CN113806158A - 一种日志的接收与处理方法、装置、电子设备和存储介质 - Google Patents
一种日志的接收与处理方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113806158A CN113806158A CN202010527407.5A CN202010527407A CN113806158A CN 113806158 A CN113806158 A CN 113806158A CN 202010527407 A CN202010527407 A CN 202010527407A CN 113806158 A CN113806158 A CN 113806158A
- Authority
- CN
- China
- Prior art keywords
- log
- preset
- logs
- processing
- read
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/254—Extract, transform and load [ETL] procedures, e.g. ETL data flows in data warehouses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/80—Database-specific techniques
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Quality & Reliability (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种日志的接收与处理方法、装置、电子设备和存储介质。其中的日志的接收与处理方法包括:接收日志并将接收到的日志缓存在预设的缓存区中;从缓存区中读取日志,并对读取出的日志进行解析;根据日志的类型对解析后的日志进行富化,在解析后的日志中增加所需的与日志关联的信息;对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换;将过滤处理后的日志存储到预设的数据库中。应用本发明可以提高数据处理速度,提高系统性能,降低资源占用。
Description
技术领域
本申请涉及数据处理技术领域,尤其涉及一种日志的接收与处理方法、装置、电子设备和存储介质。
背景技术
在资源受限环境下(例如,内存和cpu有限),单台设备一般需要接收来自多个防火墙的大量日志,通常情况下,所接收的日志的数据量大约是10w条/秒;另外,在接收日志的同时,一般还需要对所接收的日志实现存储、统计、分析和管理等功能,因此对日志处理方法的性能和可靠性有极高的要求。
在对日志进行处理时,一般需要根据自定义策略为每条日志实时计算并打上多个标签。另外,由于流量审计、资产管理和安全管理等各种需求,还需要判断某条日志是否是内网、是否为内部资产等;而且,伴随着日志系统所接入的防火墙设备的数量和型号的不断增加,对日志系统还将有更高的性能要求。例如,首先需要可以在一秒内接收10w条日志的大数据量,其次需要在短时间内处理、统计所接收的日志,最后还要将每秒就增加10w条的大数据量快速地写入数据库中。
另外,在在对日志进行处理时,还需要从百亿量级的日志中,根据自定义的任意条件来检索所需的日志(ad-hoc query)。由于日志溯源和审计需求等,需要按照多个维度(例如IP、时间等)查询日志,查看是否违规情况等。日志系统需要支持在线对百亿级别的日志提供高效的复杂条件查询,这对于单机环境下的CPU和内存资源都是一个挑战,而当前的现有技术中也未提供相应的可以取得较好的实际应用效果的实现方案。
发明内容
有鉴于此,本发明提供了一种日志的接收与处理方法、装置、电子设备和存储介质,从而可以提高数据处理速度,提高系统性能,降低资源占用。
第一方面,本发明实施例提供了一种日志的接收与处理方法,该方法包括:
接收日志并将接收到的日志缓存在预设的缓存区中;
从缓存区中读取日志,并对读取出的日志进行解析;
根据日志的类型对解析后的日志进行富化,在解析后的日志中增加所需的与日志关联的信息;
对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换;
将过滤处理后的日志存储到预设的数据库中。
进一步的,所述对读取出的日志进行解析包括:
从读取出的日志中提取关键字段;
将读取出的日志转换成预设的日志格式。
进一步的,所述从读取出的日志中提取关键字段包括:
从预设的配置文件中读取提取策略,并根据所述提取策略从读取出的日志中提取相应的关键字段。
进一步的,所述对解析后的日志进行富化包括:
对解析后的日志中需要翻译的字段进行翻译;
对解析后的日志中需要关联的字段进行关联。
进一步的,该方法还包括:
从预设的配置文件中读取富化策略;
根据所述富化策略,提取日志中的接口字段;
根据所述接口字段获取发送日志的服务器的接口,并判断所述服务器的接口是否为标准的接口。
进一步的,该方法还包括:
根据富化策略以及日志的威胁类型,从外部数据库获取日志的资产。
进一步的,所述对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换包括:
从预设的配置文件中读取过滤策略;
根据所述过滤策略对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换,形成原始数据表和/或统计表。
进一步的,所述对日志中的相应字段进行抽取和转换包括:
根据过滤策略从富化后的日志中提取相应的字段,并将所提取的字段转换成预设的格式。
进一步的,所述将过滤处理后的日志存储到预设的数据库中包括:
将过滤处理后的日志发送给写入器,以使写入器将接收到的日志存储到预设的数据库中。
进一步的,该方法还包括:
为每一个写入器设置一个缓存区以及一个对应的执行器,其中,所述写入器用于将过滤处理后的日志缓存在缓存区中,所述写入器对应的执行器用于将缓存在缓存区中的日志读取出来,并存储至预设的数据库中。
进一步的,该方法还包括:
通过预设的错峰策略,使得多个执行器通过错峰的方式将写入器的缓存区中的日志存储至预设的数据库中。
进一步的,该方法还包括:
通知执行器将预先设置的两个规则缓冲区中的一个规则缓冲区作为其主缓存区,并将另一个规则缓冲区作为备用缓存区,其中,所述主缓存区中预先存储有处理规则;
通知执行器从当前的主缓存区中读取处理规则,并根据所读取的处理规则对日志进行处理;
当处理规则发生更新时,将更新后的处理规则主动推送至执行器当前的备用缓存区中,然后通知执行器切换缓冲区,以使执行器在接收到通知后,在处理下一条日志时,先将当前的备用缓存区作为当前的主缓存区,并将另一个规则缓冲区作为备用缓存区;然后,从当前的主缓存区中读取处理规则,并根据所读取的处理规则对下一条日志进行处理。
进一步的,该方法还包括:
当执行器切换缓冲区之后,将更新后的处理规则主动推送至执行器当前的备用缓存区。
进一步的,该方法还包括:
对所接收到的日志的数量、所解析的日志的数量、所富化的日志的数量以及所过滤的日志的数量分别进行计数;
根据预设的限流策略以及计数信息确定是否进行限流操作。
第二方面,本发明实施例还提供了一种日志的接收与处理装置,其特征在于,该装置包括:接收器、缓存区、解析器、富化器、过滤器、写入器和数据库;
所述接收器,用于接收日志并将接收到的日志缓存在预设的缓存区中;
所述解析器,用于从缓存区中读取日志,并对读取出的日志进行解析,并将解析后的日志分发给一个或多个富化器;
所述富化器,用于根据日志的类型对解析后的日志进行富化,并根据预设的聚合策略将富化后的日志分发给一个或多个过滤器;
所述过滤器,用于对接收到的日志进行过滤,对日志中的相应字段进行抽取和转换;
所述写入器,用于将过滤处理后的日志存储到数据库中。
进一步的,所述装置还包括:计数器和限流器;
所述计数器,用于对各个接收器所接收到的日志的数量、各个解析器所解析的日志的数量、各个富化器所富化的日志的数量以及各个过滤器所过滤的日志的数量分别进行计数,并将各个计数信息分别发送给所述限流器;
所述限流器,用于根据预设的限流策略以及接收到的计数信息确定是否进行限流操作。
进一步的,所述装置还包括:一个或多个转发器;
所述转发器,用于将解析后的日志发送给外部装置。
进一步的,所述装置还包括:分发器;
所述分发器,用于从缓存区中读取日志,并根据预设的第一分发策略将从缓存区中读取的日志分发给各个解析器。
进一步的,所述装置还包括:配置器;
所述配置器中设置有配置文件,所述配置文件中存储有多种策略。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器、总线及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如第一方面所述日志的接收与处理方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如第一方面所述日志的接收与处理方法的步骤。
由上述技术方案可知,本发明中的日志的接收与处理方法、装置、电子设备和存储介质,由于先将日志缓存在的缓存区中,然后从缓存区中读取日志并进行解析,根据日志的类型对解析后的日志进行富化,对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换后,再将过滤处理后的日志存储到预设的数据库中,因此可以根据日志的来源、类型分别进行富化和过滤,对日志进行上述处理之后再存储到数据库中,因而便于对数据库进行快速的查询,从而可以提高数据处理速度,提高系统性能,降低资源占用。
附图说明
图1为本发明一个实施例中的日志的接收与处理方法的流程示意图。
图2为本发明一个实施例中的日志的接收与处理装置的结构示意图。
图3为本发明一个实施例中的两个规则缓冲区的工作原理示意图。
图4为本发明一个实施例中的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1为本发明一个实施例中的日志的接收与处理方法的流程示意图。
如图1所示,本发明一个实施例中的日志的接收与处理方法包括如下所述步骤:
步骤10,接收日志并将接收到的日志缓存在预设的缓存区中。
在本发明的技术方案中,日志源(Sources)将发送各种类型的日志(例如,操作系统日志、网络守护进程日志、应用程序日志、网络基础设施日志、完全主机日志等等)。为了对这些日志源所发送的日志进行处理,可以先将接收到的日志缓存在预设的缓存区中。
例如,在本发明的一个可选的具体实施方式中,可以预先设置一个或多个接收器(Reader),用于接收日志源(例如,防火墙)所发送的各种类型的日志,并将所接收到的日志缓存在预设的缓存区(Buffer)中。
另外,进一步的,在本发明的一个可选的具体实施方式中,还可以预先设置一个计数器(Counter);每个接收器在接收到日志之后,还可以将其接收到日志的信息发送给该计数器。因此,该计数器可以用于对各个接收器所接收到的日志的数量进行计数,从而可以进行多时间维度的日志计数,以便于在后续流程中进行相应的计算和/或统计。
另外,进一步的,在本发明的一个可选的具体实施方式中,还可以预先设置一个限流器(Limiter);所述计数器可以将其计数信息发送给该限流器;该限流器可以用于接收计数器发送的计数信息,并根据预设的限流策略以及接收到的计数信息确定是否进行限流操作。
步骤20,从缓存区中读取日志,并对读取出的日志进行解析。
在本发明的技术方案中,在缓存区中缓存日志之后,还需要对缓存区中的日志进行后续的处理。因此,在本步骤中,将会缓存区中读取日志,并对读取出的日志进行解析。
例如,在本发明的一个可选的具体实施方式中,可以预先设置一个或多个解析器(Parser),然后各个解析器根据预设的第一分发策略分别从缓存区中读取的日志,并对所读取的日志进行解析。
再例如,在本发明的另一个可选的具体实施方式中,还可以预先设置一个分发器,并预先设置一个或多个解析器;所述分发器从缓存区中读取日志,并根据预设的第一分发策略将从缓存区中读取的日志分发给各个解析器,各个解析器将分别对所接收到的日志进行解析。
上述分发器在将所读取的日志分发给各个解析器时,可以先判断所读取的日志的类型,然后根据日志的类型以及预设的第一分发策略,将所读取的日志分发给相应的解析器,使得每一个解析器可以仅处理预先设定的某一种类型或某几种类型的日志。
另外,在本发明的一个可选的具体实施方式中,所述第一分发策略可以预先存储在预设的配置文件中,并可根据实际应用情况的需要实时地对配置文件中的第一分发策略进行更新,从而使得解析器可以根据更新后的第一分发策略从缓存区中获取相应的日志。
再例如,在本发明的一个可选的具体实施方式中,所述对读取出的日志进行解析可以包括如下步骤:
步骤21,从读取出的日志中提取关键字段。
在本步骤中,在对读取出的日志进行解析时,可以先从所读取的日志中提取出关键字段,以便于进行后续的处理和/或统计。
例如,作为示例,在本发明的一个可选的具体实施例中,所述关键字段可以是:源ip地址(srcIP)、目的ip地址(dstIP)等。
再例如,作为示例,在本发明的一个可选的具体实施例中,解析器可以从预设的配置文件中读取相应的提取策略,并根据该提取策略从读取出的日志中提取相应的关键字段。
在上述的配置文件中可以存储相应的提取策略(例如,需要提取哪些关键字段等),因此解析器可以根据该提取策略确定需要提取日志中的哪些关键字段。上述提取策略可以预先存储在配置文件中,并可根据实际应用情况的需要实时地对配置文件中的提取策略进行更新,从而使得解析器可以根据预设的或者更新后的提取策略从读取出的日志中提取相应的关键字段。
步骤22,将读取出的日志转换成预设的日志格式。
例如,作为示例,在本发明的一个可选的具体实施例中,所述预设的日志格式可以是<k,v>格式;其中,k表示键(Key),v表示值(Value)。当然,在本发明的技术方案中,所述预设的日志格式也可以是其它的合适的格式,本发明对此并不做限制。
在将提取出的日志转换成预设的日志格式之后,可以将日志解析成结构化数据,该日志的结构化数据在后续的处理过程中就将以字节格式缓存,从而可以省略类型转换的时间消耗。
通过上述的步骤21和步骤22,即可完成对读取出的日志的解析。
此外,在本发明的一个可选的具体实施方式中,还可以进一步预先设置一个或多个转发器(Forwarder),所述转发器可以将解析后的日志发送给外部装置。
例如,作为示例,在本发明的一个可选的具体实施例中,所述外部装置可以是其它的日志的接收与处理装置,也可以是外部的旁路监听设备,或是其它的数据处理设备。
例如,当由于日志的流量过大,已经超过当前所能处理的流量上限时,可以通过上述转发器将解析后的日志发送给外部装置处理;或者,当需要进行旁路监听时,也可以通过上述转发器将解析后的日志发送给外部的旁路监听设备进行旁路监听。
另外,进一步的,在本发明的一个可选的具体实施方式中,每个解析器在对一条日志完成解析之后,还可以将其完成一条日志解析的信息发送给计数器(Counter)。因此,该计数器可以用于对各个解析器所解析的日志的数量进行计数,从而可以进行多时间维度的日志计数,以便于在后续流程中进行相应的计算和/或统计。
步骤30,根据日志的类型对解析后的日志进行富化。
在本发明的技术方案中,在对日志进行解析之后,还需要根据日志的类型对解析后的日志分别进行富化,在解析后的日志中增加所需的与日志关联的信息。
例如,在本发明的一个可选的具体实施方式中,可以预先设置多个富化器(Richer),然后各个富化器根据预设的富化策略对解析后的日志按照其所属的类型进行富化。
再例如,在本发明的一个可选的具体实施方式中,解析器对日志进行解析之后,可以根据预设的第二分发策略将解析后的日志分发给一个或多个富化器。
具体来说,解析器在分发解析后的日志之前,可以先判断解析后的日志的类型,然后再根据日志的类型以及预设的第二分发策略,将解析后的日志分发给相应的一个或多个富化器,使得每一个富化器可以仅处理预先设定的某一种类型或某几种类型的日志。
另外,在本发明的一个可选的具体实施方式中,所述第二分发策略和富化策略可以预先存储在预设的配置文件中,并可根据实际应用情况的需要实时地对配置文件中的第二分发策略和富化策略进行更新,从而使得解析器可以根据预设的或者更新后的第二分发策略将解析后的日志分发给相应的富化器,各个富化器可以根据预设的或者更新后的富化策略对解析后的日志进行富化。
此外,在本发明的一个可选的具体实施方式中,所述对解析后的日志进行富化可以包括如下步骤:
步骤31,对解析后的日志中需要翻译的字段进行翻译。
例如,由于数据库的本身特性,数据库中所存储的字段一般都是用英语或英语字母来表示的,或者是数据库本身不支持中文,而在对该数据库进行检索、查询等操作时,向用户显示相关内容时需要使用中文,因此需要对日志中的一些字段进行翻译。
所以,在本步骤中,可以根据富化策略对解析后的日志中需要翻译的字段进行翻译。
例如,在本发明的一个可选的具体实施方式中,当需要对日志中的应用程序名称(appName)字段进行翻译时,富化器可以根据预设的富化策略对日志中的appName字段进行翻译。
举例来说,当需要对日志中的appName字段进行翻译时,富化器可以根据所需翻译的appName字段,从富化策略中获取该appName字段对应的标识(ID)、中文(CN)、子名称(SubName)等字段的值,然后将中文(CN)字段的值赋予英文(ZH)字段,实现对appName字段的翻译。进一步的,还可将所获取的标识(ID)、中文(CN)、子名称(SubName)等字段的值写入到统一的预设的日志格式中,完成对该日志的富化。
通过上述的翻译操作,就可以根据日志中的相应字段(例如,ID字段等)查询到与appName字段相关联的信息,例如,该appName字段对应的应用程序(app)是否为重点关注的应用程序,和/或是否为禁止使用或不安全的应用程序。
再例如,在本发明的一个可选的具体实施方式中,富化器还可以确定解析后的日志的威胁等级,并根据预设的富化策略将日志的威胁类型设置为对应的等级,完成威胁等级的翻译。
举例来说,所述威胁等级可以为高(high)、中(medium)或低(low)等三个等级,也可以是其它的预先设置的多个等级。
另外,在本发明的一个可选的具体实施方式中,翻译字段的值可以通过json文件写入对应的翻译关系。其中,所述翻译关系可以是一种字典表、数据库或者知识库,其来源可以是预先设置的具有json结构的配置文件,也可以从其他外部系统(例如,资产系统)中获得。
步骤32,对解析后的日志中需要关联的字段进行关联。
在本步骤中,还将对解析后的日志中需要关联的字段进行关联。
例如,在本发明的一个可选的具体实施方式中,富化器可以根据预设的富化策略,判断日志中的IP地址是否为内网的IP地址。
举例来说,富化器可以将日志中的IP地址与富化策略中所存储的各个内网IP地址进行比对,如果该日志中的IP地址与富化策略中的某个内网IP地址相同,则表示该日志中的IP地址是内网的IP地址,返回YES(例如,将该日志的相应字段的值设置为YES,以表示该日志中的IP地址是内网的IP地址);否则,则表示该日志中的IP地址不是内网的IP地址,返回NO(例如,将该日志的相应字段的值设置为NO,以表示该日志中的IP地址不是内网的IP地址)。
再例如,在本发明的一个可选的具体实施方式中,富化器还可以进一步根据预设的富化策略,提取日志中的接口字段,并根据该接口字段获取发送该日志的服务器的接口,并判断该服务器的接口是否为标准的接口。通过该操作,可以获知某些类型的日志(例如,流量日志)的来源是否为服务器的标准接口。
再例如,在本发明的一个可选的具体实施方式中,富化器还可以根据预设的富化策略以及日志的威胁类型,从外部数据库获取日志的资产(即日志的关联信息)。
举例来说,在本发明的一个可选的具体实施方式中,可以预先设置一个外联模块,所述外联模块可以根据配置文件访问相应的外部数据库(例如,配置文件中存储有各个外部数据库的相应信息,譬如,外部数据库的名称、地址、端口、用户名、密码以及同步时间间隔等信息),从外部数据库中获取相应的数据信息,并保持与外部数据库的同步更新。由于外联模块中已经存储有外部数据库中的数据信息,因此富化器可以根据预设的富化策略以及日志的威胁类型,从外联模块中获取日志的关联信息。
通过上述的步骤31和步骤32,即可完成对解析后的日志的富化。
另外,在本发明的一个可选的具体实施方式中,所述富化策略可以预先存储在预设的配置文件中,并可根据实际应用情况的需要实时地对配置文件中的富化策略进行更新,从而使得富化器可以根据预设的或更新后的富化策略对解析后的日志中需要翻译的字段进行翻译。
另外,进一步的,在本发明的一个可选的具体实施方式中,每个富化器在对一条日志完成富化之后,还可以将其完成一条日志富化的信息发送给计数器(Counter)。因此,该计数器可以用于对各个富化器所富化的日志的数量进行计数,从而可以进行多时间维度的日志计数,以便于在后续流程中进行相应的计算和/或统计。
步骤40,对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换。
在本发明的技术方案中,在对日志进行富化之后,还需要对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换。
例如,在本发明的一个可选的具体实施方式中,可以预先设置多个过滤器(Filter),然后各个过滤器根据预设的过滤策略对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换。
在现有技术中,通常都是将富化后的日志数据都直接存储在原始数据表中。由于原始数据表中所存储的数据太多,因此不便于进行快速地查询。
所以,在本发明的技术方案中,除了需要根据富化后的日志得到原始数据表之外,还需要根据实际应用情况的需要得到一个或多个统计表,从而可以在后续过程中进行快速地查询,向用户提供用户所需的各种统计表,或者根据各个统计表得到所需的各种统计结果。
因此,一条富化后的日志的数据除了需要存储到原始数据表中之外,还可能需要分发到多个统计表中。例如,当需要满足某些需求时,一条流量日志的数据,除了需要存储到原始数据表中之外,还可能需要分别分发到流量表(Traffic)、每分钟源地址总流量表(TrafficSummingSrcMinute)、每分钟目的地址总流量表(TrafficSummingDstMinute),每分钟总流量表(TrafficSummingMinute)等多个统计表中。
所以,在本步骤中,在对解析后的日志进行富化之后,还需根据预设的聚合策略将富化后的日志分发给一个或多个过滤器,使得每一个过滤器都可以根据预设的过滤策略对所接收到的富化后的日志进行过滤处理,对日志中的相应字段进行抽取和转换,以便于将经过过滤处理后的日志信息存储到相应的表格中,以形成所需的原始数据表和/或统计表。
例如,在本发明的一个可选的具体实施方式中,可以预先设置一个或多个过滤器(Filter),在聚合策略中为每一种类型的日志都设置相应的分发规则以及相应的过滤器,并为每个过滤器设置对应的过滤策略。因此,根据该聚合策略即可确定需要将富化后的哪种类型的日志发送到哪些过滤器,而各个过滤器则可根据其对应的过滤策略对富化后的日志进行过滤处理,以形成所需的原始数据表和/或统计表。
所以,在对解析后的日志进行富化之后,即可根据聚合策略确定需要将富化后的日志发送到哪些过滤器,从而可以根据所述聚合需求将富化后的日志分发到对应的过滤器中,而过滤器则可根据其对应的过滤策略对富化后的日志进行过滤处理,对日志中的相应字段进行抽取和转换,以形成所需的原始数据表和/或统计表。
另外,在本发明的一个可选的具体实施方式中,所述聚合策略和过滤策略可以预先存储在预设的配置文件中,并可根据实际应用情况的需要实时地对配置文件中的聚合策略和过滤策略进行更新,从而使得富化器可以根据预设的或者更新后的聚合策略将富化后的日志分发给各个相应的过滤器,各个过滤器可以根据预设的或者更新后的过滤策略对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换。
此外,在本发明的一个可选的具体实施方式中,当过滤器对所接收到的日志进行处理时,将对日志的字段进行抽取和转换操作。
例如,具体来说,在对日志的字段进行抽取和转换操作时,可以根据过滤策略从富化后的日志中提取相应的字段,并将所提取的字段转换成预设的格式。
举例来说,在不同的日志中,时间字段可能会使用不同的格式(例如,时间戳或字符串等格式)来表示时间。因此,可以从日志中提取时间字段,并将所提取的时间字段转换成统一的预设的格式(例如,时间戳格式),从而便于在后续流程中进行统一的处理,以形成所需的原始数据表和/或统计表。
另外,进一步的,在本发明的一个可选的具体实施方式中,每个过滤器在对一条日志完成过滤之后,还可以将其完成一条日志过滤的信息发送给计数器(Counter)。因此,该计数器可以用于对各个过滤器所过滤的日志的数量进行计数,从而可以进行多时间维度的日志计数,以便于在后续流程中进行相应的计算和/或统计。
因此,在本发明的一个可选的具体实施方式中,可以对所接收到的日志的数量、所解析的日志的数量、所富化的日志的数量以及所过滤的日志的数量分别进行计数,然后再根据预设的限流策略以及计数信息确定是否进行限流操作。
另外,进一步的,在本发明的一个可选的具体实施方式中,所述限流策略可以预先存储在预设的配置文件中,并可根据实际应用情况的需要实时地对配置文件中的限流策略进行更新,从而使得限流器可以根据更新后的限流策略以及接收到的计数信息确定是否进行限流操作。
步骤50,将过滤处理后的日志存储到预设的数据库中。
在本发明的技术方案中,在对日志进行过滤处理之后,即可将过滤处理后的日志(例如,原始数据表和各种统计表)存储到预设的数据库中。
例如,在本发明的一个可选的具体实施方式中,所述预设的数据库可以是:ClickHouse。
ClickHouse是一种开源的列式存储数据库,可以持久化存储日志数据。ClickHouse从联机分析处理(OLAP)场景需求出发,定制开发了一套全新的高效列式存储引擎,并且实现了数据有序存储、主键索引、稀疏索引、数据分片(Sharding)、数据分区(Partitioning)、生存时间(TTL)、主备复制等丰富的功能。以上功能共同为ClickHouse极速的分析性能奠定了基础。因此,当使用ClickHouse作为预设的数据库时,可以充分地利用Clickhouse的特性与表结构定义,在接收日志时自动实现业务统计逻辑。而且,可以使用ClickHouse中的合并树(MergeTree)表引擎,使用时间字段作为排序主键和分块主键,从而提高按照时间区间维度查询日志的效率。另外,对于需要做统计计算处理的数据,可以通过使用ClickHouse中的求和合并树(SummingMergeTree),对数据类型的字段在merge阶段直接合并,从而可以显著的减少存储空间并加快数据查询的速度。
另外,在本发明的一个可选的具体实施方式中,所述将过滤处理后的日志存储到预设的数据库中可以包括如下的步骤:
步骤51,将过滤处理后的日志发送给写入器(Writer)。
例如,在本发明的一个可选的具体实施方式中,可以预先设置多个写入器,并使得每一个过滤器均一一对应于一个写入器,并为每一个写入器设置一个缓存区。因此,当通过过滤器对日志进行过滤处理之后,就可以将过滤处理后的日志(例如,原始数据表和各种统计表)发送给与过滤器对应的写入器,并缓存在写入器的缓存区中。
步骤52,写入器将接收到的日志存储到预设的数据库中。
在本步骤中,写入器可以将其缓存区中的日志写入到预设的数据库中。
例如,在本发明的一个可选的具体实施方式中,可以预先为每个写入器配置一个对应的执行器(worker)。因此,当过滤器完成对日志的过滤处理,并将过滤处理后的日志缓存在Writer缓存区中之后,与该Writer对应的worker即可将缓存在Writer缓存区中的日志读取出来,并存储至预设的数据库中。
另外,在本发明的一个可选的具体实施方式中,当Writer的缓存区已满时,将自动刷新Writer缓存区入库,即,将Writer的缓存区中当前缓存的所有日志全部存储至预设的数据库中,并清空Writer的缓存区。
另外,在本发明的另一个可选的具体实施方式中,当达到预设的存储时刻时(例如,预设的某个时间点,或者每秒刷新一次),将自动刷新Writer缓存区入库,即,将Writer的缓存区中当前缓存的所有日志全部存储至预设的数据库中,并清空Writer的缓存区。
另外,在本发明的另一个可选的具体实施方式中,当接收到预设的存储指令时(例如,接收到外界输入的刷新指令时),将自动刷新Writer缓存区入库,即,将Writer的缓存区中当前缓存的所有日志全部存储至预设的数据库中,并清空Writer的缓存区。
此外,在本发明的另一个可选的具体实施方式中,当使用多个worker存储日志时,还可以通过预设的错峰策略,使得多个worker通过错峰的方式将Writer缓存区中的日志存储至预设的数据库中。
例如,在本发明的另一个可选的具体实施方式中,可以为每一个worker预先设置一个唯一的编号和一个随机数,各个worker即可根据其所对应的编号和随机数确定其将日志写入预设的数据库中的时间,从而使得各个worker能够尽量错开向预设的数据库中写入日志的时间,尽量避免在同一时间有多个worker同时向预设的数据库中写入日志的问题。
此外,在本发明的另一个可选的具体实施方式中,当通过worker对一条日志进行处理时,一般都需要根据预先配置的处理规则对日志进行处理。由于在本发明的技术方案中,处理规则是可以动态调整的,因此,为了适应上述动态可调的处理规则,提高处理速度,在本发明的另一个可选的具体实施方式中,可以预先设置两个规则缓冲区:第一规则缓冲区R和第二规则缓冲区W,如图3所示。
在正常工作状态下,可以通知worker将其中的一个规则缓冲区作为其主缓存区,例如,可以将第一规则缓冲区R作为其主缓存区,而将另一个规则缓冲区(即第二规则缓冲区W)作为备用缓存区,然后从当前的主缓存区(即第一规则缓冲区R)中读取处理规则(所述主缓存区中预先存储有处理规则),并根据该读取的处理规则对日志进行处理。
当当前的处理规则发生了更新时,则可以将更新后的处理规则先主动推送至worker当前的备用缓存区(即第二规则缓冲区W)中,然后通知worker切换缓冲区。Worker在接收到通知后,在处理下一条日志时先切换缓冲区,将当前的备用缓存区(即第二规则缓冲区W)作为当前的主缓存区,并将另一个规则缓冲区(即第一规则缓冲区R)作为备用缓存区;然后,从当前的主缓存区(即第二规则缓冲区W)中读取处理规则,并根据该读取的处理规则对下一条日志进行处理。
更进一步的,当worker切换缓冲区之后,还需要将更新后的处理规则也主动推送至worker当前的备用缓存区,从而使得两个规则缓冲区中的处理规则实现同步更新。
另外,在本发明的另一个可选的具体实施方式中,可以使用golang语言中的通道(channal)将更新后的处理规则主动推送到两个规则缓冲区中,并通知worker切换缓冲区。
通过上述的两个规则缓冲区以及相关的更新流程,可以实现实时同步外部配置,不仅保证数据操作的正确性和安全性,也可以使得共享缓冲区可以得到高效的利用。
在本发明的技术方案中,由于先将富化后的日志分发给多个过滤器,通过各个过滤器对接收到的日志进行过滤,对日志中的相应字段进行抽取和转换,形成所需的原始数据表和/或统计表,然后再将过滤处理后的日志存储到预设的数据库中,因此可以在后续的流程中有效地提高查询速度,还可以有效地减小日志数据的存储量。
例如,作为实例,在本发明的一个可选的具体实施方式中,可以通过各个过滤器对接收到的日志进行过滤,建立分钟级别的统计表:每分钟源地址总流量表(TrafficSummingSrcMinute),并将该“每分钟源地址总流量表”存储在预设的数据库中。
因此,当需要根据实际的需求建立不同级别的时间维度上的视图时,可以向上述数据库发送指令,读取上述的“每分钟源地址总流量表”,并可以基于上述的“每分钟源地址总流量表”,分别建立“小时”级别的统计表(TrafficSummingSrcHour)以及“天”级别的统计表(TrafficSummingSrcDay),从而可以根据实际的需求分别生成不同级别的时间维度上的视图。
举例来说,可以按照分钟级别生成日志分钟视图,或者按照小时级别生成日志小时视图,或者按照天级别生成日志天视图等等,因此可以在进行日志检索时,依照不同时间区间选择合适的视图进行查询操作,从而可以有效地提高查询速度,提高用户的体验度。
再例如,作为实例,在本发明的一个可选的具体实施方式中,可以通过各个过滤器对接收到的日志进行过滤,分别建立源IP统计表(TrafficSummingSrcMinute)和目的IP统计表(TrafficSummingDstMinute),并将该源IP统计表和目的IP统计表存储在预设的数据库中。
当需要查询日志数据的IP信息时,可以分别在上述的源IP统计表和目的IP统计表进行查询,从而可以有效地提高查询速度,并有效地减小日志数据的存储量。
举例来说,假设接收到一亿条日志,且这一亿条日志数据中只有IP地址是不同的,且不同的源IP地址只有2个,不同的目的IP地址只有3个,则可以通过各个过滤器对接收到的这一亿条日志进行过滤,将各条日志中的IP地址存储在上述的源IP统计表和目的IP统计表中。处理完之后,源IP统计表将有2条数据(即2个不同的源IP地址),而目的IP统计表将有3条数据(即3个不同的目的IP地址)。而如果使用现有技术中的相关方法,则需要在原始数据表中存储2*3条数据。
由此可知,通过使用本发明的技术方案,可以通过分表的方式将原始数据表拆分成源IP统计表和目的IP统计表,因此可以将日志存储量从N*M的级别减低到N+M的级别,从而可以有效地减小日志数据的存储量。
此外,在本发明的另一个可选的具体实施方式中,可以设置一个配置文件,所述配置文件中存储有各种策略(例如,限流策略、第一分发策略、提取策略、富化策略、第二分发策略、过滤策略、聚合策略等)。所述配置文件中的各种策略可以预先设置,并可根据实际应用情况的需要实时地对配置文件中的各种策略进行更新。
另外,在本发明的一个可选的具体实施方式中,所述配置文件可以存储在预设的存储位置(例如,预设的配置文件缓冲区,或者是预设的存储设备或存储区等)。
另外,在本发明的技术方案中,还提供了一种日志的接收与处理装置。
图2为本发明一个实施例中的日志的接收与处理装置的结构示意图,如图2所示,本发明一个实施例中的日志的接收与处理装置包括:接收器201、缓存区202、解析器203、富化器204、过滤器205、写入器206和数据库207;
所述接收器201,用于接收日志并将接收到的日志缓存在预设的缓存区202中;
所述解析器203,用于从缓存区202中读取日志,并对读取出的日志进行解析,并将解析后的日志分发给一个或多个富化器204;
所述富化器204,用于根据日志的类型对解析后的日志进行富化,并根据预设的聚合策略将富化后的日志分发给一个或多个过滤器205;
所述过滤器205,用于对接收到的日志进行过滤,对日志中的相应字段进行抽取和转换;
所述写入器206,用于将过滤处理后的日志存储到预设的数据库207中。
可选地,在本发明的一个具体实施方式中,所述日志的接收与处理装置还可以包括:计数器208和限流器209;
所述计数器208,用于对各个接收器所接收到的日志的数量、各个解析器所解析的日志的数量、各个富化器所富化的日志的数量以及各个过滤器所过滤的日志的数量分别进行计数,并将各个计数信息分别发送给所述限流器209;
所述限流器209,用于根据预设的限流策略以及接收到的计数信息确定是否进行限流操作。
可选地,在本发明的一个具体实施方式中,所述日志的接收与处理装置还可以包括:一个或多个转发器210;
所述转发器210,用于将解析后的日志发送给外部装置。
可选地,在本发明的一个具体实施方式中,所述日志的接收与处理装置还可以包括:分发器(图2中未示出);
所述分发器,用于从缓存区中读取日志,并根据预设的第一分发策略将从缓存区中读取的日志分发给各个解析器。
可选地,在本发明的一个具体实施方式中,所述日志的接收与处理装置还可以包括:配置器(图2中未示出);
所述配置器中设置有配置文件,所述配置文件中存储有多种策略。
所述多种策略可以包括:限流策略、第一分发策略、提取策略、富化策略、第二分发策略、过滤策略、聚合策略等策略。所述配置文件中的各种策略可以预先设置,并可根据实际应用情况的需要实时地对配置文件中的各种策略进行更新。
另外,本发明实施例提供的日志的接收与处理装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4示出了本发明一实施例提供的一种电子设备的结构示意图,如图4所示,该电子设备可以包括存储器402、处理器401、总线403以及存储在存储器402上并可在处理器401上运行的计算机程序,其中,处理器401和存储器402通过总线403完成相互间的通信。所述处理器401执行所述计算机程序时实现上述方法的步骤,例如包括:接收日志并将接收到的日志缓存在预设的缓存区中;从缓存区中读取日志,并对读取出的日志进行解析;根据日志的类型对解析后的日志进行富化;对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换;将过滤处理后的日志存储到预设的数据库中。
另外,本发明一实施例中还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤,例如包括:接收日志并将接收到的日志缓存在预设的缓存区中;从缓存区中读取日志,并对读取出的日志进行解析;根据日志的类型对解析后的日志进行富化;对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换;将过滤处理后的日志存储到预设的数据库中。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (17)
1.一种日志的接收与处理方法,其特征在于,该方法包括:
接收日志并将接收到的日志缓存在预设的缓存区中;
从缓存区中读取日志,并对读取出的日志进行解析;
根据日志的类型对解析后的日志进行富化,在解析后的日志中增加所需的与日志关联的信息;
对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换;
将过滤处理后的日志存储到预设的数据库中。
2.根据权利要求1所述的方法,其特征在于,所述对读取出的日志进行解析包括:
从读取出的日志中提取关键字段;
将读取出的日志转换成预设的日志格式。
3.根据权利要求2所述的方法,其特征在于,所述从读取出的日志中提取关键字段包括:
从预设的配置文件中读取提取策略,并根据所述提取策略从读取出的日志中提取相应的关键字段。
4.根据权利要求1所述的方法,其特征在于,所述对解析后的日志进行富化包括:
对解析后的日志中需要翻译的字段进行翻译;
对解析后的日志中需要关联的字段进行关联。
5.根据权利要求4所述的方法,其特征在于,该方法还进一步包括:
从预设的配置文件中读取富化策略;
根据所述富化策略,提取日志中的接口字段;
根据所述接口字段获取发送日志的服务器的接口,并判断所述服务器的接口是否为标准的接口。
6.根据权利要求5所述的方法,其特征在于,该方法还进一步包括:
根据富化策略以及日志的威胁类型,从外部数据库获取日志的资产。
7.根据权利要求1所述的方法,其特征在于,所述对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换包括:
从预设的配置文件中读取过滤策略;
根据所述过滤策略对富化后的日志进行过滤,对日志中的相应字段进行抽取和转换,形成原始数据表和/或统计表。
8.根据权利要求7所述的方法,其特征在于,所述对日志中的相应字段进行抽取和转换包括:
根据过滤策略从富化后的日志中提取相应的字段,并将所提取的字段转换成预设的格式。
9.根据权利要求1所述的方法,其特征在于,所述将过滤处理后的日志存储到预设的数据库中包括:
将过滤处理后的日志发送给写入器,以使写入器将接收到的日志存储到预设的数据库中。
10.根据权利要求9所述的方法,其特征在于,该方法还进一步包括:
为每一个写入器设置一个缓存区以及一个对应的执行器,其中,所述写入器用于将过滤处理后的日志缓存在缓存区中,所述写入器对应的执行器用于将缓存在缓存区中的日志读取出来,并存储至预设的数据库中。
11.根据权利要求10所述的方法,其特征在于,该方法还进一步包括:
通过预设的错峰策略,使得多个执行器通过错峰的方式将写入器的缓存区中的日志存储至预设的数据库中。
12.根据权利要求1所述的方法,其特征在于,该方法还进一步包括:
通知执行器将预先设置的两个规则缓冲区中的一个规则缓冲区作为其主缓存区,并将另一个规则缓冲区作为备用缓存区,其中,所述主缓存区中预先存储有处理规则;
通知执行器从当前的主缓存区中读取处理规则,并根据所读取的处理规则对日志进行处理;
当处理规则发生更新时,将更新后的处理规则主动推送至执行器当前的备用缓存区中,然后通知执行器切换缓冲区,以使执行器在接收到通知后,在处理下一条日志时,先将当前的备用缓存区作为当前的主缓存区,并将另一个规则缓冲区作为备用缓存区;然后,从当前的主缓存区中读取处理规则,并根据所读取的处理规则对下一条日志进行处理。
13.根据权利要求12所述的方法,其特征在于,该方法还进一步包括:
当执行器切换缓冲区之后,将更新后的处理规则主动推送至执行器当前的备用缓存区。
14.根据权利要求1所述的方法,其特征在于,该方法还进一步包括:
对所接收到的日志的数量、所解析的日志的数量、所富化的日志的数量以及所过滤的日志的数量分别进行计数;
根据预设的限流策略以及计数信息确定是否进行限流操作。
15.一种日志的接收与处理装置,其特征在于,该装置包括:接收器、缓存区、解析器、富化器、过滤器、写入器和数据库;
所述接收器,用于接收日志并将接收到的日志缓存在预设的缓存区中;
所述解析器,用于从缓存区中读取日志,并对读取出的日志进行解析,并将解析后的日志分发给一个或多个富化器;
所述富化器,用于根据日志的类型对解析后的日志进行富化,并根据预设的聚合策略将富化后的日志分发给一个或多个过滤器;
所述过滤器,用于对接收到的日志进行过滤,对日志中的相应字段进行抽取和转换;
所述写入器,用于将过滤处理后的日志存储到数据库中。
16.一种电子设备,包括存储器、处理器、总线及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至14任一项所述日志的接收与处理方法的步骤。
17.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至14任一项所述日志的接收与处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010527407.5A CN113806158A (zh) | 2020-06-11 | 2020-06-11 | 一种日志的接收与处理方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010527407.5A CN113806158A (zh) | 2020-06-11 | 2020-06-11 | 一种日志的接收与处理方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113806158A true CN113806158A (zh) | 2021-12-17 |
Family
ID=78943702
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010527407.5A Pending CN113806158A (zh) | 2020-06-11 | 2020-06-11 | 一种日志的接收与处理方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113806158A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109086195A (zh) * | 2018-08-02 | 2018-12-25 | 四川长虹电器股份有限公司 | 基于日志通用性规则引擎的日志统计与分析系统及方法 |
| CN109274540A (zh) * | 2018-11-16 | 2019-01-25 | 四川长虹电器股份有限公司 | 一种基于storm的Web访问日志处理方法 |
| US20190079828A1 (en) * | 2017-09-12 | 2019-03-14 | Western Digital Technologies, Inc. | Database Read Cache Optimization |
| CN109582551A (zh) * | 2018-10-11 | 2019-04-05 | 平安科技(深圳)有限公司 | 日志数据解析方法、装置、计算机设备和存储介质 |
| CN110287163A (zh) * | 2019-06-25 | 2019-09-27 | 浙江乾冠信息安全研究院有限公司 | 安全日志采集解析方法、装置、设备及介质 |
| CN110677287A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于体系化攻击的威胁告警生成方法和装置 |
-
2020
- 2020-06-11 CN CN202010527407.5A patent/CN113806158A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190079828A1 (en) * | 2017-09-12 | 2019-03-14 | Western Digital Technologies, Inc. | Database Read Cache Optimization |
| CN109086195A (zh) * | 2018-08-02 | 2018-12-25 | 四川长虹电器股份有限公司 | 基于日志通用性规则引擎的日志统计与分析系统及方法 |
| CN109582551A (zh) * | 2018-10-11 | 2019-04-05 | 平安科技(深圳)有限公司 | 日志数据解析方法、装置、计算机设备和存储介质 |
| CN109274540A (zh) * | 2018-11-16 | 2019-01-25 | 四川长虹电器股份有限公司 | 一种基于storm的Web访问日志处理方法 |
| CN110287163A (zh) * | 2019-06-25 | 2019-09-27 | 浙江乾冠信息安全研究院有限公司 | 安全日志采集解析方法、装置、设备及介质 |
| CN110677287A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于体系化攻击的威胁告警生成方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190222603A1 (en) | Method and apparatus for network forensics compression and storage | |
| EP4099170B1 (en) | Method and apparatus of auditing log, electronic device, and medium | |
| EP2244418A1 (en) | Database security monitoring method, device and system | |
| CN107451149B (zh) | 流量数据查询任务的监控方法及其装置 | |
| CN110795756A (zh) | 一种数据脱敏方法、装置、计算机设备及计算机可读存储介质 | |
| CN111740884B (zh) | 一种日志处理方法及电子设备、服务器、存储介质 | |
| CN103559217A (zh) | 一种面向异构数据库的海量组播数据入库实现方法 | |
| CN109829287A (zh) | Api接口权限访问方法、设备、存储介质及装置 | |
| CN112351024B (zh) | 一种公网通信安全监测系统及方法 | |
| CN105227367A (zh) | 一种低延迟的告警解析处理方法 | |
| CN109344138A (zh) | 一种日志解析方法及系统 | |
| CN109688094B (zh) | 基于网络安全的可疑ip配置方法、装置、设备及存储介质 | |
| CN110659283A (zh) | 数据标签处理方法、装置、计算机设备及存储介质 | |
| CN114116762A (zh) | 一种离线数据模糊搜索方法、装置、设备和介质 | |
| CN113420032A (zh) | 一种日志的分类存储方法及装置 | |
| CN114640504B (zh) | Cc攻击防护方法、装置、设备和存储介质 | |
| CN111767574A (zh) | 用户权限确定方法、装置、电子设备及可读存储介质 | |
| CN111858278A (zh) | 基于大数据处理的日志分析方法、系统及可读存储装置 | |
| CN109783330B (zh) | 日志处理方法、显示方法和相关装置、系统 | |
| KR100906454B1 (ko) | 데이터베이스 로그 정보 관리 장치 및 방법 | |
| CN106326280B (zh) | 数据处理方法、装置及系统 | |
| CN110851758B (zh) | 一种网页访客数量统计方法及装置 | |
| KR101317826B1 (ko) | 정규표현식을 이용한 로그 파일 표시방법 및 이를 수행하기 위한 장치 | |
| CN113806158A (zh) | 一种日志的接收与处理方法、装置、电子设备和存储介质 | |
| CN114969450B (zh) | 一种用户行为分析方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |