CN114461598A - 协议的日志采集方法、系统及存储介质 - Google Patents
协议的日志采集方法、系统及存储介质 Download PDFInfo
- Publication number
- CN114461598A CN114461598A CN202111683142.9A CN202111683142A CN114461598A CN 114461598 A CN114461598 A CN 114461598A CN 202111683142 A CN202111683142 A CN 202111683142A CN 114461598 A CN114461598 A CN 114461598A
- Authority
- CN
- China
- Prior art keywords
- data
- log
- host system
- module
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/172—Caching, prefetching or hoarding of files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及协议的日志采集方法、系统及存储介质,包括:响应控制指令或采集指令,通过主机系统的日志进程,采集所述主机系统的日志信息;基于所述日志信息,检测到所述主机系统的变化,得到第一数据,所述第一数据包括第一设备与所述主机系统的交互信息,所述第一设备为不受所述主机系统信任的设备;配置所述第一数据,得到适应网络安全协议的第二数据,通过TCP连接通道,上报所述第二数据。本发明的有益效果为:能够灵活配置上报采集信息,便于新增事件的简单添加,避免了现有方式对不同的接入消息采取不同的配置方式的繁琐操作。
Description
技术领域
本发明涉及图像处理领域,具体涉及了一种协议的日志采集方法、系统及介质。
背景技术
随着电网系统对网络安全的重视,变电站和发电厂要求现场运行的系统必须按照规范接入网络安全监控后台,实时触发上传系统的安全事件。例如,网络up/down、usb设备插入/拔出等事件。现有的大部分系统普遍使用简单网络管理协议(Simple NetworkManagement Protocol,SNMP)实现安全事件的采集,实践发现,采用上述方式进行安全事件的采集,需要对不同的安全事件进行配置,较为繁琐且需要SNMP协议的支持。
发明内容
本发明的目的在于至少解决现有技术中存在的技术问题之一,提供了一种协议的日志采集方法、系统及介质,能够提高协议的日志采集的效率。
所述一种协议的日志采集方法包括:响应控制指令或采集指令,通过主机系统的日志进程,采集所述主机系统的日志信息;基于所述日志信息,检测到所述主机系统的变化,得到第一数据,所述第一数据包括第一设备与所述主机系统的交互信息,所述第一设备为不受所述主机系统信任的设备;配置所述第一数据,得到适应网络安全协议的第二数据,通过TCP连接通道,上报所述第二数据。
根据所述协议的日志采集方法,采集所述主机系统的日志信息,包括:监听第一端口,响应所述日志进程的握手请求消息,接收所述日志进程发送的日志信息,将所述日志信息存入接收缓冲区,以采集所述主机系统的所述日志信息。
根据所述协议的日志采集方法,得到第一数据,包括:获取第二设备的白名单,所述第二设备为受所述主机系统信任的设备;从所述接收缓冲区,读取所述日志信息;忽略所述日志信息中关于第二设备的信息,检测到所述第一设备与所述主机系统的交互信息,得到第一数据。
根据所述协议的日志采集方法,基于脚本配置系统日志文件,包括:从所述接收缓冲区,读取所述第一数据;基于TCP接口协议,通过脚本配置所述第一数据,得到第二数据,所述第二数据为适应网络安全协议的脚本代码;将所述第二数据存入发送缓冲区。
根据所述协议的日志采集方法,上报所述第二数据,包括:从所述发送缓冲区,读取所述第二数据;通过TCP连接通道,上报所述第二数据。
本发明的技术方案还包括协议的日志采集系统,该系统包括:主机,用于设置网关设备的数据接口,所述主机与所述代理通过进程接口进行通信连接;代理,用于响应控制指令或采集指令,通过主机系统的日志进程,采集所述主机系统的日志信息;基于所述日志信息,检测到所述主机系统的变化,得到第一数据,所述第一数据包括第一设备与所述主机系统的交互信息;配置所述第一数据,得到适应网络安全协议的第二数据,通过TCP连接通道,上报所述第二数据;安全监测系统,用于下发控制指令或采集指令,或接收上传的所述第二数据;所述安全监测系统与所述代理,通过TCP通道进行数据交互。
根据所述协议的日志采集系统,代理,包括第一模块、第二模块和第三模块,所述第一模块与所述主机通信连接,同时与所述第二模块通信连接,所述第二模块与所述第三模块通信连接;所述第三模块与所述安全监测系统通过所述TCP通道进行数据交互;所述第一模块用于接收系统日志模块的连接,将采集所述主机系统的日志信息存入接收缓冲区;所述第二模块用于获取所述第一数据;通过脚本配置所述第一数据,得到第二数据,将所述第二数据存入发送缓冲区;所述第三模块用于接收所述安全监测系统的控制命令;上传所述第二数据至所述安全监测系统。
根据所述协议的日志采集系统,代理还包括第四模块,所述第四模块用于控制所述第一模块、所述第二模块、所述第三模块的启动和关闭。
本发明的技术方案还包括一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现任一所述的方法步骤。
本发明的有益效果为:基于白名单的配置管理,能够灵活配置上报采集信息,通过主机日志的采集,便于新增事件的简单添加,基于TCP协议对该接入消息进行配置,得到适应网络安全协议的脚本代码,避免了现有方式对不同的接入消息采取不同的配置方式的繁琐操作。
附图说明
下面结合附图和实施例对本发明进一步地说明;
图1所示为根据本发明实施方式的流程图;
图2所示为根据本发明实施方式的细节流程图;
图3所示为根据本发明实施方式结构图;
具体实施方式
本部分将详细描述本发明的具体实施例,本发明之较佳实施例在附图中示出,附图的作用在于用图形补充说明书文字部分的描述,使人能够直观地、形象地理解本发明的每个技术特征和整体技术方案,但其不能理解为对本发明保护范围的限制。
本发明的描述中,除非另有明确的限定,设置等词语应做广义理解,所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本发明中的具体含义。
如图1所示,一种协议的日志采集方法包括如下步骤:
S100,响应控制指令或采集指令,通过主机系统的日志进程,采集主机系统的日志信息;
S200,基于日志信息,检测到主机系统的变化,得到第一数据,第一数据包括第一设备与主机系统的交互信息,所述第一设备为不受所述主机系统信任的设备;
S300,配置第一数据,得到适应网络安全协议的第二数据,通过TCP连接通道,上报第二数据。
下面结合图2所示的流程图,在多个实施例中描述上述步骤的细节实施方式。
S100,响应控制指令或采集指令,通过主机系统的日志进程,采集主机系统的日志信息,具体包括:
S110,监听第一端口,响应日志进程的握手请求消息,接收日志进程发送的日志信息,将日志信息存入接收缓冲区,以采集主机系统的日志信息。
在一实施例中,第一端口可以为TCP的514端口,监听TCP的514端口,可以获取到日志进程的握手请求消息,与主机系统的日志进程的握手后,可以获取主机系统的日志信息,将日志信息存入接收缓冲区,以采集主机系统的日志信息。
S200,基于日志信息,检测到主机系统的变化,得到第一数据,第一数据包括第一设备与主机系统的交互信息,具体包括:
第一设备为接入主机系统且不受主机信任的设备,其中接入的方式可以为串口的连接,或者通过无线等方式网络连接,第一数据包括第一设备与主机系统的交互信息,当第一设备为usb时,第一数据为第一设备与主机系统的交互信息为,即usb插入/拔出,第一设备为发电现场的运行系统时,第一数据为运行系统通过网络与与主机的连接与断开。
S210,获取第二设备的白名单,第二设备为受主机系统信任的设备;例举的,基于目前主机的运行情况,对于已经授权接入主机的第二设备建立白名单,检测主机系统的变化时,忽略白名单上已经获取信任的第二设备的相关信息。
S220,从接收缓冲区,读取日志信息,忽略日志信息中关于第二设备的信息,检测到第一设备与主机系统的交互信息,得到第一数据。
例举的,第一设备与主机通过端口连接时,主机系统的日志信息会记录该端口的信息,从日志信息中获取监听端口的相关信息,查看该监听端口是否在白名单中,如果不在白名单中,说明该接入为未获取信任的接入,标记该事件为待上传事件。例举的,第一设备与主机通过串口连接时,主机系统的日志信息会记录该串口的相关信息,例如串口的接入与断开,从日志信息中获取上述信息,查看该监听串口是否在白名单中,如果不在白名单中,说明该接入为未获取信任的接入,该条日志数据为第一数据。
S230,对日志信息中的第一数据进行标记。例举的,可以采用特殊的标记,对日志信息中的第一数据进行标记,例举的,将第一数据的内容头标记为0x55,或者0xbb。
S300,配置第一数据,得到适应网络安全协议的第二数据,通过TCP连接通道,上报第二数据,具体包括:
S310,从接收缓冲区,读取第一数据,基于TCP接口协议,通过脚本配置第一数据,得到第二数据,第二数据为适应网络安全协议的脚本代码;将第二数据存入发送缓冲区。
S311,读取接收缓冲区中的数据,识别带有标记的数据为第一数据,通过脚本配置第一数据,得到第二数据;接收缓冲区中存储主机的系统日志系统,根据内容头的标记,识别第一数据,基于第一数据准备待上传的报文,基于TCP接口协议,通过脚本配置第一数据,得到适应网络安全协议的脚本代码的第二数据。
S320,从发送缓冲区,读取第二数据;通过TCP连接通道,上报第二数据。
本发明基于白名单,识别出不受信任的接入消息,能够灵活配置上报采集信息,通过主机日志的采集,便于新增事件的简单添加,基于TCP协议对该接入消息进行配置,得到适应网络安全协议的脚本代码,避免了现有方式对不同的接入消息采取不同的配置方式的繁琐操作,通过TCP连接通道,上报该脚本代码,基于TCP协议统一配置该接入消息,得到适应网络安全协议的脚本代码。
第二方面,本发明的实施例还提供一种协议的日志采集系统,如图3所述,具体包括:
主机,用于设置网关设备的数据接口,主机与代理通过进程接口进行通信连接;
代理,用于响应控制指令或采集指令,通过主机系统的日志进程,采集主机系统的日志信息;基于日志信息,检测到主机系统的变化,得到第一数据,第一数据包括第一设备与主机系统的交互信息;配置第一数据,得到适应网络安全协议的第二数据,通过TCP连接通道,上报第二数据;
安全监测装置,用于下发控制指令或采集指令,或接收上传的第二数据;安全监测装置与代理,通过TCP通道进行数据交互。
代理,包括第一模块、第二模块和第三模块,第一模块与主机通信连接,同时与第二模块通信连接,第二模块与第三模块通信连接;第三模块与安全监测装置通过TCP通道进行数据交互;
第一模块用于接收系统日志进程连接,将采集主机系统的日志信息存入接收缓冲区;
第二模块用于获取第一数据;通过脚本配置第一数据,得到第二数据,将第二数据存入发送缓冲区;
第三模块用于接收安全监测装置的控制命令;上传第二数据至安全监测装置。
代理,还包括第四模块,第四模块用于控制第一模块、第二模块、第三进程的启动和关闭。
应当认识到,本发明实施例中的方法步骤可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像系统通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时,本发明还包括计算机本身。
计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘。
上面结合附图对本发明实施例作了详细说明,但是本发明不限于上述实施例,在技术领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
Claims (9)
1.一种协议的日志采集方法,其特征在于,包括以下步骤:
响应控制指令或采集指令,通过主机系统的日志进程,采集所述主机系统的日志信息;
基于所述日志信息,检测到所述主机系统的变化,得到第一数据,所述第一数据包括第一设备与所述主机系统的交互信息,所述第一设备为不受所述主机系统信任的设备;
配置所述第一数据,得到适应网络安全协议的第二数据,通过TCP连接通道,上报所述第二数据。
2.根据权利要求1所述协议的日志采集方法,所述采集所述主机系统的日志信息,包括:
监听第一端口,响应所述日志进程的握手请求消息,接收所述日志进程发送的日志信息,将所述日志信息存入接收缓冲区,以采集所述主机系统的所述日志信息。
3.根据权利要求2所述协议的日志采集方法,所述得到第一数据,包括:
获取第二设备的白名单,所述第二设备为受所述主机系统信任的设备;
从所述接收缓冲区,读取所述日志信息;
忽略所述日志信息中关于第二设备的信息,检测到所述第一设备与所述主机系统的交互信息,得到第一数据。
4.根据权利要求3所述协议的日志采集方法,所述基于脚本配置系统日志文件,包括:
从所述接收缓冲区,读取所述第一数据;
基于TCP接口协议,通过脚本配置所述第一数据,得到第二数据,所述第二数据为适应网络安全协议的脚本代码;
将所述第二数据存入发送缓冲区。
5.根据权利要求4所述协议的日志采集方法,所述上报所述第二数据,包括:
从所述发送缓冲区,读取所述第二数据;通过TCP连接通道,上报所述第二数据。
6.一种协议的日志采集系统,其特征在于,包括:
主机,用于设置网关设备的数据接口,所述主机与所述代理通过进程接口进行通信连接;
代理,用于响应控制指令或采集指令,通过主机系统的日志进程,采集所述主机系统的日志信息;基于所述日志信息,检测到所述主机系统的变化,得到第一数据,所述第一数据包括第一设备与所述主机系统的交互信息;配置所述第一数据,得到适应网络安全协议的第二数据,通过TCP连接通道,上报所述第二数据;
安全监测装置,用于下发控制指令或采集指令,或接收上传的所述第二数据;所述安全监测装置与所述代理,通过TCP通道进行数据交互。
7.根据权利要求6所述协议的日志采集系统,所述代理,包括第一模块、第二模块和第三模块,所述第一模块与所述主机通信连接,同时与所述第二模块通信连接,所述第二模块与所述第三模块通信连接;所述第三模块与所述安全监测装置通过所述TCP通道进行数据交互;
所述第一模块用于接收系统日志模块的连接,将采集所述主机系统的日志信息存入接收缓冲区;
所述第二模块用于获取所述第一数据;通过脚本配置所述第一数据,得到第二数据,将所述第二数据存入发送缓冲区;
所述第三模块用于接收所述安全监测装置的控制命令;上传所述第二数据至所述安全监测装置。
8.根据权利要求7所述协议的日志采集系统,所述代理还包括第四模块,所述第四模块用于控制所述第一模块、所述第二模块、所述第三模块的启动和关闭。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111683142.9A CN114461598A (zh) | 2021-12-31 | 2021-12-31 | 协议的日志采集方法、系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111683142.9A CN114461598A (zh) | 2021-12-31 | 2021-12-31 | 协议的日志采集方法、系统及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114461598A true CN114461598A (zh) | 2022-05-10 |
Family
ID=81408099
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111683142.9A Pending CN114461598A (zh) | 2021-12-31 | 2021-12-31 | 协议的日志采集方法、系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114461598A (zh) |
-
2021
- 2021-12-31 CN CN202111683142.9A patent/CN114461598A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2534945C2 (ru) | Устройство управляемого объекта, способ и система самооптимизации | |
CN103544095A (zh) | 服务器程序的监控方法及其系统 | |
CN103905270A (zh) | 智能电网andriod系统安全基线自动化检查系统及检查方法 | |
CN105759247A (zh) | 雷达综合记录仪和雷达数据记录方法 | |
CN110995471A (zh) | 一种日志采集方法、装置、系统及计算机可读存储介质 | |
CN102620948B (zh) | 抽水蓄能机组故障智能分析方法及其系统 | |
CN112988537A (zh) | 一种服务器故障诊断方法、装置及相关设备 | |
CN103778024A (zh) | 服务器系统及其讯息处理方法 | |
CN111461359A (zh) | 一种变电站保护信息及定值管控系统 | |
CN111611138B (zh) | 日志数据抓取方法、装置、计算机设备和存储介质 | |
CN112822254A (zh) | 数据采集传输系统及远程在线升级、调配参数的方法 | |
CN114461598A (zh) | 协议的日志采集方法、系统及存储介质 | |
CN104967667A (zh) | 一种基于云服务的软件稳定性测试远程监控系统 | |
CN108200062B (zh) | 一种智能仪表设备的数据管理方法及系统 | |
CN113364820A (zh) | 物联网业务系统的设备管控方法与装置 | |
CN106330567A (zh) | 一种服务器集群的服务器管理控制方法及系统 | |
KR20170009029A (ko) | 클라우드 기반의 산업용 사물 인터넷 서비스 시스템 | |
CN110488772B (zh) | 一种dcs的集中监控方法、装置及集中监控终端 | |
CN113329001A (zh) | 一种基于用户端异常行为的网络威胁发现方法 | |
CN114116343A (zh) | 一种设备测试方法、装置、电子设备及存储介质 | |
CN113421355A (zh) | 一种工业现场短距离数据传输系统及巡检方法 | |
CN113703366A (zh) | 一种燃料电池可视化控制系统和方法 | |
KR20130110442A (ko) | Snmp를 이용한 중앙 집중형 plc 관리 시스템 및 방법 | |
CN109538415B (zh) | 虚拟风机和虚拟风电场 | |
CN110019281B (zh) | 一种广电设备的识别方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |