CN114338352A - 一种审计日志配置和解析方法、存储介质及处理器 - Google Patents
一种审计日志配置和解析方法、存储介质及处理器 Download PDFInfo
- Publication number
- CN114338352A CN114338352A CN202111662674.4A CN202111662674A CN114338352A CN 114338352 A CN114338352 A CN 114338352A CN 202111662674 A CN202111662674 A CN 202111662674A CN 114338352 A CN114338352 A CN 114338352A
- Authority
- CN
- China
- Prior art keywords
- log
- configuration
- field
- configuration file
- logs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种审计日志配置和解析方法、存储介质及处理器,该方法包括S1:创建日志本地化配置文件,添加配置文件中不同平台的用于本地化与日志字段的对应关系,以及日志每种日志对应的解析方式,以json格式存储;S2:进程启动时加载配置文件,通过socket的方式接受各平台日志,获取日志服务器的ip,收到日志后以遍历的方式从配置文件中获取space字段,对日志解析,提取各个字段,通过解析匹配配置文件中的字段,获取对应的解析列表,日志解析成功后发送到审计平台,由于是本地化后的日志,审计平台不用做二次开发。采用本发明所述的审计日志配置和解析方法,可以增加审计平台的灵活性,不用在遇到新的日志时,开发新的接口。
Description
技术领域
本发明属于审计日志技术领域,具体涉及一种审计日志配置和解析方法、存储介质及处理器。
背景技术
随着网路和计算机技术的快速发展,企业和组织在IT信息安全领域面临比以往更为复杂的局面。当今的组织和企业更注重网路环境和工作环境的信息安全,安全防火墙、抗Ddos等安全防护的出现,网路和办公环境加大了防护力度,需要对输出的安全警告和危险日志进行审计和本地化的处理,全面的安全防护,更需要完善的日志审计,才能更高效的发现处理危险和警告。
随着日志种类的不断增多,审计平台需要不断的增加对需要审计的日志的格式,现有技术中在日志审计过程中,在遇到新的日志时,需要开发新的接口,导致工作量大,不够灵活。
发明内容
本发明的目的在于提供一种审计日志配置和解析方法、存储介质及处理器,解决现有技术中随着日志种类的不断增多,审计平台需要不断的增加对需要审计的日志的格式,导致工作量大,不够灵活的技术问题。
为了解决上述技术问题,本发明采用技术方案实现:
一种审计日志配置和解析方法,包括如下步骤:
S1:创建日志本地化配置文件,添加配置文件中不同平台的用于本地化与日志字段的对应关系,以及日志每种日志对应的解析方式,以json格式存储;
S2:进程启动时加载配置文件,通过socket的方式接受各平台日志,获取日志服务器的ip,收到日志后以遍历的方式从配置文件中获取space字段,对日志解析,提取各个字段,通过解析匹配配置文件中的字段,获取对应的解析列表,日志解析成功后发送到审计平台,由于是本地化后的日志,审计平台不用做二次开发。
采用本发明所述的审计日志配置和解析方法,可以增加审计平台的灵活性,不用在遇到新的日志时,开发新的接口。
进一步改进,所述步骤S1中,以key:value格式配置的基础设置包括:日志接收端口、自动匹配开关、socket缓存大小和日志服务器的ip的删除周期;当某个日志服务器ip长期未发送日志,则会删除自动添加的该ip字段;以在list中添加key:value的方式添加space指定日志的解析方式,ip未匹配默认从0开始;以及按照审计日志的字段顺序,添加需要换的本地化字段,根据单个字段类型设置,设置字段格式,增加容错率;在List中可以根据不同平台,添加不同的sapce字段,以及解析字段,ip字段依次递增。
进一步改进,如果需要本地化,以key:value的形式配置对应的本地化;如果审计平台有对应的解析,无需本地化,根据审计平台与日志字段的对应关系进行配置。
进一步改进,所述步骤S2中,将通过socket接口获取的日志服务器ip写入到配置文件中,后续收到的日志首先会通过日志服务器ip确定解析的字段块,然后直接解析并本地化日志,并判断日志服务器ip和对应的日志格式是否发生变化。
进一步改进,进程启动时加载配置,根据配置文件中的基础配置,设置进程的基础参数;读取日志解析的部分,生成树结构,把日志服务器ip转成数值做为节点,对应的日志块挂在节点上;方便后续以ip查找解析字段,提高效率。
收到日志后,首先查询节点获取ip,如果和发送端ip对应则直接解析,如果space解析失败,字段顺序、字段类型不匹配,则删除此节点;
如果没有查询到对应ip,遍历树节点,根据space字段解析,并根据字段类型和解析后的日志判断是否匹配,如果匹配,把此ip加入到配置文件中,并更新树,把ip和对应的解析字段挂到树上。日志解析成功后发送到审计平台。
一种计算机可读存储介质,所述计算机可读存储介质包括存储的程序,其中,在程序运行时控制所述计算机可读存储介质所在设备执行上述的审计日志配置和解析。
一种审计日志配置和解析的处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述的审计日志配置和解析的方法。
与现有技术相比,本发明技术方案具有如下有益效果: 采用本发明所述的审计日志配置和解析方法,可以增加审计平台的灵活性,不用在遇到新的日志时,开发新的接口。
附图说明
图1为本发明所述的审计日志配置和解析方法的示意图;
图2为本发明所述的审计日志配置和解析方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
实施例一:
如图1、2所示,一种审计日志配置和解析方法,包括如下步骤:
S1:创建日志本地化配置文件,添加配置文件中不同平台的用于本地化与日志字段的对应关系,以及日志每种日志对应的解析方式,以json格式存储。
以key:value格式配置的基础设置包括:日志接收端口、自动匹配开关、socket缓存大小和日志服务器的ip的删除周期;当某个日志服务器ip长期未发送日志,则会删除自动添加的该ip字段;以在list中添加key:value的方式添加space指定日志的解析方式,ip未匹配默认从0开始;当ip字段的值不是“xxx.xxx.xxx.xxx”格式时,不会根据周期删除ip字段。以及按照审计日志的字段顺序,添加需要换的本地化字段,根据单个字段类型设置,设置字段格式,增加容错率;在List中可以根据不同平台,添加不同的sapce字段,以及解析字段,ip字段依次递增。
在本实施例中,如果需要本地化,以key:value的形式配置对应的本地化;如果审计平台有对应的解析,无需本地化,根据审计平台与日志字段的对应关系进行配置。
S2:进程启动时加载配置文件,通过socket的方式接受各平台日志,获取日志服务器的ip,收到日志后以遍历的方式从配置文件中获取space字段,对日志解析,提取各个字段,通过解析匹配配置文件中的字段,获取对应的解析列表,日志解析成功后发送到审计平台。
在本实施例中,进程启动时加载配置,根据配置文件中的基础配置,设置进程的基础参数;读取日志解析的部分,生成树结构,把日志服务器ip转成数值做为节点,对应的日志块挂在节点上;方便后续以ip查找解析字段,提高效率。
收到日志后,首先查询节点获取ip,如果和发送端ip对应则直接解析,如果space解析失败,字段顺序、字段类型不匹配,则删除此节点;
如果没有查询到对应ip,遍历树节点,根据space字段解析,并根据字段类型和解析后的日志判断是否匹配,如果匹配,把此ip加入到配置文件中,并更新树,把ip和对应的解析字段挂到树上。日志解析成功后发送到审计平台。
采用本发明所述的审计日志配置和解析方法,可以增加审计平台的灵活性,不用在遇到新的日志时,开发新的接口。
实施例二:
一种计算机可读存储介质,所述计算机可读存储介质包括存储的程序,其中,在程序运行时控制所述计算机可读存储介质所在设备执行上述的审计日志配置和解析。
实施例三:
一种审计日志配置和解析的处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述的审计日志配置和解析的方法。
上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (7)
1.一种审计日志配置和解析方法,其特征在于,包括如下步骤:
S1:创建日志本地化配置文件,添加配置文件中不同平台的用于本地化与日志字段的对应关系,以及日志每种日志对应的解析方式,以json格式存储;
S2:进程启动时加载配置文件,通过socket的方式接受各平台日志,获取日志服务器的ip,收到日志后以遍历的方式从配置文件中获取space字段,对日志解析,提取各个字段,通过解析匹配配置文件中的字段,获取对应的解析列表,日志解析成功后发送到审计平台。
2.根据权利要求1所述的审计日志配置和解析方法,其特征在于,所述步骤S1中,以key:value格式配置的基础设置包括:日志接收端口、自动匹配开关、socket缓存大小和日志服务器的ip的删除周期;当某个日志服务器ip长期未发送日志,则会删除自动添加的该ip字段;以在list中添加key:value的方式添加space指定日志的解析方式,ip未匹配默认从0开始;以及按照审计日志的字段顺序,添加需要换的本地化字段,根据单个字段类型设置,设置字段格式,增加容错率;在List中可以根据不同平台,添加不同的sapce字段,以及解析字段,ip字段依次递增。
3.根据权利要求2所述的审计日志配置和解析方法,其特征在于,如果需要本地化,以key:value的形式配置对应的本地化;如果审计平台有对应的解析,无需本地化,根据审计平台与日志字段的对应关系进行配置。
4.根据权利要求1-3中任一项所述的审计日志配置和解析方法,其特征在于,所述步骤S2中,将通过socket接口获取的日志服务器ip写入到配置文件中,后续收到的日志首先会通过日志服务器ip确定解析的字段块,然后直接解析并本地化日志,并判断日志服务器ip和对应的日志格式是否发生变化。
5.根据权利要求4所述的审计日志配置和解析方法,其特征在于,进程启动时加载配置,根据配置文件中的基础配置,设置进程的基础参数;读取日志解析的部分,生成树结构,把日志服务器ip转成数值做为节点,对应的日志块挂在节点上;
接收到日志后,首先查询节点获取ip,如果和发送端ip对应则直接解析,如果space解析失败,字段顺序、字段类型不匹配,则删除此节点;
如果没有查询到对应的ip,遍历树节点,根据space字段解析,并根据字段类型和解析后的日志判断是否匹配,如果匹配,把此日志服务器ip加入到配置文件中,并更新树,把该ip和对应的解析字段挂到树上。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,在程序运行时控制所述计算机可读存储介质所在设备执行权利要求1-5中任一项所述的审计日志配置和解析。
7.一种审计日志配置和解析的处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1-3中任一项所述的审计日志配置和解析的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111662674.4A CN114338352A (zh) | 2021-12-31 | 2021-12-31 | 一种审计日志配置和解析方法、存储介质及处理器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111662674.4A CN114338352A (zh) | 2021-12-31 | 2021-12-31 | 一种审计日志配置和解析方法、存储介质及处理器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114338352A true CN114338352A (zh) | 2022-04-12 |
Family
ID=81021150
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111662674.4A Pending CN114338352A (zh) | 2021-12-31 | 2021-12-31 | 一种审计日志配置和解析方法、存储介质及处理器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338352A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101237326A (zh) * | 2008-02-29 | 2008-08-06 | 华为技术有限公司 | 设备日志实时解析的方法、装置和系统 |
CN101453378A (zh) * | 2008-12-30 | 2009-06-10 | 杭州华三通信技术有限公司 | 日志转储与审计的方法和系统 |
CN107102930A (zh) * | 2017-03-29 | 2017-08-29 | 武汉斗鱼网络科技有限公司 | 一种json格式日志的生成方法及装置 |
CN107818150A (zh) * | 2017-10-23 | 2018-03-20 | 中国移动通信集团广东有限公司 | 一种日志审计方法及装置 |
US20200145439A1 (en) * | 2018-11-05 | 2020-05-07 | cmdSecurity Inc. | Systems and methods for security monitoring processing |
-
2021
- 2021-12-31 CN CN202111662674.4A patent/CN114338352A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101237326A (zh) * | 2008-02-29 | 2008-08-06 | 华为技术有限公司 | 设备日志实时解析的方法、装置和系统 |
CN101453378A (zh) * | 2008-12-30 | 2009-06-10 | 杭州华三通信技术有限公司 | 日志转储与审计的方法和系统 |
CN107102930A (zh) * | 2017-03-29 | 2017-08-29 | 武汉斗鱼网络科技有限公司 | 一种json格式日志的生成方法及装置 |
CN107818150A (zh) * | 2017-10-23 | 2018-03-20 | 中国移动通信集团广东有限公司 | 一种日志审计方法及装置 |
US20200145439A1 (en) * | 2018-11-05 | 2020-05-07 | cmdSecurity Inc. | Systems and methods for security monitoring processing |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9830451B2 (en) | Distributed pattern discovery | |
CN109905492B (zh) | 基于分布式模块化数据中心的安全运营管理系统及方法 | |
CN107959715A (zh) | 基于无线通讯的远程终端信息识别软件系统及识别方法 | |
US11681606B2 (en) | Automatic configuration of logging infrastructure for software deployments using source code | |
US20220417330A1 (en) | System and methods for application programming interface validation and testing | |
CN111984561A (zh) | 一种bmc的ipmi命令处理方法、系统、设备以及介质 | |
CN114465741A (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
CN112052227A (zh) | 数据变更日志的处理方法、装置和电子设备 | |
CN110442582B (zh) | 场景检测方法、装置、设备和介质 | |
CN115242894A (zh) | 数据处理方法、装置、存储介质和计算机设备 | |
CN113407560B (zh) | 更新消息处理方法、数据同步方法、配置信息配置方法 | |
CN101296237A (zh) | 资源批量处理系统和方法 | |
CN114448738A (zh) | 一种用于工控网络的攻击向量生成方法及系统 | |
CN114338352A (zh) | 一种审计日志配置和解析方法、存储介质及处理器 | |
CN105528546A (zh) | 一种挖掘漏洞的方法、装置及电子设备 | |
CN102932239B (zh) | 即时通信平台中的通讯方法和系统 | |
CN111818030A (zh) | 一种恶意域名请求终端的快速定位处置方法及系统 | |
CN111159142B (zh) | 一种数据处理方法及装置 | |
CN114615036A (zh) | 异常行为检测方法、装置、设备和存储介质 | |
CN107124293B (zh) | 一种分布式网络系统的协议管理方法及系统 | |
CN110958267A (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
CN116827965B (zh) | 基于云平台的煤矿井下离线场景数据存储和同步方法 | |
CN112653937B (zh) | 光网络接入设备管理方法及装置 | |
CN114221808B (zh) | 安全策略部署方法、装置、计算机设备及可读存储介质 | |
CN108062327B (zh) | 客户端的匹配方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |