CN116069748A

CN116069748A - 日志增强配置信息的获取方法、装置、电子设备及介质

Info

Publication number: CN116069748A
Application number: CN202111298278.8A
Authority: CN
Inventors: 黄河
Original assignee: Fusionskye Beijing Software Co ltd
Current assignee: Fusionskye Beijing Software Co ltd
Priority date: 2021-11-04
Filing date: 2021-11-04
Publication date: 2023-05-05

Abstract

本申请提供一种日志增强配置信息的获取方法、装置、电子设备及介质。该方法在接收客户端发送的日志增强预览请求后，基于目标日志增强插件的插件参数和相应的插件标识，对待处理日志信息进行信息配置，得到配置后的日志信息；向客户端发送日志增强预览响应，日志增强预览响应包括配置后的日志信息，以使客户端对配置后的日志信息进行预览；并接收客户端发送的日志增强配置信息。该方法提高了日志增强的处理效率，以及用户的满意度。

Description

日志增强配置信息的获取方法、装置、电子设备及介质

技术领域

本申请涉及信息处理技术领域，具体而言，涉及一种日志增强配置信息的获取方法、装置、电子设备及介质。

背景技术

最近几年，国家对网络安全极为重视，安全厂商对企业安全建设也日趋成熟，越来越多的企业在服务端部署了安全信息与事件管理系统(Security Information and EventManagement，SIEM)、态势感知平台、安全运营中心(security operations centers，SOC)，其中上述系统、平台或中心的初始输入是安全设备、操作系统、网络设备、应用程序的日志文件(或称“原始日志”)。

由于不经任何处理直接在安全事件管理与分析系统内部传输的原始日志中的信息量可能不充分，不利于后续的检索与分析，故为了满足企业用户的增强日志内容(即增加日志的信息量)的需求，构建了日志增强组件。

客户端向日志增强组件发送日志增强配置信息，当日志增强组件接收到新的日志条目时，该组件根据日志增强配置信息来决定如何处理日志文件中的每一条日志条目。

然而，上述日志增强方案中若客户端需要新增或升级某一日志条目的日志增强功能时，客户端和日志增强组件都需要进行更新，降低了日志增强的处理效率。

发明内容

本申请实施例的目的在于提供一种日志增强配置信息的获取方法、装置、电子设备及介质，解决了现有技术存在的上述问题，提高了日志增强的处理效率，以及用户的满意度_。

第一方面，提供了一种日志增强配置信息的获取方法，该方法可以包括：

接收客户端发送的日志增强预览请求，所述日志增强预览请求包括待处理日志信息、目标日志增强插件的插件参数和相应的插件标识；所述目标日志增强插件用于对日志信息执行目标信息配置操作；

基于所述目标日志增强插件的插件参数和相应的插件标识，对所述待处理日志信息进行信息配置，得到配置后的日志信息；

向所述客户端发送日志增强预览响应，所述日志增强预览响应包括所述配置后的日志信息，以使所述客户端对所述配置后的日志信息进行预览；

接收所述客户端发送的日志增强配置信息，所述日志增强配置信息包括所述待处理日志信息的日志特征、所述目标日志增强插件的插件参数和相应的插件标识；所述日志增强配置信息是所述客户端在接收到预览通过的指示信息后发送的。

在一个可能的实现中，接收客户端发送的日志增强预览请求之前，所述方法还包括：

基于客户端发送的日志增强插件查询请求，向所述客户端发送日志增强插件查询响应，所述日志增强插件查询响应包括各日志增强插件的插件标识；所述各日志增强插件用于对日志信息执行一种信息配置操作；

基于所述客户端发送的目标插件标识对应的插件参数查询请求，向所述客户端发送插件参数查询响应，所述插件参数查询响应包括所述目标插件标识对应的插件参数。

在一个可能的实现中，所述日志增强插件包括预处理操作插件、拆分操作插件、插入操作插件、映射操作插件、解析操作插件、解码操作插件和分隔操作插件。

在一个可能的实现中，基于所述目标日志增强插件的插件参数和相应的插件标识，对所述待处理日志信息进行信息配置，得到配置后的日志信息，包括：

从存储的各日志增强插件的插件标识中，查找所述目标日志增强插件的插件标识对应的所述目标日志增强插件；

基于所述目标日志增强插件和所述插件参数，对所述待处理日志信息进行信息配置，得到配置后的日志信息。

在一个可能的实现中，接收所述客户端发送的所述日志增强配置信息之后，所述方法还包括：

获取新的日志增强插件和相应插件标识；

基于所述新的日志增强插件，更新存储各日志增强插件和相应插件标识的日志增强插件列表。

在一个可能的实现中，接收客户端发送的所述日志增强配置信息之后，所述方法还包括：

向所述客户端发送已完成存储的指示信息。

在一个可能的实现中，所述待处理的日志信息是服务端在具有相似日志特征的一组原始日志信息中提取所述相似日志特征构成的日志信息；

接收所述客户端发送的日志增强配置信息之后，所述方法还包括：

基于所述日志增强配置信息，对所述待处理日志信息对应的原始日志信息进行信息配置。

第二方面，提供了一种日志增强配置信息的获取装置，该装置可以包括：

接收单元，用于接收客户端发送的日志增强预览请求，所述日志增强预览请求包括待处理日志信息、目标日志增强插件的插件参数和相应的插件标识；所述目标日志增强插件用于对日志信息执行目标信息配置操作；

配置单元，用于基于所述目标日志增强插件的插件参数和相应的插件标识，对所述待处理日志信息进行信息配置，得到配置后的日志信息；

发送单元，用于向所述客户端发送日志增强预览响应，所述日志增强预览响应包括所述配置后的日志信息，以使所述客户端对所述配置后的日志信息进行预览；

所述接收单元，还用于接收所述客户端发送的日志增强配置信息，所述日志增强配置信息包括所述待处理日志信息的日志特征、所述目标日志增强插件的插件参数和相应的插件标识；所述日志增强配置信息是所述客户端在接收到预览通过的指示信息后发送的。

在一个可能的实现中，所述发送单元，还用于基于客户端发送的日志增强插件查询请求，向所述客户端发送日志增强插件查询响应，所述日志增强插件查询响应包括各日志增强插件的插件标识；所述各日志增强插件用于对日志信息执行一种信息配置操作；

以及，基于所述客户端发送的目标插件标识对应的插件参数查询请求，向所述客户端发送插件参数查询响应，所述插件参数查询响应包括所述目标插件标识对应的插件参数。

在一个可能的实现中，所述日志增强插件包括预处理插件、拆分插件、插入插件、映射插件、解析插件、解码插件和分隔插件。

在一个可能的实现中，所述配置单元，具体用于：

以及，基于所述目标日志增强插件和所述插件参数，对所述待处理日志信息进行信息配置，得到配置后的日志信息。

在一个可能的实现中，所述装置还包括获取单元和更新单元；

所述获取单元，用于获取新的日志增强插件和相应插件标识；

所述更新单元，用于基于所述新的日志增强插件，更新存储各日志增强插件和相应插件标识的日志增强插件列表。

在一个可能的实现中，所述发送单元，还用于向所述客户端发送已完成存储的指示信息。

所述配置单元，还用于基于所述日志增强配置信息，对所述待处理日志信息对应的原始日志信息进行信息配置。

第三方面，提供了一种电子设备，该电子设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现上述第一方面中任一所述的方法步骤。

第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面中任一所述的方法步骤。

本申请实施例提供的日志增强配置信息的获取方法在接收客户端发送的日志增强预览请求后，日志增强预览请求包括待处理日志信息、目标日志增强插件的插件参数和相应的插件标识；目标日志增强插件用于对日志信息执行目标信息配置操作，基于目标日志增强插件的插件参数和相应的插件标识，对待处理日志信息进行信息配置，得到配置后的日志信息；向客户端发送日志增强预览响应，日志增强预览响应包括配置后的日志信息，以使客户端对配置后的日志信息进行预览；并接收客户端发送的日志增强配置信息，日志增强配置信息包括待处理日志信息的日志特征、目标日志增强插件的插件参数和相应的插件标识；日志增强配置信息是客户端在接收到预览通过的指示信息后发送的。该方法将日志的信息配置功能操作插件化，实现对日志信息的配置或对日志增强配置信息的更新只由日志增强组件负责，客户端不需要参与，与现有技术相比，提高了日志增强的处理效率，以及用户的满意度。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种日志增强配置信息的获取方法的流程示意图；

图2为本申请实施例提供的一种客户端与日志增强组件间的通信过程示意图；

图3为本申请实施例提供的一种日志增强配置信息的获取装置的结构示意图；

图4为本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，并不是全部的实施例。基于本申请实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供的日志增强配置信息的获取方法可以应用在服务器中的日志增强组件上。

该方法将日志的信息配置操作封装成一个插件，即插件化，实现对日志信息的配置或对日志增强配置信息的更新只由日志增强组件负责，客户端不需要参与，与现有技术相比，提高了日志增强的处理效率，以及用户的满意度。

以下结合说明书附图对本申请的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本申请，并不用于限定本申请，并且在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

图1为本申请实施例提供的一种日志增强配置信息的获取方法的流程示意图。如图1所示，该方法可以包括：

步骤S110、接收客户端发送的日志增强预览请求。

其中，日志增强预览请求包括待处理日志信息、目标日志增强插件的插件参数和相应的插件标识。目标日志增强插件用于对日志信息执行目标信息配置操作。待处理的日志信息是服务端在具有相似日志特征的一组原始日志信息中提取相似日志特征构成的日志信息。

在执行该步骤之前，客户端与日志增强组件间的通信过程可以如图2所示：

步骤S201、客户端向日志增强组件发送日志增强插件查询请求；

步骤S202、日志增强组件向述客户端发送日志增强插件查询响应；

该日志增强插件查询响应包括日志增强插件列表，该列表中可以包括各日志增强插件的插件标识、插件操作功能和插件名称等信息；其中，各日志增强插件用于对日志信息执行一种信息配置操作。

在一些实施例中，日志增强插件可以包括预处理操作插件、拆分操作插件、插入操作插件、映射操作插件、解析操作插件、解码操作插件和分隔操作插件等。

在一个例子中，若待处理日志信息由一系列键值对组成，则上述日志增强插件的功能操作可以包括：

预处理插件可以对日志信息执行插入接收时间的键值对的操作。

拆分插件可以通过正则表达式来匹配某一键的值，匹配结果(一个或多个值)将有序赋予指定的键。

插入插件可以向日志信息执行插入键值对的操作。

映射插件可以当某一键的值等于指定值时，决定配置的存在映射关系的另一个键的值。

解析插件，如JSON解析插件可以在JSON中查找指定的键值对，命中，则插入日志信息中。

解码插件可以通过预设的解码方法解码指定的键的值后插入日志信息中。

分隔插件可以通过预设的分隔符，如逗号或分号分隔指定的键的值，分隔结果将赋予指定的键。

步骤S203、客户端向日志增强组件发送目标插件标识对应的插件参数查询请求；

该插件参数查询请求可以包括目标插件标识。其中，目标插件标识可以是日志增强插件列表中存储的插件标识中的至少一个。

步骤S204、日志增强组件向客户端发送插件参数查询响应；

该插件参数查询响应可以包括目标插件标识对应的插件参数。插件参数可以包括参数名、参数描述、参数值参数和参数默认值参数，可以表示为：

步骤S120、基于目标日志增强插件的插件参数和相应的插件标识，对待处理日志信息进行信息配置，得到配置后的日志信息，并向客户端发送日志增强预览响应。

具体实施中，从日志增强组件存储的各日志增强插件的插件标识中，查找目标日志增强插件的插件标识对应的目标日志增强插件；

基于目标日志增强插件和插件参数，对待处理日志信息进行信息配置，得到配置后的日志信息。

之后，向客户端发送日志增强预览响应，该日志增强预览响应可以包括配置后的日志信息。

客户端对接收的配置后的日志信息进行预览，若接收到用户触发的预览通过的指示信息，则表明对待处理日志信息进行的信息配置是成功的，满足客户需求。

若接收到用户触发的预览不通过的指示信息，则表明对待处理日志信息进行的信息配置是失败的，不满足客户需求，之后将新的日志增强插件的插件参数和相应的插件标识作为目标日志增强插件的插件参数和相应的插件标识，返回执行步骤S110。

步骤S130、接收客户端发送的日志增强配置信息。

具体实施中，客户端在接收到预览通过的指示信息后，提取待处理日志信息中的日志特征，并向日志增强组件发送日志增强配置信息。该日志增强配置信息可以包括待处理日志信息的日志特征、目标日志增强插件的插件参数和相应的插件标识。

之后，日志增强组件可以向客户端发送已完成存储的指示信息。

在一个例子中，JSON解析插件为例，假设待处理日志信息中包含一个名为“jsonFieldName”的键，它的值是“{\"k1\":\"v1\",\"k2\":{\"k2-1\":\"v2-1\"}}”，现需要插入名为“key3”且值为“v2-1”的键值对，其日志增强配置信息如下所示：

需要说明的是，日志增强组件以配置文件的方式存储着各个日志增强插件与其参数，编辑配置文件可以改变插件参数的值。

进一步的，在接收客户端发送的日志增强配置信息之后，日志增强组件可以基于日志增强配置信息，对该待处理日志信息对应的原始日志信息进行信息配置，以得到日志增强后的日志信息，以满足企业用户的需求。

在一些实施例中，若日志增强组件中存储的日志增强插件列表中的日志增强插件不能满足用户的需求，此时需要对日志增强插件列表进行更新，即获取能够满足用户需求的日志增强插件，并基于新的日志增强插件，更新日志增强插件列表，即更新存储的各日志增强插件和相应插件标识。

与上述方法对应的，本申请实施例还提供一种日志增强配置信息的获取装置，如图3所示，该日志增强配置信息的获取装置包括：接收单元310、配置单元320和发送单元330；

接收单元310，用于接收客户端发送的日志增强预览请求，所述日志增强预览请求包括待处理日志信息、目标日志增强插件的插件参数和相应的插件标识；所述目标日志增强插件用于对日志信息执行目标信息配置操作；

配置单元320，用于基于所述目标日志增强插件的插件参数和相应的插件标识，对所述待处理日志信息进行信息配置，得到配置后的日志信息；

发送单元330，用于向所述客户端发送日志增强预览响应，所述日志增强预览响应包括所述配置后的日志信息，以使所述客户端对所述配置后的日志信息进行预览；

接收单元310，还用于接收所述客户端发送的日志增强配置信息，所述日志增强配置信息包括所述待处理日志信息的日志特征、所述目标日志增强插件的插件参数和相应的插件标识；所述日志增强配置信息是所述客户端在接收到预览通过的指示信息后发送的。

在一个可能的实现中，发送单元330，还用于基于客户端发送的日志增强插件查询请求，向所述客户端发送日志增强插件查询响应，所述日志增强插件查询响应包括各日志增强插件的插件标识；所述各日志增强插件用于对日志信息执行一种信息配置操作；

在一个可能的实现中，配置单元320，具体用于：

在一个可能的实现中，所述装置还包括获取单元340和更新单元350；

获取单元340，用于获取新的日志增强插件和相应插件标识；

更新单元350，用于基于所述新的日志增强插件，更新存储各日志增强插件和相应插件标识的日志增强插件列表。

在一个可能的实现中，发送单元330，还用于向所述客户端发送已完成存储的指示信息。

配置单元320，还用于基于所述日志增强配置信息，对所述待处理日志信息对应的原始日志信息进行信息配置。

本申请上述实施例提供的日志增强配置信息的获取装置的各功能单元的功能，可以通过上述各方法步骤来实现，因此，本申请实施例提供的日志增强配置信息的获取装置中的各个单元的具体工作过程和有益效果，在此不复赘述。

本申请实施例还提供了一种电子设备，如图4所示，包括处理器410、通信接口420、存储器430和通信总线440，其中，处理器410，通信接口420，存储器430通过通信总线440完成相互间的通信。

存储器430，用于存放计算机程序；

处理器410，用于执行存储器430上所存放的程序时，实现如下步骤：

获取新的日志增强插件和相应插件标识；

向所述客户端发送已完成存储的指示信息。

上述提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

由于上述实施例中电子设备的各器件解决问题的实施方式以及有益效果可以参见图1所示的实施例中的各步骤来实现，因此，本申请实施例提供的电子设备的具体工作过程和有益效果，在此不复赘述。

在本申请提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的日志增强配置信息的获取方法。

在本申请提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的日志增强配置信息的获取方法。

本领域内的技术人员应明白，本申请实施例中的实施例可提供为方法、系统、或计算机程序产品。因此，本申请实施例中可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例中可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请实施例中是参照根据本申请实施例中实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例中的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例中范围的所有变更和修改。

显然，本领域的技术人员可以对本申请实施例中实施例进行各种改动和变型而不脱离本申请实施例中实施例的精神和范围。这样，倘若本申请实施例中实施例的这些修改和变型属于本申请实施例中权利要求及其等同技术的范围之内，则本申请实施例中也意图包含这些改动和变型在内。

Claims

1.一种日志增强配置信息的获取方法，其特征在于，所述方法包括：

2.如权利要求1所述的方法，其特征在于，接收客户端发送的日志增强预览请求之前，所述方法还包括：

3.如权利要求1或2所述的方法，其特征在于，所述日志增强插件包括预处理操作插件、拆分操作插件、插入操作插件、映射操作插件、解析操作插件、解码操作插件和分隔操作插件。

4.如权利要求1所述的方法，其特征在于，基于所述目标日志增强插件的插件参数和相应的插件标识，对所述待处理日志信息进行信息配置，得到配置后的日志信息，包括：

5.如权利要求4所述的方法，其特征在于，接收所述客户端发送的所述日志增强配置信息之后，所述方法还包括：

获取新的日志增强插件和相应插件标识；

6.如权利要求1所述的方法，其特征在于，接收客户端发送的所述日志增强配置信息之后，所述方法还包括：

向所述客户端发送已完成存储的指示信息。

7.如权利要求1所述的方法，其特征在于，所述待处理的日志信息是服务端在具有相似日志特征的一组原始日志信息中提取所述相似日志特征构成的日志信息；

8.一种日志增强配置信息的获取装置，其特征在于，所述装置包括：

9.一种电子设备，其特征在于，所述电子设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存储的程序时，实现权利要求1-7任一所述的方法步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-7任一所述的方法步骤。