。
本申请还提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。
本申请的系统日志的监控方法、装置、介质及设备,通过获取被监控系统的系统信息,不对原被监控系统进行改造,从而保持原被监控系统的稳定性,并且可以平缓对接监控系统,实现监控系统和被监控系统的独立运作,同时避免监控系统和被监控系统中一方的改造或故障影响另外一方;根据系统信息中的日志存储信息直接获取被监控系统正常运行中产生的系统日志,从而避免接入监控系统时截取系统数据时候需要进行系统改造来适配监控组件的问题,减少了被监控系统的改造成本,保证了被监控系统的稳定性;通过预先获得的被监控系统中生成系统日志的规则进行监控,不存在技术壁垒和系统壁垒,从而提高了本监控系统的适用范围;通过自定义行为标准的方式得到需要的判定结果,从而提高了业务监控的可扩展性,使得监控系统的应用范围更广,适用性更强,能够直观的进行业务流程监控,实现业务行为的灵活监控。
附图说明
图1为本申请一实施例的系统日志的监控方法的流程示意图;
图2为本申请一实施例的系统日志的监控装置的结构示意框图;
图3为本申请一实施例的计算机设备的结构示意框图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1,本申请实施例中提供一种为了实现上述发明目的,本申请提出一种系统日志的监控方法,所述方法包括:
S1:获取被监控系统的系统信息,其中,所述系统信息包括所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;
S2:根据所述日志存储信息获取所述被监控系统的系统日志信息;
S3:根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息;
S4:判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志。
本实施例通过获取被监控系统的系统信息,不对原被监控系统进行改造,从而保持原被监控系统的稳定性,并且可以平缓对接监控系统,实现监控系统和被监控系统的独立运作,同时避免监控系统和被监控系统中一方的改造或故障影响另外一方;根据系统信息中的日志存储信息直接获取被监控系统正常运行中产生的系统日志,从而避免接入监控系统时截取系统数据时候需要进行系统改造来适配监控组件的问题,减少了被监控系统的改造成本,保证了被监控系统的稳定性;通过预先获得的被监控系统中生成系统日志的规则进行监控,不存在技术壁垒和系统壁垒,从而提高了本监控系统的适用范围;通过自定义行为标准的方式得到需要的判定结果,从而提高了业务监控的可扩展性,使得监控系统的应用范围更广,适用性更强,能够直观的进行业务流程监控,实现业务行为的灵活监控。
对于步骤S1,系统日志是用于记录系统中硬件、软件和系统问题的信息,此外,系统日志还可以监视系统中发生的各个事件。而用户可以通过系统日志视察系统的运行状态,检查系统异常的产生原因。当需要对某一系统进行监控时,将该系统作为被监控系统,预先获取该被监控系统的系统信息,系统信息中的日志存储信息通常为指向该被监控系统存储系统日志的信息,系统信息中的系统日志生成规则通常为该被监控系统中生成系统日志的规则,上述规则可以是该被监控系统单独定义的,也可以是被该被监控系统采用的某一较为通用的规则。本发明中,获取被监控系统的系统信息,并不对原被监控系统进行改造,即没有改造就不会引入额外的风险,从而能够保持原系统的稳定性,并且可以平缓对接监控系统,实现监控系统和被监控系统的独立运作,同时避免监控系统和被监控系统中一方的改造或故障影响另外一方。
对于步骤S2,上述日志存储信息可以为指向被监控系统存储系统日志的数据地址的信息,从而根据该地址直接读取系统日志信息;也可以为指向被监控系统存储系统日志的数据地址的连接,从而根据该连接跳转至系统日志信息所在位置,进而获取系统日志信息。在本发明中,根据系统信息中的日志存储信息直接获取被监控系统运行中产生的系统日志,从而避免接入监控系统时截取系统数据时候需要进行系统改造来适配监控组件的问题,减少了被监控系统的改造成本,保证了被监控系统的稳定性。
对于步骤S3,上述被监控系统的系统日志生成规则可以为系统行为与系统日志的对应关系,当根据日志存储信息获取到该被监控系统的系统日志信息后,根据系统日志生成规则能够反向解析出系统行为的特征信息,例如发起方、接收方等,即只要预先获得被监控系统中生成系统日志的规则就可以进行监控,不存在技术壁垒和系统壁垒,从而提高了本监控系统的适用范围。
对于步骤S4,上述预设的行为标准可以为一个或多个行为标准,以发起方和接收方为例,若该行为标准中规定的接收方仅为A、B、C、D和E系统,而上述各个特征信息中存在一特征信息记载的接收方为F系统,即可判定该特征信息对应的系统日志异常,也即该产生系统日志的系统行为为异常行为,此时需要对异常行为进行报警;在此基础上,可以通过自定义行为标准的方式得到需要的判定结果,从而提高了业务监控的可扩展性,使得监控系统的应用范围更广,适用性更强,能够直观的进行业务流程监控,实现业务行为的灵活监控。
在一个实施例中,所述判定与所述特征信息对应的系统日志为异常日志的步骤S4之后,还包括如下步骤:
S51:当与所述特征信息对应的系统日志为异常日志时,根据异常的所述系统日志生成报警信号,并向用户发送所述报警信号;
S52:根据若干个所述报警信号建立异常数据库,其中,所述异常数据库包括异常产生时间和对应的产生原因;
S53:根据所述异常数据库统计得到被监控系统中各个功能节点的安全参数。
本实施例通过对异常日志进行报警和记录,并统计各个功能节点的安全参数,以便于用户根据各个功能节点的安全参数对安全参数低的功能节点进行安全性维护,从而提高系统的安全性。
对于步骤S51,当识别到异常的系统日志时,可记录该系统日志,并生成一报警信号,向与该被监控系统关联的计算机或智能手机等设备发送该报警信号,该报警信号可以包括该系统日志的异常原因,该系统日志的流水号等信息,以便于用户接收到该报警信号后快速定位到异常来源。
对于步骤S52,报警信号通常携带有异常的系统日志的生成时间、异常原因、异常的系统日志的流水号等信息,由此能够建立对应于该被监控系统的异常数据库。异常数据库可以反应某一时间段内的异常频率、最常见的异常原因,不同异常原因的高发时间段等数据。示例性地,若根据报警信号生成的异常数据库中在2021年1月1日至2021年1月31日之间示出的数据包括:12次转账异常,2次还款异常,则可得到转账功能节点的安全参数最低,还款功能节点的安全参数较低,以便于用户根据各个功能节点的安全参数对安全参数低的功能节点采取防火墙维护等提高安全性的行为。
对于步骤S53,各个功能节点的安全参数与其对应的功能出现异常的次数成正相关,例如,若统计得到一周内转账功能节点出现异常的总次数为5次,一周内还款功能节点出现异常的总次数为2次,则可认为转账功能节点的安全参数低于还款功能节点的安全参数;此外,还可以根据出现异常的时间进行加权计算,例如,距今30天内出现的异常次数权重为70%,出现时间大于30天的异常的异常次数的权重为30%等。
在一个实施例中,所述获取被监控系统的系统信息的步骤S1,包括:
S101:当获取到至少两个所述被监控系统的系统信息时,对每一所述被监控系统进行系统标记,得到各个所述被监控系统的标记信息;
S102:将各个所述被监控系统的标记信息分别与各个所述被监控系统的日志存储信息和系统日志生成规则进行关联。
本实施例能够在获取到多个被监控系统的系统信息时,通过系统标记的方式区分各个被监控系统,避免数据混淆,从而对不同的被监控系统单独监控。
对于步骤S101,上述系统标记信息可以为数字、字母和中文中至少一种的组合,当获取到多个被监控系统的系统信息时,可通过系统标记的方式区分各个被监控系统,避免数据混淆,从而对不同的被监控系统单独监控。
在具体实施方式中,可以将被监控系统的系统名称作为该系统的标记信息,例如,业务交易系统,账单查询系统等;也可以将获取被监控系统的系统信息的时间作为该系统的标记信息,对该系统信息的来源系统进行标记,例如对当前获取到的系统信息的对应的被监控系统按照获取获得顺序,或者时间+随机生成的字符串的方式编号,即可以为:0341号,或202105121451+QE1C393。
对于步骤S102,在获取到一被监控系统的系统信息后,通常不会再次向该系统获取系统信息,除非该被监控系统的日志存储信息或系统日志生成规则需要更改;而当该被监控系统的日志存储信息或系统日志生成规则需要更改时,由于其与被监控系统的标记信息关联,此时仅更新日志存储信息或系统日志生成规则,不更新该系统的系统编号等标记信息,以便于用户对更新后的被监控系统按照原标记信息继续监控;通过获取各个被监控系统的编号,并被监控系统的日志存储信息和系统日志生成规则进行关联的方式能够实现同时对多个被监控系统分别监控,而不会将不同的被监控系统的监控数据杂糅。
在一个实施例中,所述获取被监控系统的系统信息的步骤S1,包括:
S103:获取所述系统日志生成规则的规则类型;
S104:判断所述系统日志生成规则的规则类型与预存储的标准日志生成规则的规则类型是否相同;
S105:若不相同,获取所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;
S106:若相同,获取所述被监控系统的日志存储信息,并将所述标准日志生成规则作为所述被监控系统的系统日志生成规则。
本实施例能够判断本地是否存储有标准日志生成规则,本地已存储的情况下直接读取本地存储的标准日志生成规则,减少了从所述被监控系统中调用系统日志生成规则造成的通信资源浪费;本地为存储的情况下在该被监控系统中读取该被监控系统的系统日志生成规则,从而提高了监控的适配性和泛用性。
对于步骤S104,规则类型相同通常意为规则逻辑相同,即系统在正常运行过程中根据业务行为生成日志的逻辑相同。在具体实施方式中,可以在本地预先存储标准日志生成规则,上述标准日志生成规则可以为若干常用的日志生成规则;而被监控系统采用的系统日志生成规则有可能是常用的规则类型,也有可能是仅适配该被监控系统的规则类型,对于前者,可以在判断被监控系统的系统日志生成规则的规则类型与预存储的标准日志生成规则的规则类型相同时,直接读取本地存储的标准日志生成规则,减少了从所述被监控系统中调用系统日志生成规则造成的通信资源浪费,从而节省了通信资源,提高了信息的获取效率;对于后者,由于该被监控系统的系统日志生成规则是个性化定义来用于仅适配该系统的,因此本地无法预先存储该规则,此时可在该被监控系统中读取该被监控系统的系统日志生成规则,从而提高了监控的适配性和泛用性。
在一个实施例中,所述根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息的步骤S3,包括:
S301:根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的时间信息,其中,所述特征信息包括时间信息,所述系统日志生成规则包括所述系统日志信息与所述时间信息的映射关系。
本实施例通过解析各个系统日志信息的时间信息,能够便于用户对不同日志进行校验和监控,提高日志监控的准确性。
对于步骤S301,一条系统日志信息可能为“16784531X,003,202105121540”的形式,此时为了解析该日志信息,需要基于产生该条系统日志信息的行为所在的系统的系统日志生成规则,若该系统日志生成规则为“instruction_id,operation_type,time”,则可解析出上述系统日志对应的特征信息为“instruction_id=16784531X,operation_type=003,time=202105121540”,即流水号为16784531X的单在2021年5月12日15点40分发生了一次003号行为,其中,系统日志对应的时间信息即“202105121540”,意为2021年5月12日15点40分。
在一具体的实施方式中,除时间信息外,还可以根据系统日志生成规则对系统日志信息进行解析,得到各个系统日志对应的格式信息,其中,特征信息包括格式信息,系统日志生成规则包括系统日志信息与格式信息的映射关系。格式信息可以为业务的操作类型,仍以上述系统日志信息“16784531X,003,202105121540”为例,若该被监控系统中003对应的操作类型为转账,即流水号为16784531X的单在2021年5月12日15点40分发生了一次转账行为,其中,系统日志对应的格式信息即“003”,意为转账。
在一个实施例中,所述判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志的步骤S4,包括如下至少一个步骤:
S401:判断各个所述时间信息是否满足预设的时间标准,若不满足,判定与所述时间信息对应的系统日志为异常日志;
S402:判断各个所述时间信息是否满足预设的频率标准,若不满足,判定与所述时间信息对应的系统日志为异常日志;
S403:判断各个所述时间信息是否满足预设的格式标准,若不满足,判定与所述格式信息对应的系统日志为异常日志。
本实施例通过对预设的时间标准、频率标准、格式标准进行校验,从而对系统日志进行多维度的监控,避免一项信息被造假或者误识别造成日志监控结果错误的问题。
对于步骤S401,在日常的业务工作中,通常会需要设定定时的操作,或在某一时间段内不进行操作,例如,在22点到23点之间因系统维护不得进行业务操作,则设定时间标准为00:00-21:59以及23:01-23:59;若识别到一系统日志的时间信息为“202105122217”即“2021年5月12日22点17分”,则可认为该时间信息不满足预设的时间标准,从而判定与该时间信息对应的系统日志异常,需要通过用户手动检查等方式进行异常排查。
对于步骤S402,为避免恶意转账等操作,通常会需要设定操作频率,例如,在5分钟内,业务行为不得超过3次,则设定频率标准为五分钟内的业务行为次数小于或等于3;若识别到四条系统日志的时间信息分别为“202105121520”、“202105121521”、“202105121522”和“202105121523”,显然上述四条系统日志是在五分钟内产生的,即可认为该时间信息不满足预设的频率标准“五分钟内的业务行为次数小于或等于3”,从而判定与该时间信息对应的系统日志异常,需要通过用户手动检查等方式进行异常排查。
对于步骤S403,日常的业务过程中时常会出现需要规定操作类型的情况,例如由于提款系统维护,某一时间段内不允许提款,或在某一时间段内定时发生某一行为;例如,在8点到9点之间需要产生一个转账行为,则设定格式标准为08:00-08:59,003;若识别到一系统日志信息“29784531M,003,202105120803”即“2021年5月12日08点03分”发生了转账行为,该系统日志对应的行为正常;而未识别到在08:00-08:59内,格式信息为“003”的系统日志,则可认为当前任一格式信息均不满足预设的格式标准,从而判定与该格式信息对应的系统日志异常,需要通过用户手动检查等方式排查未出现该行为的原因。
可以理解的,上述步骤S401、S402和S403在具体实施过程中,可以择一执行、择二执行,也可以三个步骤同时执行。
在一个实施例中,当所述被监控系统为金融系统时,所述判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志的步骤S4,包括:
S404:根据各个所述系统日志的特征信息得到各个所述系统日志的行为信息对应的金额信息,判断各个所述金额信息是否满足预设的匹配标准,若不满足,判定与所述金额信息对应的系统日志为异常日志。
本实施例在被监控系统为金融系统时,通过对行为信息对应的金额信息进行校验,避免了行为时间正确但操作金额不正确的异常情况,进一步提高了系统日志监控的准确性和全面性。
对于步骤S404,当金融系统发生业务行为时,往往会产生财产上的转移,例如转账,收入,扣款等;为了保证财产流通的安全性,可以对每一次业务行为对应的金额进行校验。示例性地,若识别到一系统日志信息“29784531M,003,202105120803”即“2021年5月12日08点03分发生了一次转账行为,且流水号为29784531M”,此时可以根据流水号29784531M查询该被监控系统在2021年5月12日08点03分产生的转账行为对应的转账金额和收款方,再在收款方处查询与上述特征信息匹配的入账行为对应的金额,此时若满足“两者相同”的匹配标准,则判定该转账行为正常,若不满足,则判定该转账行为异常;需要说明的是,上述查询结果可以是由计算机完成的,也可以是由用户手动查询后输入的。
可以理解地,当被监控系统为金融系统时,上述步骤S401、S402、S403和S404可同时执行或择一任意的组合执行,例如,同时执行S401和S404,或单独执行S404等。
参照图2,本申请还提出了一种系统日志的监控装置,包括:
系统信息获取模块100,用于获取被监控系统的系统信息,其中,所述系统信息包括所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;
日志信息获取模块200,用于根据所述日志存储信息获取所述被监控系统的系统日志信息;
日志信息解析模块300,用于根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息;
日志信息监控模块400,用于判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志。
本实施例通过获取被监控系统的系统信息,不对原被监控系统进行改造,从而保持原被监控系统的稳定性,并且可以平缓对接监控系统,实现监控系统和被监控系统的独立运作,同时避免监控系统和被监控系统中一方的改造或故障影响另外一方;根据系统信息中的日志存储信息直接获取被监控系统正常运行中产生的系统日志,从而避免接入监控系统时截取系统数据时候需要进行系统改造来适配监控组件的问题,减少了被监控系统的改造成本,保证了被监控系统的稳定性;通过预先获得的被监控系统中生成系统日志的规则进行监控,不存在技术壁垒和系统壁垒,从而提高了本监控系统的适用范围;通过自定义行为标准的方式得到需要的判定结果,从而提高了业务监控的可扩展性,使得监控系统的应用范围更广,适用性更强,能够直观的进行业务流程监控,实现业务行为的灵活监控。
在一个实施例中,还包括安全参数获取模块500,用于:
当与所述特征信息对应的系统日志为异常日志时,根据异常的所述系统日志生成报警信号,并向用户发送所述报警信号;
根据若干个所述报警信号建立异常数据库,其中,所述异常数据库包括异常产生时间和对应的产生原因;
根据所述异常数据库统计得到所述被监控系统中各个功能节点的安全参数。
在一个实施例中,系统信息获取模块100,还用于:
当获取到至少两个所述被监控系统的系统信息时,对每一所述被监控系统进行系统标记,得到各个所述被监控系统的标记信息;
将各个所述被监控系统的标记信息分别与各个所述被监控系统的日志存储信息和系统日志生成规则进行关联。
在一个实施例中,系统信息获取模块100,还用于:
获取所述系统日志生成规则的规则类型;
判断所述系统日志生成规则的规则类型与预存储的标准日志生成规则的规则类型是否相同;
若不相同,获取所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;
若相同,获取所述被监控系统的日志存储信息,并将所述标准日志生成规则作为所述被监控系统的系统日志生成规则。
在一个实施例中,日志信息解析模块300,还用于:
根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的时间信息,其中,所述特征信息包括时间信息,所述系统日志生成规则包括所述系统日志信息与所述时间信息的映射关系。
在一个实施例中,日志信息监控模块400还用于,执行如下至少一个步骤:
判断各个所述时间信息是否满足预设的时间标准,若不满足,判定与所述时间信息对应的系统日志为异常日志;
判断各个所述时间信息是否满足预设的频率标准,若不满足,判定与所述时间信息对应的系统日志为异常日志;
判断各个所述时间信息是否满足预设的格式标准,若不满足,判定与所述格式信息对应的系统日志为异常日志。
在一个实施例中,当所述被监控系统为金融系统时,日志信息监控模块400具体用于:
根据各个所述系统日志的特征信息得到各个所述系统日志的行为信息对应的金额信息,判断各个所述金额信息是否满足预设的匹配标准,若不满足,判定与所述金额信息对应的系统日志为异常日志。
参照图3,本申请实施例中还提供一种计算机设备,该计算机设备可以是服务器,其内部结构可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于储存系统日志的监控方法等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种系统日志的监控方法。所述系统日志的监控方法,包括:获取被监控系统的系统信息,其中,所述系统信息包括所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;根据所述日志存储信息获取所述被监控系统的系统日志信息;根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息;判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志。
本申请一实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现一种系统日志的监控方法,包括步骤:获取被监控系统的系统信息,其中,所述系统信息包括所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;根据所述日志存储信息获取所述被监控系统的系统日志信息;根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息;判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志。
上述执行的系统日志的监控方法,本实施例通过获取被监控系统的系统信息,不对原被监控系统进行改造,从而保持原被监控系统的稳定性,并且可以平缓对接监控系统,实现监控系统和被监控系统的独立运作,同时避免监控系统和被监控系统中一方的改造或故障影响另外一方;根据系统信息中的日志存储信息直接获取被监控系统正常运行中产生的系统日志,从而避免接入监控系统时截取系统数据时候需要进行系统改造来适配监控组件的问题,减少了被监控系统的改造成本,保证了被监控系统的稳定性;通过预先获得的被监控系统中生成系统日志的规则进行监控,不存在技术壁垒和系统壁垒,从而提高了本监控系统的适用范围;通过自定义行为标准的方式得到需要的判定结果,从而提高了业务监控的可扩展性,使得监控系统的应用范围更广,适用性更强,能够直观的进行业务流程监控,实现业务行为的灵活监控。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种系统日志的监控方法,其特征在于,所述方法包括:
获取被监控系统的系统信息,其中,所述系统信息包括所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;
根据所述日志存储信息获取所述被监控系统的系统日志信息;
根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息;
判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志。
2.根据权利要求1所述的系统日志的监控方法,其特征在于,所述判定与所述特征信息对应的系统日志为异常日志的步骤之后,还包括如下步骤:
当与所述特征信息对应的系统日志为异常日志时,根据异常的所述系统日志生成报警信号,并向用户发送所述报警信号;
根据若干个所述报警信号建立异常数据库,其中,所述异常数据库包括异常产生时间和对应的产生原因;
根据所述异常数据库统计得到所述被监控系统中各个功能节点的安全参数。
3.根据权利要求1所述的系统日志的监控方法,其特征在于,所述获取被监控系统的系统信息的步骤,包括:
当获取到至少两个所述被监控系统的系统信息时,对每一所述被监控系统进行系统标记,得到各个所述被监控系统的标记信息;
将各个所述被监控系统的标记信息分别与各个所述被监控系统的日志存储信息和系统日志生成规则进行关联。
4.根据权利要求1所述的系统日志的监控方法,其特征在于,所述获取被监控系统的系统信息的步骤,包括:
获取所述系统日志生成规则的规则类型;
判断所述系统日志生成规则的规则类型与预存储的标准日志生成规则的规则类型是否相同;
若不相同,获取所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;
若相同,获取所述被监控系统的日志存储信息,并将所述标准日志生成规则作为所述被监控系统的系统日志生成规则。
5.根据权利要求1所述的系统日志的监控方法,其特征在于,所述根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息的步骤,包括:
根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的时间信息,其中,所述特征信息包括时间信息,所述系统日志生成规则包括所述系统日志信息与所述时间信息的映射关系。
6.根据权利要求5所述的系统日志的监控方法,其特征在于,所述判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志的步骤,包括如下至少一个步骤:
判断各个所述时间信息是否满足预设的时间标准,若不满足,判定与所述时间信息对应的系统日志为异常日志;
判断各个所述时间信息是否满足预设的频率标准,若不满足,判定与所述时间信息对应的系统日志为异常日志;
判断各个所述时间信息是否满足预设的格式标准,若不满足,判定与所述格式信息对应的系统日志为异常日志。
7.根据权利要求1所述的系统日志的监控方法,其特征在于,当所述被监控系统为金融系统时,所述判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志的步骤,包括:
根据各个所述系统日志的特征信息得到各个所述系统日志的行为信息对应的金额信息,判断各个所述金额信息是否满足预设的匹配标准,若不满足,判定与所述金额信息对应的系统日志为异常日志。
8.一种系统日志的监控装置,其特征在于,包括:
系统信息获取模块,用于获取被监控系统的系统信息,其中,所述系统信息包括所述被监控系统的日志存储信息和所述被监控系统的系统日志生成规则;
日志信息获取模块,用于根据所述日志存储信息获取所述被监控系统的系统日志信息;
日志信息解析模块,用于根据所述系统日志生成规则对所述系统日志信息进行解析,得到各个系统日志对应的特征信息;
日志信息监控模块,用于判断各个所述特征信息是否满足预设的行为标准,若不满足,判定与所述特征信息对应的系统日志为异常日志。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110737181.6A CN113391990A (zh) | 2021-06-30 | 2021-06-30 | 系统日志的监控方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110737181.6A CN113391990A (zh) | 2021-06-30 | 2021-06-30 | 系统日志的监控方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113391990A true CN113391990A (zh) | 2021-09-14 |
Family
ID=77624696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110737181.6A Pending CN113391990A (zh) | 2021-06-30 | 2021-06-30 | 系统日志的监控方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113391990A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115221338A (zh) * | 2022-09-08 | 2022-10-21 | 平安银行股份有限公司 | 知识图谱构建方法及其系统、计算机设备 |
| CN115442263A (zh) * | 2022-08-18 | 2022-12-06 | 上海数禾信息科技有限公司 | 被监控系统的数据监控方法、装置和计算机设备 |
| CN116610642A (zh) * | 2023-04-11 | 2023-08-18 | 华能信息技术有限公司 | 一种多类型设备日志审计方法及系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105005528A (zh) * | 2015-06-26 | 2015-10-28 | 浪潮(北京)电子信息产业有限公司 | 一种日志信息提取方法及装置 |
| CN106250303A (zh) * | 2016-07-28 | 2016-12-21 | 北京北信源软件股份有限公司 | 业务日志收集及预警系统和业务日志收集及预警方法 |
| CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
| CN110990223A (zh) * | 2019-11-27 | 2020-04-10 | 中诚信征信有限公司 | 一种基于系统日志的监控告警方法及装置 |
| CN111221702A (zh) * | 2019-11-18 | 2020-06-02 | 上海维谛信息科技有限公司 | 基于日志分析的异常处理方法、系统、终端及介质 |
| CN111596863A (zh) * | 2020-05-20 | 2020-08-28 | 歌尔科技有限公司 | 一种数据读取方法、装置、设备及可读存储介质 |
| CN111708679A (zh) * | 2020-05-08 | 2020-09-25 | 中国建设银行股份有限公司 | 日志监控方法、系统、装置和存储介质 |
| CN112231192A (zh) * | 2020-10-28 | 2021-01-15 | 北京中电普华信息技术有限公司 | 一种日志数据分析方法及装置 |
| CN112527600A (zh) * | 2020-12-16 | 2021-03-19 | 平安银行股份有限公司 | 监控日志处理方法、装置、设备及存储介质 |
-
2021
- 2021-06-30 CN CN202110737181.6A patent/CN113391990A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105005528A (zh) * | 2015-06-26 | 2015-10-28 | 浪潮(北京)电子信息产业有限公司 | 一种日志信息提取方法及装置 |
| CN106250303A (zh) * | 2016-07-28 | 2016-12-21 | 北京北信源软件股份有限公司 | 业务日志收集及预警系统和业务日志收集及预警方法 |
| CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
| CN111221702A (zh) * | 2019-11-18 | 2020-06-02 | 上海维谛信息科技有限公司 | 基于日志分析的异常处理方法、系统、终端及介质 |
| CN110990223A (zh) * | 2019-11-27 | 2020-04-10 | 中诚信征信有限公司 | 一种基于系统日志的监控告警方法及装置 |
| CN111708679A (zh) * | 2020-05-08 | 2020-09-25 | 中国建设银行股份有限公司 | 日志监控方法、系统、装置和存储介质 |
| CN111596863A (zh) * | 2020-05-20 | 2020-08-28 | 歌尔科技有限公司 | 一种数据读取方法、装置、设备及可读存储介质 |
| CN112231192A (zh) * | 2020-10-28 | 2021-01-15 | 北京中电普华信息技术有限公司 | 一种日志数据分析方法及装置 |
| CN112527600A (zh) * | 2020-12-16 | 2021-03-19 | 平安银行股份有限公司 | 监控日志处理方法、装置、设备及存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115442263A (zh) * | 2022-08-18 | 2022-12-06 | 上海数禾信息科技有限公司 | 被监控系统的数据监控方法、装置和计算机设备 |
| CN115221338A (zh) * | 2022-09-08 | 2022-10-21 | 平安银行股份有限公司 | 知识图谱构建方法及其系统、计算机设备 |
| CN115221338B (zh) * | 2022-09-08 | 2022-12-13 | 平安银行股份有限公司 | 知识图谱构建方法及其系统、计算机设备 |
| CN116610642A (zh) * | 2023-04-11 | 2023-08-18 | 华能信息技术有限公司 | 一种多类型设备日志审计方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113391990A (zh) | 系统日志的监控方法、装置、设备及存储介质 | |
| CN108304308A (zh) | 用户行为监控方法、装置、计算机设备和存储介质 | |
| CN111680068B (zh) | 一种校验方法、装置、设备及存储介质 | |
| CN108304704A (zh) | 权限控制方法、装置、计算机设备和存储介质 | |
| CN109274526B (zh) | 测试缺陷自动预警方法、装置、计算机设备及存储介质 | |
| CN107329894B (zh) | 应用程序系统测试方法、装置及电子设备 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN111666743A (zh) | 报表自动生成方法、装置、计算机设备及存储介质 | |
| CN108847998B (zh) | 报表监控方法、装置、计算机设备和存储介质 | |
| CN109634756B (zh) | 页面事件处理方法、装置、计算机设备及存储介质 | |
| CN109669844A (zh) | 设备故障处理方法、装置、设备和存储介质 | |
| CN111835737B (zh) | 基于自动学习的web攻击防护方法、及其相关设备 | |
| CN110990362A (zh) | 日志查询处理方法、装置、计算机设备和存储介质 | |
| CN109684863B (zh) | 数据防泄漏方法、装置、设备及存储介质 | |
| CN112434335A (zh) | 业务问题的处理方法、装置、计算机设备及存储介质 | |
| CN111897691A (zh) | 质量报告自动生成方法、装置、计算机设备及存储介质 | |
| CN111651442A (zh) | 一种数据报送方法、装置、电子设备及存储介质 | |
| CN110458710B (zh) | 请求处理方法、装置、计算机设备和存储介质 | |
| CN108920357A (zh) | 业务系统检测方法、装置、计算机设备和存储介质 | |
| CN111382944A (zh) | 作业行为风险识别方法、装置、计算机设备和存储介质 | |
| CN110149421A (zh) | 域名系统的异常监测方法、系统、装置和计算机设备 | |
| KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
| CN113472881B (zh) | 在线终端设备的统计方法和装置 | |
| CN113489773B (zh) | 数据接入方法、装置、设备及介质 | |
| CN111176975B (zh) | 一种测试方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210914 |