CN115913896A - 设备检测方法、服务器及介质 - Google Patents
设备检测方法、服务器及介质 Download PDFInfo
- Publication number
- CN115913896A CN115913896A CN202211399641.XA CN202211399641A CN115913896A CN 115913896 A CN115913896 A CN 115913896A CN 202211399641 A CN202211399641 A CN 202211399641A CN 115913896 A CN115913896 A CN 115913896A
- Authority
- CN
- China
- Prior art keywords
- alarm
- information
- equipment
- terminal equipment
- task
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 87
- 238000000034 method Methods 0.000 claims abstract description 36
- 238000012545 processing Methods 0.000 claims description 10
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 230000006399 behavior Effects 0.000 claims description 4
- 238000012550 audit Methods 0.000 abstract description 25
- 230000008569 process Effects 0.000 description 12
- 230000000694 effects Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 240000008100 Brassica rapa Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Alarm Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提供一种设备检测方法、服务器及介质。该方法包括:获取终端设备对应的日志数据,以及终端设备对应的设备信息;根据设备信息以及与设备信息对应的告警元素,生成终端设备的告警策略;对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务;根据告警任务以及日志数据对终端设备进行检测,以确定终端设备对应的告警事件并生成对应的告警信息,将告警信息发送至终端设备。本申请的方法,可以实现设备的自动化检测,提高了安全审计的准确性和效率。
Description
技术领域
本申请涉及数据处理领域,尤其涉及一种设备检测方法、服务器及介质。
背景技术
随着互联网技术的发展和社会的进步,人们的日常生活已与网络息息相关,因此,对接入网络的设备进行信息安全审计变得越来越重要。
信息安全审计主要是指对系统中与安全有关的活动的相关信息进行识别、记录、存储和分析。信息安全审计的记录用于检查网络上发生了哪些与安全有关的活动,哪个用户对这个活动负责。现有技术中对系统进行安全审计时,工作人员通常会根据系统中包含的设备及其所处的应用场景进行定制化的开发和配置,以得到审计告警策略以及相关的告警任务。当需要对系统中的设备进行安全审计时,服务器根据配置好的告警策略以及相关的告警任务对系统中的设备进行相关检测即可。
但是,现有的安全审计过程中,不能实现对设备的自动化检测,导致安全审计准确性和效率低。
发明内容
本申请提供一种设备检测方法、服务器及介质,用以解决现有的安全审计过程中不能实现对设备的自动化检测,导致安全审计准确性和效率低的技术问题。
第一方面,本申请提供一种设备检测方法,包括:
获取终端设备对应的日志数据,以及所述终端设备对应的设备信息;
根据所述设备信息以及与所述设备信息对应的告警元素,生成所述终端设备的告警策略;
对所述告警策略进行解析,以生成所述告警策略对应的任务配置,并根据所述任务配置生成对应的告警任务;
根据所述告警任务以及所述日志数据对所述终端设备进行检测,以确定所述终端设备对应的告警事件并生成对应的告警信息,将所述告警信息发送至所述终端设备。
在一种可能的实施方式中,所述根据所述设备信息以及与所述设备信息对应的告警元素,生成所述终端设备的告警策略,具体包括:
确定预设的设备元素对应关系库中,与所述终端设备的设备信息对应的告警元素;
根据所述设备信息以及与所述设备信息对应的告警元素,生成所述终端设备的告警策略;
其中,所述告警元素包括告警检测时间段、告警检测频率、告警阈值、告警程序信息中的一种或多种,所述告警阈值包括异常告警阈值和积压告警阈值中的一种或多种,所述告警程序信息包括所述终端设备对应的执行时触发告警的程序信息。
在一种可能的实施方式中,所述设备元素对应关系库是通过下列方式获得的:
对于每一终端设备,获取所述终端设备的历史检测频率和历史检测时间段,并根据所述历史检测频率和历史检测时间段,分别生成所述终端设备的告警检测频率和告警检测时间段;
获取所述终端设备的历史告警信息,根据所述历史告警信息确定所述终端设备的告警阈值和/或告警程序信息;
根据每一所述终端设备的设备信息,以及每一所述终端设备对应的告警检测时间段、告警检测频率、告警阈值和/或告警程序信息,生成设备元素对应关系库。
在一种可能的实施方式中,所述方法还包括:
若所述设备元素对应关系库中,不存在与所述终端设备的设备信息对应的告警元素,则向所述终端设备发送告警策略配置提示信息,以提示用户输入所述终端设备的告警策略。
在一种可能的实施方式中,所述获取终端设备对应的日志数据,具体包括:
获取所述终端设备产生的设备日志,所述设备日志包括操作日志、行为日志、事件日志中的一种或多种;
利用预设的标准格式对所述设备日志进行格式化处理,以得到所述终端设备的标准日志;
根据预设的关键字段对所述标准日志进行提取,以得到所述终端设备对应的日志数据,所述关键字段包括设备信息、时间信息、程序信息中的一种或多种。
在一种可能的实施方式中,所述根据所述告警任务以及所述日志数据对所述终端设备进行检测,以确定所述终端设备对应的告警事件并生成对应的告警信息,具体包括:
根据所述告警任务中的告警检测频率对每一所述终端设备的日志数据进行异步且周期地检测;
对于每一检测周期,确定所述日志数据中与所述告警检测时间段对应的待检测数据;
判断所述待检测数据中是否存在超过所述告警阈值的告警数据,或者与所述告警程序信息对应的告警数据;
若是,则根据所述设备信息、告警数据、告警数据生成时间中的一种或多种生成告警事件以及所述告警事件对应的告警信息。
在一种可能的实施方式中,所述方法还包括:
存储每一终端设备对应的告警策略、任务配置、告警任务、设备检测进度以及告警事件。
第二方面,本申请提供一种服务器,包括:
数据采集模块,用于获取终端设备对应的日志数据,以及所述终端设备对应的设备信息;
策略配置模块,用于根据所述设备信息以及与所述设备信息对应的告警元素,生成所述终端设备的告警策略;
任务生成模块,用于对所述告警策略进行解析,以生成所述告警策略对应的任务配置,并根据所述任务配置生成对应的告警任务;
告警处理模块,用于根据所述告警任务以及所述日志数据对所述终端设备进行检测,以确定所述终端设备对应的告警事件并生成对应的告警信息,将所述告警信息发送至所述终端设备。
第三方面,本申请提供另一种服务器,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现上述的方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现上述的方法。
本申请提供的设备检测方法、服务器及介质,可以获取终端设备对应的日志数据,以及终端设备对应的设备信息;根据设备信息以及与设备信息对应的告警元素,生成终端设备的告警策略;对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务;根据告警任务以及日志数据对终端设备进行检测,以确定终端设备对应的告警事件并生成对应的告警信息,将告警信息发送至终端设备。本申请的方法,在获取到终端设备的设备信息之后,即可以根据设备信息以及与设备信息对应的告警元素,生成终端设备的告警策略,并不需要用户手动输入告警策略。在确定告警策略之后,即可对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务,之后根据告警任务以及日志数据对终端设备进行检测,也并不需要用户手动根据告警策略生成相应的任务并进行检测。通过这样的设置,可以实现设备的自动化检测,从而提高安全审计的准确性和效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请一实施例的系统架构图;
图2为本申请一实施例的设备检测方法的流程图;
图3为本申请一实施例的服务器的结构示意图;
图4为本申请另一实施例的服务器的结构示意图。
附图标记:1、服务器;2、终端设备;31、数据采集模块;32、策略配置模块;33、任务生成模块;34、告警处理模块。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
随着经济的发展和互联网技术的进步,手机,电脑,iPad等终端设备的数量呈爆发式增长,越来越多的终端设备接入网络从而产生大量的数据和信息流。人们在享受数字信息技术带来的便利的同时,其中也潜藏着巨大的安全风险,因此信息安全越来越多的得到重视,对接入网络的设备进行信息安全审计变得越来越重要。
而随着终端设备产生的数据越来越多,数据安全问题也日益凸显,利用数据进行非法活动的案例也层出不穷,数据安全也越来越等到重视是国家安全的重要方面,因此需要定期对终端设备进行设备检测,即安全审计。信息安全审计主要是指对系统中与安全有关的活动的相关信息进行识别、记录、存储和分析。信息安全审计的记录用于检查网络上发生了哪些与安全有关的活动,哪个用户对这个活动负责。现有技术中对系统进行安全审计时,工作人员通常会根据系统中包含的设备及其所处的应用场景进行定制化的开发和配置,以得到审计告警策略以及相关的告警任务。当需要对系统中的设备进行安全审计时,服务器根据配置好的告警策略以及相关的告警任务对系统中的设备进行相关检测即可。
但是,现有的安全审计过程中,不能实现对设备的自动化检测,导致安全审计准确性和效率低。
基于该技术问题,本申请的发明构思在于:如何提供一种能够实现自动化检测的设备检测方法。
具体为,可以获取终端设备对应的日志数据,以及终端设备对应的设备信息;根据设备信息以及与设备信息对应的告警元素,生成终端设备的告警策略;对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务;根据告警任务以及日志数据对终端设备进行检测,以确定终端设备对应的告警事件并生成对应的告警信息,将告警信息发送至终端设备。本申请的方法,在获取到终端设备的设备信息之后,即可以根据设备信息以及与设备信息对应的告警元素,生成终端设备的告警策略,并不需要用户手动输入告警策略。在确定告警策略之后,即可对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务,之后根据告警任务以及日志数据对终端设备进行检测,也并不需要用户手动根据告警策略生成相应的任务并进行检测。通过这样的设置,可以实现设备的自动化检测,从而提高安全审计的准确性和效率。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图1是本申请一实施例的系统架构图,如1所示,1表示服务器,2表示终端设备,服务器1可以与多个终端设备2进行通信连接以进行设备检测。具体的,服务器1可以获取终端设备2对应的日志数据,以及终端设备2对应的设备信息;根据设备信息以及与设备信息对应的告警元素,生成终端设备2的告警策略;对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务;根据告警任务以及日志数据对终端设备2进行检测,以确定终端设备对应的告警事件。当服务器1检测到告警事件之后,即可根据告警事件生成对应的告警信息,并将告警信息发送至终端设备2。
实施例一
图2是本申请一实施例提供的设备检测方法的流程图,本实施例以执行主体为服务器对该设备检测方法进行说明。如图2所示,该设备检测方法可以包括以下步骤:
S101:获取终端设备对应的日志数据,以及终端设备对应的设备信息。
在本实施例中,服务器可以和多个终端设备进行通信连接,从而对设备进行周期的检测,多个终端设备的检测进程可以同步,也可以异步,在此不作限制。
在本实施例中,服务器可以利用tcp、udp、http等多种传输方式获取终端设备对应的日志数据。
在本实施例中,设备信息可以包括但不限于:设备名称、设备编号、设备IP地址等能够对设备进行标识的信息。终端设备可以包括但不限于:手机、电脑、iPad、主机、堡垒机等设备,在此不作限制。
在一个可能的实施方式中,获取终端设备对应的日志数据,可以包括:获取终端设备产生的设备日志,设备日志包括操作日志、行为日志、事件日志中的一种或多种;利用预设的标准格式对设备日志进行格式化处理,以得到终端设备的标准日志;根据预设的关键字段对标准日志进行提取,以得到终端设备对应的日志数据,关键字段包括设备信息、时间信息、程序信息中的一种或多种。
在本实施方式中,服务器可以从终端设备的系统日志、数据库、流处理平台等获取终端设备产生的设备日志,具体的获取方式不做任何限制。
在本实施方式中,服务器可以支持csv、json、web文件格式等多种数据格式对设备日志进行格式化处理;根据关键字段对标准日志进行提取时,服务器可以适配grok、rube、正则等多种技术语言。
在本实施方式中,设备日志可以包括但不限于终端设备在运行过程中产生的所有日志。预设的标准格式本领域技术人员可以灵活设置,在此不作任何限制。预设的关键字段可以包括但不限于:设备名称、设备编号、设备IP地址等设备信息,时间信息,程序信息等,本领域技术人员可以根据实际灵活设置。设备信息可以指产生日志数据的设备的信息,时间信息可以指日志数据产生的时间,程序信息可以指日志数据对应的程序。
在本实施方式中,由于终端设备在开启之后,终端设备及其内的软件、程序等在运行过程中会不断产生数据并记录在各种日志中,例如操作日志、行为日志、事件日志等。因此,根据终端设备的设备日志即可简单而又准确地实现设备的检测。进一步的,由于多个终端设备中日志地格式可能并不相同,因此在得到终端设备的设备日志之后,可以利用预设的标准格式对设备日志进行格式化处理,从而实现数据格式的统一,以便于后续根据日志对设备进行检测。进一步的,由于标准日志数据体量很大,有些数据并不是必要的,因此,可以根据预设的关键字段对标准日志进行提取,即对不需要的数据进行清洗,从而在保证数据有效性的前提下,减少后续的数据计算量,提高设备检测效率。
S102:根据设备信息以及与设备信息对应的告警元素,生成终端设备的告警策略。
在一个可能的实施方式中,上述步骤S102根据设备信息以及与设备信息对应的告警元素,生成终端设备的告警策略,可以包括:确定预设的设备元素对应关系库中,与终端设备的设备信息对应的告警元素;根据设备信息以及与设备信息对应的告警元素,生成终端设备的告警策略;其中,告警元素包括告警检测时间段、告警检测频率、告警阈值、告警程序信息中的一种或多种,告警阈值包括异常告警阈值和积压告警阈值中的一种或多种,告警程序信息包括终端设备对应的执行时触发告警的程序信息。
在本实施方式中,异常告警阈值可以是某个异常数据出现次数的阈值,即在异常数据出现次数超过对应的异常告警阈值时进行告警。积压告警阈值可以是某个数据(正常数据)出现次数的阈值,即某个数据出现次数超过对应的积压告警阈值时进行告警。具体的异常告警阈值和积压告警阈值本领域技术人员可以灵活设置,在此不作任何限制。示例性的,某程序的请求次数(操作次数)超过10000次,即进行告警,或者,某程序一个用户名登录错误的次数超过4次,即进行告警。
在本实施方式中,告警程序信息可以指,预先设置的,在某个终端设备启动或执行某个程序时就进行告警的信息,当然,也可以给终端设备预先设置允许运行的程序目录,当终端设备地洞不再该程序目录的程序时,即进行告警。具体的告警程序信息本领域技术人员可以灵活设置,在此不作任何限制。示例性的,某电脑可以设置当启动迅雷下载程序时进行告警。
在本实施方式中,可以预先设置设备元素对应关系库,即每一终端设备与告警元素的对应关系,在得到设备信息之后,从设备元素对应关系库中查找对应的告警元素即可。通过这样的设置,可以简单便捷地确定终端设备对应的告警元素,并根据设备信息以及与设备信息对应的告警元素生成终端设备的告警策略,并不需要用户手动输入,从而实现设备的自动化检测,提高了设备检测的智能性和准确性。
在一个可能的实施方式中,上述设备元素对应关系库可以是通过下列方式获得的:对于每一终端设备,获取终端设备的历史检测频率和历史检测时间段,并根据历史检测频率和历史检测时间段,分别生成终端设备的告警检测频率和告警检测时间段;获取终端设备的历史告警信息,根据历史告警信息确定终端设备的告警阈值和/或告警程序信息;根据每一终端设备的设备信息,以及每一终端设备对应的告警检测时间段、告警检测频率、告警阈值和/或告警程序信息,生成设备元素对应关系库。
在本实施方式中,设备元素对应关系库可以是根据历史检测频率、历史检测时间段、历史告警信息等历史数据获得的,并不需要用户手动输入,提高了设备元素对应关系库生成的自动化和智能性,进一步提高了设备检测的自动化和智能性。
在一个可能的实施方式中,该方法还可以包括:若设备元素对应关系库中,不存在与终端设备的设备信息对应的告警元素,则向终端设备发送告警策略配置提示信息,以提示用户输入终端设备的告警策略。
在本实施方式中,当设备元素对应关系库中不存在某个终端设备的设备信息对应的告警元素时,可以向该终端设备发送告警策略配置提示信息,以提示用户手动输入终端设备的告警策略。通过这样的设置,可以对告警策略的自动化配置过程进行补充,对于某些特定的设备或者场景,用户也可以有针对性地配置告警策略,提高了告警策略配置的自由化,从而提高了设备检测的准确性和适配性。
S103:对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务。
在本实施例中,服务器可以将告警策略中的语句、规则、表达式等告警配置,进行自动化的解析和分析,支持复杂的语句和表达式解析,能够适应多种场景告警策略的解析。服务器可以支持多种终端设备和多场景的告警任务的配置,如支持主机,堡垒机,vpn等终端设备的操作日志审计和告警任务配置。服务器还可以将告警策略解析成相应任务,从而实现任务配置到告警任务的映射自动化和任务执行的自动化,增加安全运营效率,降低安全运营成本和研发成本。
在本实施例中,通过对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务,即可完成任务的自动配置,并不需要用户手动开启任务,提高了设备检测的自动化。
S104:根据告警任务以及日志数据对终端设备进行检测,以确定终端设备对应的告警事件并生成对应的告警信息,将告警信息发送至终端设备。
在一个可能的实施方式中,上述步骤S104中根据告警任务以及日志数据对终端设备进行检测,以确定终端设备对应的告警事件并生成对应的告警信息,可以包括:根据告警任务中的告警检测频率对每一终端设备的日志数据进行异步且周期地检测;对于每一检测周期,确定日志数据中与告警检测时间段对应的待检测数据;判断待检测数据中是否存在超过告警阈值的告警数据,或者与告警程序信息对应的告警数据;若是,则根据设备信息、告警数据、告警数据生成时间中的一种或多种生成告警事件以及告警事件对应的告警信息。
在本实施方式中,在生成告警任务之后,即可根据告警任务中的告警检测频率对每一终端设备的日志数据进行周期地检测,不需要用户手动开启检测,进一步提高了设备检测的自动化和智能性。在每一检测周期,可以根据告警检测时间段、告警阈值和告警程序信息对终端设备对应的日志数据进行检测,如果检测到超过告警阈值的告警数据,或者与告警程序信息对应的告警数据,则需要生成告警信息进行告警。通过这样的设置,可以简单而又准确地完成设备的检测。进一步的,可以根据设备信息、告警数据、告警数据生成时间中的一种或多种生成告警事件以及告警事件对应的告警信息,以便于用户查找出现告警的设备及对应的程序、数据等信息,及时查验告警产生的原因并采取相应措施。
在一个可能的实施方式中,该方法还可以包括:存储每一终端设备对应的告警策略、任务配置、告警任务、设备检测进度以及告警事件。
在本实施方式中,通过存储每一终端设备对应的告警策略、任务配置、告警任务、设备检测进度以及告警事件,可以对设备检测过程中产生的数据进行归集和管理,以便于用户对相关数据进行查找、分析和处理,管理安全审计告警策略的配置和监控任务的执行状态和配置任务调度的执行,实现自定义策略管理和任务调度管理,对每一次安全审计的监控和追踪,提高了安全运营工作的自动化程度和灵活度。
在本实施例中,可以获取终端设备对应的日志数据,以及终端设备对应的设备信息;根据设备信息以及与设备信息对应的告警元素,生成终端设备的告警策略;对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务;根据告警任务以及日志数据对终端设备进行检测,以确定终端设备对应的告警事件并生成对应的告警信息,将告警信息发送至终端设备。本申请的方法,在获取到终端设备的设备信息之后,即可以根据设备信息以及与设备信息对应的告警元素,生成终端设备的告警策略,并不需要用户手动输入告警策略。在确定告警策略之后,即可对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务,之后根据告警任务以及日志数据对终端设备进行检测,也并不需要用户手动根据告警策略生成相应的任务并进行检测。通过这样的设置,可以实现设备的自动化检测,从而提高安全审计的准确性和效率。
下面以一个具体的实施例对本申请的设备检测方法进行阐述。
实施例二
在一个具体的实施例中,某公司想要定期地对其公司内部地全部终端设备进行安全审计,具体的设备检测过程如下:
第一步,服务器获取各终端设备对应的设备信息;并获取各终端设备产生的设备日志,利用预设的标准格式对设备日志进行格式化处理,以得到各终端设备的标准日志;根据预设的关键字段对标准日志进行提取,以得到各终端设备对应的日志数据。
第二步,服务器确定预设的设备元素对应关系库中,与各终端设备的设备信息对应的告警元素;根据设备信息以及与设备信息对应的告警元素,生成各终端设备的告警策略。
第三步,服务器对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务。
第四步,服务器根据告警任务以及日志数据对各终端设备进行检测,以确定终端设备对应的告警事件。当服务器检测到告警事件之后,即可根据告警事件生成对应的告警信息,并将告警信息发送至终端设备。
图3为本申请一实施例的服务器的结构示意图,如图3所示,该服务器包括:数据采集模块31、策略配置模块32、任务生成模块33和告警处理模块34。数据采集模块31,用于获取终端设备对应的日志数据,以及终端设备对应的设备信息;策略配置模块32,用于根据设备信息以及与设备信息对应的告警元素,生成终端设备的告警策略;任务生成模块33,用于对告警策略进行解析,以生成告警策略对应的任务配置,并根据任务配置生成对应的告警任务;告警处理模块34,用于根据告警任务以及日志数据对终端设备进行检测,以确定终端设备对应的告警事件并生成对应的告警信息,将告警信息发送至终端设备。一个实施方式中,服务器具体实现功能的描述可以参见实施例一中的步骤S101-S104,在此不做赘述。
图4为本申请另一实施例的服务器的结构示意图,如图4所示,该服务器包括:处理器101,以及与处理器101通信连接的存储器102;存储器102存储计算机执行指令;处理器101执行存储器102存储的计算机执行指令,实现上述各方法实施例中设备检测方法的步骤。
在上述服务器中,存储器102和处理器101之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可以通过一条或者多条通信总线或信号线实现电性连接,如可以通过总线连接。存储器102中存储有实现数据访问控制方法的计算机执行指令,包括至少一个可以软件或固件的形式存储于存储器102中的软件功能模块,处理器101通过运行存储在存储器102内的软件程序以及模块,从而执行各种功能应用以及数据处理。
存储器102可以是,但不限于,随机存取存储器(Random Access Memory,简称:RAM),只读存储器(Read Only Memory,简称:ROM),可编程只读存储器(ProgrammableRead-Only Memory,简称:PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,简称:EPROM),电可擦除只读存储器(Electric Erasable ProgrammableRead-Only Memory,简称:EEPROM)等。其中,存储器102用于存储程序,处理器101在接收到执行指令后,执行程序。进一步地,上述存储器102内的软件程序以及模块还可包括操作系统,其可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动,并可与各种硬件或软件组件相互通信,从而提供其他软件组件的运行环境。
处理器101可以是一种集成电路芯片,具有信号的处理能力。上述的处理器101可以是通用处理器,包括中央处理器(Central Processing Unit,简称:CPU)、网络处理器(Network Processor,简称:NP)等。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本申请的一实施例还提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现本申请各方法实施例的步骤。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由所附的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (10)
1.一种设备检测方法,其特征在于,包括:
获取终端设备对应的日志数据,以及所述终端设备对应的设备信息;
根据所述设备信息以及与所述设备信息对应的告警元素,生成所述终端设备的告警策略;
对所述告警策略进行解析,以生成所述告警策略对应的任务配置,并根据所述任务配置生成对应的告警任务;
根据所述告警任务以及所述日志数据对所述终端设备进行检测,以确定所述终端设备对应的告警事件并生成对应的告警信息,将所述告警信息发送至所述终端设备。
2.根据权利要求1所述的方法,其特征在于,所述根据所述设备信息以及与所述设备信息对应的告警元素,生成所述终端设备的告警策略,具体包括:
确定预设的设备元素对应关系库中,与所述终端设备的设备信息对应的告警元素;
根据所述设备信息以及与所述设备信息对应的告警元素,生成所述终端设备的告警策略;
其中,所述告警元素包括告警检测时间段、告警检测频率、告警阈值、告警程序信息中的一种或多种,所述告警阈值包括异常告警阈值和积压告警阈值中的一种或多种,所述告警程序信息包括所述终端设备对应的执行时触发告警的程序信息。
3.根据权利要求2所述的方法,其特征在于,所述设备元素对应关系库是通过下列方式获得的:
对于每一终端设备,获取所述终端设备的历史检测频率和历史检测时间段,并根据所述历史检测频率和历史检测时间段,分别生成所述终端设备的告警检测频率和告警检测时间段;
获取所述终端设备的历史告警信息,根据所述历史告警信息确定所述终端设备的告警阈值和/或告警程序信息;
根据每一所述终端设备的设备信息,以及每一所述终端设备对应的告警检测时间段、告警检测频率、告警阈值和/或告警程序信息,生成设备元素对应关系库。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述设备元素对应关系库中,不存在与所述终端设备的设备信息对应的告警元素,则向所述终端设备发送告警策略配置提示信息,以提示用户输入所述终端设备的告警策略。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述获取终端设备对应的日志数据,具体包括:
获取所述终端设备产生的设备日志,所述设备日志包括操作日志、行为日志、事件日志中的一种或多种;
利用预设的标准格式对所述设备日志进行格式化处理,以得到所述终端设备的标准日志;
根据预设的关键字段对所述标准日志进行提取,以得到所述终端设备对应的日志数据,所述关键字段包括设备信息、时间信息、程序信息中的一种或多种。
6.根据权利要求3所述的方法,其特征在于,所述根据所述告警任务以及所述日志数据对所述终端设备进行检测,以确定所述终端设备对应的告警事件并生成对应的告警信息,具体包括:
根据所述告警任务中的告警检测频率对每一所述终端设备的日志数据进行异步且周期地检测;
对于每一检测周期,确定所述日志数据中与所述告警检测时间段对应的待检测数据;
判断所述待检测数据中是否存在超过所述告警阈值的告警数据,或者与所述告警程序信息对应的告警数据;
若是,则根据所述设备信息、告警数据、告警数据生成时间中的一种或多种生成告警事件以及所述告警事件对应的告警信息。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
存储每一终端设备对应的告警策略、任务配置、告警任务、设备检测进度以及告警事件。
8.一种服务器,其特征在于,包括:
数据采集模块,用于获取终端设备对应的日志数据,以及所述终端设备对应的设备信息;
策略配置模块,用于根据所述设备信息以及与所述设备信息对应的告警元素,生成所述终端设备的告警策略;
任务生成模块,用于对所述告警策略进行解析,以生成所述告警策略对应的任务配置,并根据所述任务配置生成对应的告警任务;
告警处理模块,用于根据所述告警任务以及所述日志数据对所述终端设备进行检测,以确定所述终端设备对应的告警事件并生成对应的告警信息,将所述告警信息发送至所述终端设备。
9.一种服务器,其特征在于,包括处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211399641.XA CN115913896B (zh) | 2022-11-09 | 2022-11-09 | 设备检测方法、服务器及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211399641.XA CN115913896B (zh) | 2022-11-09 | 2022-11-09 | 设备检测方法、服务器及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115913896A true CN115913896A (zh) | 2023-04-04 |
| CN115913896B CN115913896B (zh) | 2024-10-01 |
Family
ID=86473808
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211399641.XA Active CN115913896B (zh) | 2022-11-09 | 2022-11-09 | 设备检测方法、服务器及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115913896B (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009071013A1 (fr) * | 2007-11-09 | 2009-06-11 | China Mobile Group Guangdong Co., Ltd | Procédé et système d'assistance à l'activation d'un protocole de données par paquets |
| CN102412983A (zh) * | 2011-10-12 | 2012-04-11 | 广东威创视讯科技股份有限公司 | 一种设备告警上报方法 |
| CN104020724A (zh) * | 2013-03-01 | 2014-09-03 | 中芯国际集成电路制造(上海)有限公司 | 告警监控方法和装置 |
| CN110166290A (zh) * | 2019-05-16 | 2019-08-23 | 平安科技(深圳)有限公司 | 基于日志文件的告警方法及装置 |
| CN110224858A (zh) * | 2019-05-16 | 2019-09-10 | 平安科技(深圳)有限公司 | 基于日志的告警方法及相关装置 |
| CN110677271A (zh) * | 2019-08-16 | 2020-01-10 | 平安科技(深圳)有限公司 | 基于elk的大数据告警方法、装置、设备及存储介质 |
| CN111221702A (zh) * | 2019-11-18 | 2020-06-02 | 上海维谛信息科技有限公司 | 基于日志分析的异常处理方法、系统、终端及介质 |
| CN111343009A (zh) * | 2020-02-14 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 服务告警通知方法及装置、存储介质、电子设备 |
| CN111786980A (zh) * | 2020-06-24 | 2020-10-16 | 广州海颐信息安全技术有限公司 | 基于行为的特权账户威胁告警方法 |
| CN113448763A (zh) * | 2021-07-16 | 2021-09-28 | 广东电网有限责任公司 | 全生命周期管理的可动态扩展分组告警服务方法 |
| CN113515433A (zh) * | 2021-07-28 | 2021-10-19 | 中移(杭州)信息技术有限公司 | 告警日志处理方法、装置、设备及存储介质 |
| CN113722183A (zh) * | 2021-09-02 | 2021-11-30 | 北京金山云网络技术有限公司 | 日志告警方法、装置及电子设备 |
| CN113886182A (zh) * | 2021-09-29 | 2022-01-04 | 深圳市金蝶天燕云计算股份有限公司 | 一种告警收敛方法、装置及电子设备和存储介质 |
| CN114244584A (zh) * | 2021-12-02 | 2022-03-25 | 中盈优创资讯科技有限公司 | 一种基于网络设备日志实现自动压制和防护的方法及装置 |
| CN115190000A (zh) * | 2022-06-02 | 2022-10-14 | 河北秦淮数据有限公司 | 告警数据的处理方法、装置、电子设备和存储介质 |
-
2022
- 2022-11-09 CN CN202211399641.XA patent/CN115913896B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009071013A1 (fr) * | 2007-11-09 | 2009-06-11 | China Mobile Group Guangdong Co., Ltd | Procédé et système d'assistance à l'activation d'un protocole de données par paquets |
| CN102412983A (zh) * | 2011-10-12 | 2012-04-11 | 广东威创视讯科技股份有限公司 | 一种设备告警上报方法 |
| CN104020724A (zh) * | 2013-03-01 | 2014-09-03 | 中芯国际集成电路制造(上海)有限公司 | 告警监控方法和装置 |
| CN110166290A (zh) * | 2019-05-16 | 2019-08-23 | 平安科技(深圳)有限公司 | 基于日志文件的告警方法及装置 |
| CN110224858A (zh) * | 2019-05-16 | 2019-09-10 | 平安科技(深圳)有限公司 | 基于日志的告警方法及相关装置 |
| CN110677271A (zh) * | 2019-08-16 | 2020-01-10 | 平安科技(深圳)有限公司 | 基于elk的大数据告警方法、装置、设备及存储介质 |
| CN111221702A (zh) * | 2019-11-18 | 2020-06-02 | 上海维谛信息科技有限公司 | 基于日志分析的异常处理方法、系统、终端及介质 |
| CN111343009A (zh) * | 2020-02-14 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 服务告警通知方法及装置、存储介质、电子设备 |
| CN111786980A (zh) * | 2020-06-24 | 2020-10-16 | 广州海颐信息安全技术有限公司 | 基于行为的特权账户威胁告警方法 |
| CN113448763A (zh) * | 2021-07-16 | 2021-09-28 | 广东电网有限责任公司 | 全生命周期管理的可动态扩展分组告警服务方法 |
| CN113515433A (zh) * | 2021-07-28 | 2021-10-19 | 中移(杭州)信息技术有限公司 | 告警日志处理方法、装置、设备及存储介质 |
| CN113722183A (zh) * | 2021-09-02 | 2021-11-30 | 北京金山云网络技术有限公司 | 日志告警方法、装置及电子设备 |
| CN113886182A (zh) * | 2021-09-29 | 2022-01-04 | 深圳市金蝶天燕云计算股份有限公司 | 一种告警收敛方法、装置及电子设备和存储介质 |
| CN114244584A (zh) * | 2021-12-02 | 2022-03-25 | 中盈优创资讯科技有限公司 | 一种基于网络设备日志实现自动压制和防护的方法及装置 |
| CN115190000A (zh) * | 2022-06-02 | 2022-10-14 | 河北秦淮数据有限公司 | 告警数据的处理方法、装置、电子设备和存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| WENKAI HU等: "Discovering Association Rules of Mode-Dependent Alarms From Alarm and Event Logs", 《 IEEE TRANSACTIONS ON CONTROL SYSTEMS TECHNOLOGY》, 8 May 2017 (2017-05-08) * |
| 赵纪刚;张超;丁建立;王静;: "民航旅客服务信息系统告警关联规则挖掘", 计算机应用与软件, no. 04, 15 April 2016 (2016-04-15) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115913896B (zh) | 2024-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111866016B (zh) | 日志的分析方法及系统 | |
| CN113687969A (zh) | 告警信息生成方法、装置、电子设备及可读存储介质 | |
| CN111694718A (zh) | 内网用户异常行为识别方法、装置、计算机设备及可读存储介质 | |
| CN114077525A (zh) | 异常日志处理方法、装置、终端设备、云服务器及系统 | |
| CN111176202A (zh) | 工业控制网络的安全管理方法、装置、终端设备及介质 | |
| CN112306802A (zh) | 系统的数据获取方法、装置、介质和电子设备 | |
| CN114710369B (zh) | 一种异常数据检测方法、装置、计算机设备及存储介质 | |
| CN111062503B (zh) | 一种电网监控告警处理方法、系统、终端及存储介质 | |
| CN112256548B (zh) | 异常数据的监听方法、装置、服务器及存储介质 | |
| CN112817827A (zh) | 运维方法、装置、服务器、设备、系统及介质 | |
| CN104794039A (zh) | 服务软件的远程监测方法和装置 | |
| CN112256470A (zh) | 故障服务器定位方法及装置、存储介质及电子设备 | |
| CN117061368A (zh) | 绕行堡垒机行为的自动识别方法、装置、设备与介质 | |
| CN116483663A (zh) | 用于平台的异常告警方法和装置 | |
| CN115913896A (zh) | 设备检测方法、服务器及介质 | |
| CN113472881B (zh) | 在线终端设备的统计方法和装置 | |
| CN114629696A (zh) | 一种安全检测方法、装置、电子设备及存储介质 | |
| CN114500038A (zh) | 网络安全检测方法、装置、电子设备及可读存储介质 | |
| CN114415559A (zh) | 一种设备联动的方法及装置 | |
| CN112134760A (zh) | 链路状态监控方法、装置、设备及计算机可读存储介质 | |
| CN110166421B (zh) | 基于日志监控的入侵控制方法、装置及终端设备 | |
| CN117318616B (zh) | 一种光伏预警方法、系统、存储介质及电子设备 | |
| KR20140120200A (ko) | 데이터베이스 장애 조기 경보 시스템 및 방법 | |
| CN118331823B (zh) | 航天工程业务运行日志管理与监控告警方法及系统 | |
| CN115757068B (zh) | 一种基于eBPF的进程日志采集及自动降噪方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |