RU2419986C2 - Объединение многострочных протокольных вхождений - Google Patents

Объединение многострочных протокольных вхождений Download PDF

Info

Publication number
RU2419986C2
RU2419986C2 RU2008143372/08A RU2008143372A RU2419986C2 RU 2419986 C2 RU2419986 C2 RU 2419986C2 RU 2008143372/08 A RU2008143372/08 A RU 2008143372/08A RU 2008143372 A RU2008143372 A RU 2008143372A RU 2419986 C2 RU2419986 C2 RU 2419986C2
Authority
RU
Russia
Prior art keywords
protocol
combined event
event
protocol entry
combined
Prior art date
Application number
RU2008143372/08A
Other languages
English (en)
Other versions
RU2008143372A (ru
Inventor
Эктор АГИЛАР-МАСИАС (US)
Эктор АГИЛАР-МАСИАС
Гириш МАНТРИ (US)
Гириш МАНТРИ
Original Assignee
Арксайт, Инк.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Арксайт, Инк. filed Critical Арксайт, Инк.
Publication of RU2008143372A publication Critical patent/RU2008143372A/ru
Application granted granted Critical
Publication of RU2419986C2 publication Critical patent/RU2419986C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3495Performance evaluation by tracing or monitoring for systems
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99933Query processing, i.e. searching
    • Y10S707/99936Pattern matching access
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99937Sorting

Abstract

Изобретение относится к области мониторинга сетевой активности. Техническим результатом является повышение эффективности обработки протокольных вхождений, принятых от множественных устройств. Способ построения объединенных событий из протокольных вхождений, принятых системой обработки данных, содержит этапы, на которых осуществляют прием множества протокольных вхождений; для каждого принятого протокольного вхождения определяют, что протокольное вхождение содержит ID (идентификатор) общий для объединенного события, в соответствии со свойствами объединения; если протокольное вхождение представляет собой начальное протокольное вхождение потенциального объединенного события в соответствии со свойствами объединения, начинают новое объединенное событие и преобразуют протокольное вхождение в новое объединенное событие в соответствии со свойствами преобразования для объединенного события; и если протокольное вхождение является оканчивающим протокольным вхождением существующего объединенного события в соответствии со свойствами объединения, преобразуют протокольное вхождение в существующее объединенное событие в соответствии со свойствами преобразования для существующего объединенного события и осуществляют окончание существующего объединенного события. 3 н. и 16 з.п. ф-лы, 6 ил.

Description

Область техники
Раскрытые варианты осуществления относятся, в общем, к мониторингу сетевой активности. Более конкретно, раскрытые варианты осуществления относятся к системе и способу для объединения множества вхождений, представляющих относящуюся активность сети.
Уровень техники
Является желательным мониторировать протокольные вхождения, принятые от различных устройств и частей программного обеспечения в сети. Часто эти другие устройства или части программного обеспечения могут создавать несколько сообщений протоколирования по причинам удобства, скорости или надежности. Это делается, например, чтобы некоторая информация достигла центрального пункта для события, даже если не вся информация достигает. Например, может быть желательно посылать протокольное сообщение до того, как работа выполнена, чтобы быть уверенным, что что-то записано, даже если система позже терпит аварию, до полного окончания данной работы.
В дополнение, некоторые типы протокольных событий происходят в устройстве с течением времени. Считается желательным посылать протоколируемые события по мере того, как они происходят, вместо того, чтобы ждать пока все протоколируемые случаи произойдут для события в устройстве.
Если многочисленные устройства посылают протокольные вхождения в один или несколько центральных пунктов сбора в сети, протокольные вхождения для различных событий от различных устройств будут, наиболее вероятно, прибывать разбросанными между собой. Различные протокольные вхождения могут быть не соседними в протоколе. Они могут чередоваться с очень похожими событиями. Они могут быть раскиданы по нескольким протокольным файлам. Последовательность вхождений может не быть полной (возможно, что датчик сломался до того, как операция была закончена).
Что необходимо - это способ для автоматического сбора информации о событиях высокого уровня из протокольных вхождений, которые были сгенерированы при проблемных условиях, описанных выше.
Сущность изобретения
Предпочтительные варианты осуществления настоящего изобретения определяют агент, содержащий блок синтаксического разбора, модуль группирующего блока слежения и модуль преобразования. Блок синтаксического разбора разделяет поступающие протокольные вхождения на токены. Группирующий блок слежения анализирует эти токены, чтобы определить, к каким объединенным событиям токены принадлежат (если есть какие-либо). В описанном варианте осуществления группирующий блок слежения работает в соответствии с конфигурируемыми свойствами объединения, хотя другие варианты осуществления могут иметь жестко закодированные свойства. Свойства объединения делают возможной конфигурацию различных свойств, ассоциированных с действием группирования протокольных вхождений в объединенные события высокого уровня. В описанном варианте осуществления эти свойства включают в себя некоторое или все из: какие типы протокольных вхождений будут рассматриваться для каждого объединенного события, какие ID используются для идентификации каждого объединенного события, какие вхождения начинают и оканчивают объединенное событие, значение таймаута, которое автоматически оканчивает сбор вхождений для существующего объединенного события, даже если никакое вхождение окончания не найдено.
В описанном варианте осуществления, модуль преобразования принимает протокольные вхождения, ассоциированные с конкретными объединенными событиями, и преобразует их в поля в структуре данных объединенного события в соответствии со свойствами преобразования (хотя эти свойства преобразования также могут быть жестко закодированы).
Описанные варианты осуществления изобретения используют регулярные выражения в свойствах объединения для описания значений, которые ищутся в принятых протокольных вхождениях. Например, регулярное выражение может определять, какие протокольные вхождения являются частью события со многими вхождениями, может определять первое вхождение в событии со многими вхождениями, может определять последнее вхождение в событии со многими вхождениями. Свойства объединения также определяют, какое поле во вхождениях должно содержать определенное значение в порядке объединения (например, запись может иметь какой-либо численный ID или ссылаться на какой-либо IP адрес). Описанный вариант осуществления настоящего изобретения может обрабатывать протокольные вхождения для событий, которые перемешены между собой.
Краткое описание чертежей
На ФИГ.1 показана блок-схема системы в соответствии с вариантом осуществления настоящего изобретения.
На ФИГ.2 показан алгоритм варианта осуществления способа выполнения обработки протокольных вхождений в соответствии со свойствами объединения.
На ФИГ.3 изображена блок-схема варианта осуществления способа выполнения добавления протокольного вхождения в объединенное событие в соответствии со свойствами объединения.
На ФИГ.4 изображена блок-схема, показывающая функцию one_of, используемую в свойствах преобразования в варианте осуществления настоящего изобретения.
На ФИГ.5 показан пример, на котором множественные объединенные события строятся по мере того, как принимаются разбросанные вхождения для различных объединенных событий.
На ФИГ. 6 показан пример формата объединенного события.
Варианты осуществления
Варианты осуществления настоящего изобретения здесь описаны со ссылками на чертежи, где схожие номера ссылок показывают одинаковые или функционально схожие элементы.
На ФИГ.1 показана блок-схема системы 100, соответствующей варианту осуществления настоящего изобретения. Система 100 предпочтительно содержит агент 104 в одном или более центральных точках сети. Агент 104 принимает протокольные вхождения от разнообразных устройств и частей программного обеспечения сети, такой как, например, интернет, локальная сеть, WAN, беспроводная сеть, мобильная сеть или любой другой подходящий механизм, который позволяет удаленным устройствам посылать протокольные вхождения для агента 104.
Протокольные вхождения принимаются блоком 102 синтаксического разбора и разделяются посредством синтаксического разбора на токены способом, известным специалистам в данной области техники. В другом варианте осуществления синтаксический разбор выполняется, как описано в заявке США No. 11/070024 от Hector Aguilar-Macias et al, под названием "Message Parsing In A Network Security System," поданной 1 марта 2005 года, которая приведена в настоящем описании посредством ссылки.
Принятое протокольное вхождение может иметь любой подходящий формат, для которого блок 102 синтаксического разбора может осуществлять синтаксический разбор. Блок 102 синтаксического разбора выдает токены на основании принятых записей системного журнала. Эти токены принимаются модулем 110 группирующего блока слежения.
Модуль 110 группирующего блока слежения соединен, чтобы принимать свойства объединения из памяти или другого модуля хранения или устройства 112. Свойства объединения определяют, как должны интерпретироваться принятые протокольные вхождения, когда они используются для построения объединенных событий. Модуль группирующего блока слежения выдает протокольные вхождения, которые ассоциированы с конкретными объединенными событиями в модуль преобразования, где протокольные вхождения преобразуются в объединенные события, которые строятся из принятых протокольных вхождений. Это преобразование происходит в соответствии со свойствами 122 преобразования. Выход модуля 120 преобразования это одно или более объединенных событий, являющихся результатом множества протокольных вхождений. Процесс, в общем виде описанный на ФИГ.1, будет описан более детально ниже в связи с примером.
Пример
Здесь пример того, как объединение событий работает в варианте осуществления данного изобретения:
Предположим, что следующие строки протокольных вхождений (они также иногда называются "сообщения"):
[18/Jul/ 2005:12:30:20 -0400] conn=8 op=0 msgId=82 - BIND uid=admin
[18/Jul/ 2005:12:30:25 -0400] conn=7 op=-1 msgId=-1 - LDAP
connection from 10.0.20.122 to 10.0.20.122
[18/Jul/ 2005:12:30:30 -0400] conn=8 op=0 msgId=82 - RESULT err=0
Блок 102 синтаксического разбора осуществляет синтаксический разбор этих принятых протокольных вхождений в пары ключ-значение. Для каждого протокольного вхождения выдается набор токенов. Например, протокольное вхождение:
[18/JuI/2005:12:30:20 -0400]] conn=8 op=0 msgId=82 - BIND uid=admin
Результирующие токены имеют следующие пары ключ/значение:
Date=18/Jul/2005 12:30:20
Connection=8
Operation=0
MessageId=82
OperationName=BIND
UserId=admin
Аналогично, другие два протокольных вхождения выдают их собственные пары ключ/значение:
[18/JuI/2005:12:30:25 -0400]] conn=7 op=-1 msgId=-1 - LDAP
connection from 10.0.20.122 to 10.0.20.12
Date=18/Jul/2005 12:30:25
Connection=7
Operations
MessageId=-1
OperationName=LDAP
Source=10.0.20.122
Destination=10.0.20.12
[18/[uI/2005:12:30:30 -0400]] conn=8 op=0 msgId=82 - RESULT err=0
Date=18/Jul/2005 12:30:30
Connection=8
Operation=0
MessageId=82
OperationName=RESULT
ResultCode=0
На ФИГ.2 изображен алгоритм 200 варианта осуществления способа выполнения процесса приема протокольных вхождений в соответствии со свойствами объединения 112. В предпочтительном варианте осуществления способ выполняется модулем группирования/блоком слежения 110. Если таймаут 202 достигнут для объединенного события, формирующегося в настоящий момент, объединенное событие оканчивается 204 и управление возвращается элементу 202. Таким образом, даже если никакого явного оканчивающего протокольного вхождения не найдено, объединенное событие будет закрыто, когда наступает его таймаут. Значение таймаута может быть различным для различных типов устройств протоколирования и для различных объединенных событий от одного устройства. Как описано ниже, значение таймаута содержится в свойствах объединения.
Элемент 206 принимает следующее протокольное вхождение для обработки. Если протокольное вхождение рассматривается для объединения 208 (как определено в свойствах объединения 112), обработка продолжается, в противном случае посылается одиночное событие 209 и обработка возвращается к элементу 202.
Если протокольное вхождение является начальным протокольным вхождением для нового объединенного события 210 (как определено в свойствах объединения 112), открывается новое объединенное событие 212 (смотрите ФИГ.5 как пример множественных объединенных событий в процессе построения). В некоторых вариантах осуществления запускаются часы таймаута для объединенного события 212.
Если протокольное вхождение не является начальным вхождением, но оно содержит ID существующего объединенного события, строящегося в текущий момент 214, тогда ошибка протоколируется и посылается одиночное событие 215. В противном случае обработка продолжается, и токены и протокольное вхождение переходят 220 в модуль преобразования таким образом, что его информация может быть добавлена в объединенное событие. В различных вариантах осуществления ID может иметь одно поле в протокольном вхождении или иметь много полей в протокольном вхождении, которые содержат общие значения для всех записей системного журнала объединенного события.
Если протокольное вхождение является протокольным вхождением окончания для нового объединенного события 216 (как определено в свойствах объединения 112), существующее объединенное событие оканчивается и перемещается 218 из модуля группирования/блока слежения (смотрите ФИГ.5 как пример множественных объединенных событий в процессе построения). Если протокольное вхождение показывает конец события, соответствующее объединенное событие будет закончено и перемещено из системы на ФИГ.5.
Для продолжения примера, свойства объединения 112 в этом примере определены так:
merge.count=1
merge[0].pattern.count=1
merge[0].pattern [0].token=OperationName
merge[0].pattern[0].regex=(BIND RESULT)
merge[0].starts.count=1
merge[0].starts[0].token=OperationName
merge[0].starts[0].regex=BIND
merge[0].ends.count=1
merge[0].ends[0].token=OperationName
merge [0].ends[0].regex=RESULT
merge[0].id.tokens=Connection,Operation,MessageId
merge[0].timeout=60000
В первую очередь мы покажем случай, когда мы имеем только одну операцию объединения:
merge.count=1
Потом мы определим, что мы хотим все сообщения с OperationName, установленным как BIND или RESULT, использовать для объединения:
merge[0].pattern.count=1
merge [0]. pattern [0].token=OperationName
merge[0].pattern[0].regex=(BIND RESULT)
Теперь мы установим, какие сообщения имеют OperationName установленными как BIND и начнем операцию объединения:
merge[0].starts.count=1
merge[0].starts[0].token=OperationName
merge[0].starts[0].regex=BIND
И что операция объединения закончится, когда мы найдем сообщение с OperationName установленным как RESULT:
merge[0].ends.count=1
merge[0].ends[0].token=OperationName
merge[0].ends[0].regex=RESULT
Мы также должны определить, как идентифицировать, что события принадлежат к одной группе, мы сделаем это посредством специфицирования, что значения Connection, Operation и MessageId должны быть идентичны (формируя ID для объединенного события):
merge[0].id.tokens=Connection,Operation,MessageId
Наконец, мы определим таймаут так, что если мы не получим сообщение с OperationName, установленным как RESULT после 60 секунд, тогда мы посылаем сообщение:
merge[0].timeout=60000
На ФИГ.3 показана блок-схема варианта осуществления метода выполнения добавления протокольного вхождения в объединенное событие в соответствии со свойствами преобразования. Принятые протокольные вхождения и их токены уже идентифицированы по отношению к не менее чем одному объединенному событию, которое строится. Модуль 120 преобразования преобразует информацию в протокольных вхождениях к одному или более объединенных событий, которые строятся (смотрите ФИГ.5, как пример построения объединенных событий, смотрите ФИГ.6 для примера формата объединенного события).
В этом примере свойства 122 преобразования определены так:
event.deviceReceiptTime=Date
event.name= oneOf(mergedevent.name,OperationName)
event.deviceAction=ResultCode
event.destinationUserId=UserId
Эти свойства показывают, как мы будем использовать Date, как отметку времени для события, ResultCode, как действие устройства и UserId, как id пользователя назначения. Имя определено как:
event.name=oneOf(mergedevent.name,OperationName)
Поскольку эта схема также разрешает вам обращаться к событию «отслеживания», оно используется для хранения конечных данных. В данном случае в работе мы будем использовать или OperationName, или имя события «отслеживания» (если какое-либо). Например, первое событие будет содержать следующие ключ-значения:
[18/[uI/2005:12:30:20 -0400]] conn=8 op=0 msgId=82 - BIND uid=admin
Date=18/Jul/2005 12:30:20
Connection=8
Operation=0
MessageId=82
OperationName=BIND
UserId=admin
И новое событие «отслеживания» будет создано, что закончит со следующими преобразованиями:
mergedevent.name=BIND
mergedevent.deviceReceiptTime=18/Jul/2005 12:30:20
mergedevent.destinationUserId=admin
Название объединенного события будет BIND, поскольку это новое объединенное событие, таким образом, имя объединенного события не существует и используется значение OperationName (BIND). Теперь, когда обрабатывается второе события для объединенной группы:
[18/[uI/2005:12:30:30 -0400]] conn=8 op=0 msgId=82 - RESULT err=0
Date=18/Jul/2005 12:30:30
Connection=8
Operations
MessageId=82
OperationName=RESULT
ResultCode=0
Объединенное событие будет преобразвываться, как показано ниже:
mergedevent.name=BIND
mergedevent.deviceReceiptTime=18/Jul/2005 12:30:30
mergedevent.destinationUserId=admin
mergedeve[pi]t.deviceAction=0
Заметим, что mergedevent.name будет установлено BIND, поскольку, когда это событие обрабатывается, оно уже «отслеженное» событие (объединенное событие) с именем, установленным как BIND, таким образом, в этом случае OperationName НЕ БУДЕТ использоваться, и объединенное событие сохранит имя BIND. Заметим, что как mergedevent.deviceReceiptTime теперь установленно 18/Jul/2005 12:30:30, это потому, что определение значения mergedevent было возвращено, таким образом deviceReceiptTime приобретет новое значение.
На ФИГ.4 изображен алгоритм 400, показывающий функцию oneOf 402, использующуюся в свойствах преобразования в варианте осуществления данного изобретения. Для выполнения функции oneOf для, например, имени события, если имя события в настоящее время пустое 404, используется текущее имя токена 406. Если имя не пустое, не пустое имя сохраняется 408.
Следует понимать, что _oneOf только пример операций, которые могут использоваться в компоненте преобразований. Компонент преобразования может содержать другие «операции», которые могут делать ссылки к полям объединенного события. _oneOf это только пример, в существующем способе преобразования. Другие примеры операций включают в себя конкатенирование, операции преобразования типа и другие.
На ФИГ.5 показан пример 500, в котором множественные объединенные события строятся по мере приема разбросанных протокольных вхождений для различных объединенных событий.
На ФИГ.6 показан пример формата 550 одного объединенного события. Например, одно из различных объединенных событий на ФИГ.5 будет иметь этот формат, хотя не все значения могут быть найдены для этого объединенного события. Различные варианты осуществления настоящего изобретения будут содержать другие примеры операций объединения, включая сюда конкатенирование, преобразование типа, подсчет и другие. Другие варианты осуществления включают в себя сбор объединенного события для того, чтобы могла вестись статистика для номеров различных типов объединенных событий. Эти собранные данные могут быть посланы регистратору по отдельности или как часть в сочетании с другими посылаемыми данными.
Следующие параграфы предоставляют короткое описание примеров свойств 112 объединения, включенных в один вариант осуществления изобретения:
merge.count
Определяет номер операций объединения, которые будут определяться.
merge[{mergeindex}].[gamma]pattern.count
Определяет, как много образцов будет определено. Операции объединения требуют образцы для определения того, какие события будут учитываться в операции объединения, если не дано образцов, тогда учитываются все события.
merge[{mergeindex}].pattern[{patternindex}].token
Определяет метку, которая будет использоваться для этого образца.
merge[{mergeindex}].pattern[{patternindex}].regex
Определяет регулярное выражение, использующееся для этого образца.
merge[{mergeindex}].starts.count
Определяет, сколько образцов начала определено. Операции объединения требуют образцы начала для определения того, какие события начнут операцию объединения, если не дано образцов, тогда все события начинают операцию объединения. Если операция единожды началась, она может закончиться только через таймаут или совпадение с образцом конца.
merge[{mergeindex}].starts[{patternindex}].token
Определяет метку, которая будет использоваться для этого образца начала.
merge[{mergeindex}].starts[{patternindex}].regex
Определяет регулярное выражение, использующееся для этого образца начала.
merge[{mergeindex}].ends.count
Определяет, как много образцов конца будет определено. Операции объединения требуют образцы конца для определения того, какие события закончат операцию объединения, если не дано образцов, тогда не одно событие не закончит операцию объединения, операция закончится только через таймаут.
merge[{mergeindex}].ends[{patternindex}].token
Определяет токен, который будет использоваться для этого образца конца.
merge[{mergeindex}].ends[{patternindex}].regex
Определяет регулярное выражение для использования для этого образца конца.
merge[{mergeindex}].timeout
Определяет таймаут в миллисекундах для операции объединения. Если таймаут достигнут, тогда операция объединения оканчивается и события посылаются. Понятно, что эти события будут посланы через различные каналы связи, таким образом, порядок событий не гарантируется.
merge[{mergeindex}].id.tokens
Определяет список токенов, которые будут использоваться для группировки событий. Это свойство обязательно.
merge[{mergeindex}].id.delimiter
Определяет факультативный разделитель для использования для списка выше, если он не определен, тогда разделителем является запятая (,).
merge[{mergeindex}].sendpartialevents
Это свойство является факультативным и по умолчанию установлено как ложно. По существу, она определяет, должно ли каждое событие в объединенном событии быть послано индивидуально, хотя оно объединено с другими событиями.
merge[{mergeindex}].capacity
Это свойство является факультативным и по умолчанию установлено в 1000. Операция объединения событий требует кэш событий, которая хранит результаты объединения. Этот параметр определяет насколько большим будет кэш, и если кэш переполняется, тогда события будут посылаться, как они есть, и ошибка будет запротоколирована.
Ссылка в описании на «один вариант осуществления» или к «вариант осуществления» означает, что конкретный признак, структура или характеристика, описанные в связи с вариантами осуществления, включены в, по крайней мере, один вариант осуществления изобретения. Применение фразы «в одном варианте осуществления» в различных местах спецификации не обязательно всегда означает один и тот же вариант осуществления.
Некоторые части написанного выше преподносятся в элементах алгоритмов и символьных представлениях операций над битами денных в памяти компьютера. Алгоритмические описания и представления - это способ, использующийся теми, кто является специалистами в области обработки данных, чтобы наиболее эффективно передать сущность своей работы другим сведущим в данной области. Представленный здесь алгоритм, в общем, сконструирован так, чтобы он имел самосогласованную последовательность этапов (инструкций), приводящих к желаемому результату. Этапы требуют физических операций с физическими величинами. Обычно, хотя не необходимо, эти величины имеют вид электрических, магнитных или оптических сигналов, которые можно сохранять, объединять, сравнивать и производить другие манипуляции. Порой удобно, в основном по причине простоты использования, рассматривать эти сигналы как биты, значения, элементы, символы, термы, числа и т.п. К тому же, порой удобно указывать на некоторые компоновки этапов, требующих физических манипуляций с физическими величинами, как части модулей или кодирующих устройств без потери общности.
Как можно иметь в виду, однако, что все из этих и аналогичных терминов должны быть ассоциированы с подходящими физическими величинами и являются просто удобными обозначениями, применяемыми для этих величин. Если не указанно специально, как видно из последующего обсуждения, следует принять во внимание, что на всем протяжении описания, описания, использующие термины, такие как «обработка», или «расчет», или «вычисление», или «определение», или «отображение», или сходные, указывают на действие и процессы компьютерной системы или сходного электронного вычислительного устройства, которая манипулирует и преобразует данные, представленные в виде физических (электронных) величин в памятях компьютерной системы или регистрах или других устройствах хранения информации, передачи или устройств отображения.
Некоторые аспекты данного изобретения включают в себя этапы обработки и инструкции, описанные здесь в форме алгоритма. Следует заметить, что этапы обработки и инструкции данного изобретения могут быть реализованы в программном обеспечении, встроенном программном обеспечении или аппаратном обеспечении, и в случае реализации в программном обеспечении может быть загружена в место постоянного хранения и работать из различных платформ, используемых различными операционными системами.
Настоящее изобретение также относится к аппаратуре для выполнения операций здесь. Эта аппаратура может быть специально сконструирована для требуемых целей или она может содержать компьютер универсального назначения, выборочно задействованный или переконфигурированный компьютерной программой, записанной в памяти компьютера. Эта компьютерная программа может быть записана на читаемом компьютером носителе, как, хотя это и не полный список, любой тип дисков, включая сюда флоппи диски, оптические диски, компакт диски, магнитооптические диски, постоянные запоминающие устройства (ROM), системы памяти с произвольным доступом (RAM), перепрограммируемые микросхемы памяти (EPROM, EEPROM), магнитные или оптические карты, интегральные схемы специализированного назначения (ASICs), или любые типы устройств, подходящих для хранения электронных инструкций и связанные с системной шиной компьютера. Кроме того, компьютеры, описанные в спецификации, могут включать в себя один процессор или иметь архитектуру, использующую несколько процессоров для увеличения возможностей вычисления.
Алгоритмы и изображения, представленные здесь, не обязательно относятся к какому-либо конкретному компьютеру или другой аппаратуре. Различные системы универсального назначения также могут быть использованы с программами, соответствующими идее, представленной здесь, или может быть удобно сконструировать более специализированную аппаратуру для выполнения требуемых этапов способа. Требуемая структура для многообразия этих систем будет показана в описании ниже. Дополнительно, настоящее изобретение не описано со ссылкой на какой-либо конкретный язык программирования. Следует понимать, что многообразие языков программирования может использоваться для выполнения предмета данного изобретения, как описано здесь, и все описанное ниже по отношению к конкретным языкам представляет возможности и наилучший вариант данного изобретения.
Пока изобретение было подробно показано и описано со ссылкой на предпочтительный вариант осуществления и некоторыми альтернативными вариантами осуществления, понятно, что лицо, осведомленное в данной области, может внести различные изменения в форме и деталях без отклонения от истинного смысла и области данного изобретения.
Наконец, необходимо заметить, что язык, используемый в описании, был принципиально выбран для удобства чтения и назначения инструкций и не может быть выбран для описания ограничений патентоспособности сущности предмета изобретения. Соответственно, опубликование данного изобретения предназначено показать изобретение, но не ограничивать область изобретения, которая установлена далее в пунктах формулы изобретения.

Claims (19)

1. Способ построения объединенных событий из протокольных вхождений, принятых системой обработки данных, содержащий следующие шаги:
осуществляют прием множества протокольных вхождений;
для каждого принятого протокольного вхождения:
определяют, что протокольное вхождение содержит ID (идентификатор), общий для объединенного события, в соответствии со свойствами объединения;
если протокольное вхождение содержит ID (идентификатор), общий для объединенного события, и если протокольное вхождение представляет собой начальное протокольное вхождение потенциального объединенного события в соответствии со свойствами объединения:
начинают новое объединенное событие; и
преобразуют протокольное вхождение в новое объединенное событие в соответствии со свойствами преобразования для объединенного события; и
если протокольное вхождение содержит ID (идентификатор), общий для существующего объединенного события, и если протокольное вхождение является оканчивающим протокольным вхождением существующего объединенного события в соответствии со свойствами объединения:
преобразуют протокольное вхождение в существующее объединенное событие в соответствии со свойствами преобразования для существующего объединенного события, и
осуществляют окончание существующего объединенного события.
2. Способ по п.1, в котором дополнительно:
осуществляют окончание существующего объединенного события, если наступает таймаут, как определено в свойствах существующего объединения для существующего объединенного события.
3. Способ по п.1, в котором дополнительно определяют, указывает ли протокольное вхождение на начало объединенного события.
4. Способ по п.21, в котором дополнительно определяют, указывает ли протокольное вхождение на окончание объединенного события.
5. Способ по п.1, в котором дополнительно осуществляют идентификацию протокольного вхождения, которое имеет следствием ни начало, ни окончание объединенного события.
6. Способ по п.1, в котором дополнительно определяют возможность рассматривать объединенное событие как объединенное событие, существующее пока, когда осуществляется объединение в новый токен протокольного вхождения.
7. Способ по п.6, в котором используют возможность в операции преобразования.
8. Способ по п.1, в котором дополнительно определяют, будет ли каждое принятое протокольное вхождение приниматься во внимание для объединения в соответствии со свойствами объединения.
9. Способ по п.1, в котором для преобразования протокольного вхождения в объединенное событие дополнительно определяют время объединенного события, упомянутое время является временем начального протокольного события для объединенного события.
10. Способ по п.1, в котором для преобразования протокольного вхождения в объединенное событие дополнительно определяют время объединенного события, упомянутое время является временем оканчивающего протокольного события для объединенного события.
11. Способ по п.1, в котором для преобразования протокольного вхождения в объединенное событие дополнительно осуществляют преобразование ID события в соответствии со свойствами преобразования.
12. Способ по п.1, в котором для преобразования протокольного вхождения в объединенное событие дополнительно осуществляют преобразование имени события в соответствии со свойствами преобразования.
13. Способ по п.1, в котором для преобразования протокольного вхождения в объединенное событие дополнительно осуществляют преобразование имени, выделенного посредством синтаксического разбора из протокольного вхождения, преобразование выполняют в соответствии с функцией oneOf в свойствах преобразования.
14. Способ по п.1, в котором для преобразования протокольного вхождения в объединенное событие дополнительно осуществляют преобразование действия устройства в соответствии со свойствами преобразования.
15. Способ по п.1, в котором принятые протокольные вхождения содержат протокольные вхождения, соответствующие более чем одному объединенному событию, перемешанные вместе.
16. Способ по п.1, в котором одно принятое протокольное вхождение используют для построения более чем одного объединенного события.
17. Способ по п.1, в котором ID содержит множество полей в протокольном вхождении, множество полей предназначено для идентификации протокольных вхождений, которые вносят вклад в объединенное событие.
18. Система построения объединенных событий из протокольных вхождений, принятых системой обработки данных, содержащая:
модуль для приема множества протокольных вхождений;
блок синтаксического разбора для осуществления синтаксического разбора протокольных вхождений на токены;
модуль группирования, который для каждого принятого протокольного вхождения, разобранного на токены:
определяет, что протокольное вхождение содержит ID (идентификатор), общий для объединенного события, в соответствии со свойствами объединения;
начинает новое объединенное событие, если протокольное вхождение является начальным протокольным вхождением потенциального объединенного события в соответствии со свойствами объединения; и
оканчивает существующее объединенное событие, если протокольное вхождение является оканчивающим протокольным вхождением существующего объединенного события в соответствии со свойствами объединения; и
модуль преобразования, который преобразует каждое протокольное вхождение, содержащее ID, общий для существующего объединенного события, в существующее объединенное событие в соответствии со свойствами преобразования для существующего объединенного события.
19. Машиночитаемый носитель данных с сохраненным на нем компьютерным программным продуктом, содержащим инструкции для побуждения компьютера осуществлять способ построения объединенных событий из протокольных вхождений, содержащий:
прием множества протокольных вхождений;
для каждого принятого протокольного вхождения:
определение того, что протокольное вхождение содержит ID (идентификатор), общий для объединенного события, в соответствии со свойствами объединения;
если протокольное вхождение содержит ID (идентификатор), общий для объединенного события, и если протокольное вхождение представляет собой начальное протокольное вхождение потенциального объединенного события в соответствии со свойствами объединения:
начинание нового объединенного события; и
преобразование протокольного вхождения в новое объединенное событие в соответствии со свойствами преобразования для объединенного события; и
если протокольное вхождение содержит ID (идентификатор), общий для существующего объединенного события, и если протокольное вхождение является оканчивающим протокольным вхождением существующего объединенного события в соответствии со свойствами объединения:
преобразование протокольного вхождения в существующее объединенное событие в соответствии со свойствами преобразования для существующего объединенного события, и
заканчивание существующего объединенного события.
RU2008143372/08A 2006-04-05 2007-04-03 Объединение многострочных протокольных вхождений RU2419986C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/398,863 US7437359B2 (en) 2006-04-05 2006-04-05 Merging multiple log entries in accordance with merge properties and mapping properties
US11/398,863 2006-04-05

Publications (2)

Publication Number Publication Date
RU2008143372A RU2008143372A (ru) 2010-05-10
RU2419986C2 true RU2419986C2 (ru) 2011-05-27

Family

ID=38581801

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2008143372/08A RU2419986C2 (ru) 2006-04-05 2007-04-03 Объединение многострочных протокольных вхождений

Country Status (11)

Country Link
US (1) US7437359B2 (ru)
EP (1) EP2011013B1 (ru)
JP (2) JP2009532811A (ru)
KR (1) KR100943012B1 (ru)
AU (1) AU2007234897B2 (ru)
CA (1) CA2644208A1 (ru)
IL (1) IL194190A (ru)
NZ (1) NZ570866A (ru)
RU (1) RU2419986C2 (ru)
TW (1) TWI312624B (ru)
WO (1) WO2007118096A2 (ru)

Families Citing this family (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7650638B1 (en) 2002-12-02 2010-01-19 Arcsight, Inc. Network security monitoring system employing bi-directional communication
US7899901B1 (en) 2002-12-02 2011-03-01 Arcsight, Inc. Method and apparatus for exercising and debugging correlations for network security system
US7607169B1 (en) 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US8176527B1 (en) 2002-12-02 2012-05-08 Hewlett-Packard Development Company, L. P. Correlation engine with support for time-based rules
US7219239B1 (en) 2002-12-02 2007-05-15 Arcsight, Inc. Method for batching events for transmission by software agent
US7376969B1 (en) 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US7788722B1 (en) 2002-12-02 2010-08-31 Arcsight, Inc. Modular agent for network security intrusion detection system
US7260844B1 (en) 2003-09-03 2007-08-21 Arcsight, Inc. Threat detection in a network security system
US8015604B1 (en) 2003-10-10 2011-09-06 Arcsight Inc Hierarchical architecture in a network security system
US9027120B1 (en) 2003-10-10 2015-05-05 Hewlett-Packard Development Company, L.P. Hierarchical architecture in a network security system
US7565696B1 (en) 2003-12-10 2009-07-21 Arcsight, Inc. Synchronizing network security devices within a network security system
US8528077B1 (en) 2004-04-09 2013-09-03 Hewlett-Packard Development Company, L.P. Comparing events from multiple network security devices
US7509677B2 (en) 2004-05-04 2009-03-24 Arcsight, Inc. Pattern discovery in a network security system
US9100422B1 (en) 2004-10-27 2015-08-04 Hewlett-Packard Development Company, L.P. Network zone identification in a network security system
US7644438B1 (en) 2004-10-27 2010-01-05 Arcsight, Inc. Security event aggregation at software agent
US7809131B1 (en) 2004-12-23 2010-10-05 Arcsight, Inc. Adjusting sensor time in a network security system
US7647632B1 (en) 2005-01-04 2010-01-12 Arcsight, Inc. Object reference in a system
US8850565B2 (en) 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7844999B1 (en) 2005-03-01 2010-11-30 Arcsight, Inc. Message parsing in a network security system
US9824107B2 (en) * 2006-10-25 2017-11-21 Entit Software Llc Tracking changing state data to assist in computer network security
US7770183B2 (en) * 2007-01-30 2010-08-03 Microsoft Corporation Indirect event stream correlation
US8260751B2 (en) 2008-08-12 2012-09-04 Tdi Technologies, Inc. Log file time sequence stamping
EP2340476A4 (en) 2008-09-05 2012-05-09 Arcsight Inc EFFECTIVE STORAGE OF LOG DATA WHILE SUPPORTING AN INTERROGATION
KR101106922B1 (ko) * 2009-08-17 2012-01-25 한태환 외장재의 교체가 용이한 기둥구조체
US8782612B2 (en) 2010-05-11 2014-07-15 Ca, Inc. Failsafe mechanism for dynamic instrumentation of software using callbacks
KR101132911B1 (ko) 2010-09-29 2012-04-03 한국전력공사 참조데이터사전을 이용한 멀티플 아이디 할당시스템 및 방법
US8842119B2 (en) 2010-11-17 2014-09-23 Hewlett-Packard Development Company, L.P. Displaying system performance information
US8661456B2 (en) 2011-06-01 2014-02-25 Hewlett-Packard Development Company, L.P. Extendable event processing through services
US8935676B2 (en) * 2011-08-07 2015-01-13 Hewlett-Packard Development Company, L.P. Automated test failure troubleshooter
US8752015B2 (en) * 2011-12-05 2014-06-10 Ca, Inc. Metadata merging in agent configuration files
US9411616B2 (en) 2011-12-09 2016-08-09 Ca, Inc. Classloader/instrumentation approach for invoking non-bound libraries
US9021484B2 (en) * 2012-06-21 2015-04-28 International Business Machines Corporation Migrated application performance comparisons using log mapping
US8620928B1 (en) 2012-07-16 2013-12-31 International Business Machines Corporation Automatically generating a log parser given a sample log
US10097788B2 (en) * 2012-12-31 2018-10-09 DISH Technologies L.L.C. Intelligent recording
US9361204B2 (en) * 2013-02-19 2016-06-07 Arm Limited Generating trace data including a lockup identifier indicating occurrence of a lockup state
WO2014207632A1 (en) * 2013-06-28 2014-12-31 Koninklijke Philips N.V. Logging device and log aggregation device
GB2521364A (en) 2013-12-17 2015-06-24 Ibm Recording GUI data
US10367827B2 (en) 2013-12-19 2019-07-30 Splunk Inc. Using network locations obtained from multiple threat lists to evaluate network data or machine data
US20160048529A1 (en) * 2014-08-13 2016-02-18 Netapp Inc. Coalescing storage operations
JP6295176B2 (ja) * 2014-10-07 2018-03-14 株式会社日立製作所 メッセージ処理装置およびメッセージ処理方法
WO2016129093A1 (ja) 2015-02-13 2016-08-18 三菱電機株式会社 ログトレース装置及びログトレースプログラム
CN106708711B (zh) * 2015-11-17 2020-01-31 阿里巴巴集团控股有限公司 一种日志信息输出控制方法及装置
US10509778B2 (en) * 2016-05-25 2019-12-17 Google Llc Real-time transactionally consistent change notifications
US10678802B2 (en) 2016-06-15 2020-06-09 International Business Machines Corporation Log management utilizing time context indexing
JP7047661B2 (ja) * 2018-08-09 2022-04-05 日本電信電話株式会社 ログ情報収集装置およびログ情報収集方法
CN113227996A (zh) * 2018-12-04 2021-08-06 区块链联合香港有限公司 处理时间记录的方法和装置
JP7175730B2 (ja) * 2018-12-05 2022-11-21 株式会社ソニー・インタラクティブエンタテインメント 信号処理装置、電子機器、センサ装置、信号処理方法およびプログラム
US11436122B1 (en) * 2019-05-13 2022-09-06 Cisco Technology, Inc. Key performance indicator recommendations based on relevancy ranking
US10984111B2 (en) * 2019-05-30 2021-04-20 EMC IP Holding Company LLC Data driven parser selection for parsing event logs to detect security threats in an enterprise system
CN112000698B (zh) * 2020-08-25 2023-09-19 青岛海尔科技有限公司 日志的记录方法及装置、存储介质、电子装置
US11620264B2 (en) * 2021-08-27 2023-04-04 Rohde & Schwarz Gmbh & Co. Kg Log file processing apparatus and method for processing log file data

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5717919A (en) 1995-10-02 1998-02-10 Sybase, Inc. Database system with methods for appending data records by partitioning an object into multiple page chains
US6983478B1 (en) * 2000-02-01 2006-01-03 Bellsouth Intellectual Property Corporation Method and system for tracking network use
US6192034B1 (en) 1997-06-30 2001-02-20 Sterling Commerce, Inc. System and method for network integrity management
US6408391B1 (en) * 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
JPH11327967A (ja) * 1998-05-18 1999-11-30 Mitsubishi Electric Corp ログファイル解析装置
US6134664A (en) * 1998-07-06 2000-10-17 Prc Inc. Method and system for reducing the volume of audit data and normalizing the audit data received from heterogeneous sources
US6408404B1 (en) * 1998-07-29 2002-06-18 Northrop Grumman Corporation System and method for ensuring and managing situation awareness
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
JP2000181565A (ja) * 1998-12-18 2000-06-30 Fujitsu Ltd メッセージの表示装置、方法およびそのための記録媒体とメッセージの監視システム
US6839850B1 (en) * 1999-03-04 2005-01-04 Prc, Inc. Method and system for detecting intrusion into and misuse of a data processing system
IL130893A (en) 1999-07-12 2003-12-10 Ectel Ltd Method and system for creating integrated call detail records (cdr) databases in management systems of telecommunications networks
US6792458B1 (en) 1999-10-04 2004-09-14 Urchin Software Corporation System and method for monitoring and analyzing internet traffic
US6714978B1 (en) * 1999-12-04 2004-03-30 Worldcom, Inc. Method and system for processing records in a communications network
US6694362B1 (en) 2000-01-03 2004-02-17 Micromuse Inc. Method and system for network event impact analysis and correlation with network administrators, management policies and procedures
WO2001084775A2 (en) * 2000-04-28 2001-11-08 Internet Security Systems, Inc. System and method for managing security events on a network
JP4700884B2 (ja) * 2000-04-28 2011-06-15 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータのセキュリティ情報を管理するための方法およびシステム
US7383191B1 (en) 2000-11-28 2008-06-03 International Business Machines Corporation Method and system for predicting causes of network service outages using time domain correlation
US7168093B2 (en) 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
US20020147803A1 (en) * 2001-01-31 2002-10-10 Dodd Timothy David Method and system for calculating risk in association with a security audit of a computer network
US6966015B2 (en) 2001-03-22 2005-11-15 Micromuse, Ltd. Method and system for reducing false alarms in network fault management systems
WO2002097587A2 (en) * 2001-05-31 2002-12-05 Internet Security Systems, Inc. Method and system for implementing security devices in a network
US7043727B2 (en) 2001-06-08 2006-05-09 Micromuse Ltd. Method and system for efficient distribution of network event data
US7516208B1 (en) 2001-07-20 2009-04-07 International Business Machines Corporation Event database management method and system for network event reporting system
US7379993B2 (en) 2001-09-13 2008-05-27 Sri International Prioritizing Bayes network alerts
US20030093692A1 (en) 2001-11-13 2003-05-15 Porras Phillip A. Global deployment of host-based intrusion sensors
US7143444B2 (en) 2001-11-28 2006-11-28 Sri International Application-layer anomaly and misuse detection
US7171689B2 (en) * 2002-02-25 2007-01-30 Symantec Corporation System and method for tracking and filtering alerts in an enterprise and generating alert indications for analysis
US20030221123A1 (en) * 2002-02-26 2003-11-27 Beavers John B. System and method for managing alert indications in an enterprise
US20030188189A1 (en) * 2002-03-27 2003-10-02 Desai Anish P. Multi-level and multi-platform intrusion detection and response system
JP4485112B2 (ja) * 2002-03-28 2010-06-16 株式会社日立製作所 ログデータの収集管理方法および装置
JP2003308229A (ja) * 2002-04-17 2003-10-31 Nippon Telegr & Teleph Corp <Ntt> 時系列イベント記録解析方法及び装置並びにプログラム及び記録媒体
US8463617B2 (en) * 2002-06-03 2013-06-11 Hewlett-Packard Development Company, L.P. Network subscriber usage recording system
US20040024864A1 (en) 2002-07-31 2004-02-05 Porras Phillip Andrew User, process, and application tracking in an intrusion detection system
EP1535164B1 (en) 2002-08-26 2012-01-04 International Business Machines Corporation Determining threat level associated with network activity
EP1577783A4 (en) * 2002-12-26 2008-04-16 Fujitsu Ltd OPERATIONAL MANAGEMENT PROCESS AND OPERATION MANAGEMENT SERVER
US7002405B2 (en) 2003-02-14 2006-02-21 Broadcom Corporation Linear low noise transconductance cell
US8694475B2 (en) * 2004-04-03 2014-04-08 Altusys Corp. Method and apparatus for situation-based management
JP2005316770A (ja) * 2004-04-28 2005-11-10 Canon Inc ジョブ情報管理システム及び方法、並びにプログラム及び記憶媒体
US7380173B2 (en) * 2004-08-03 2008-05-27 International Business Machines Corporation Identifying temporal ambiguity in a aggregated log stream
US7882262B2 (en) * 2005-08-18 2011-02-01 Cisco Technology, Inc. Method and system for inline top N query computation

Also Published As

Publication number Publication date
KR100943012B1 (ko) 2010-02-18
JP2009532811A (ja) 2009-09-10
EP2011013A4 (en) 2011-05-11
WO2007118096A2 (en) 2007-10-18
AU2007234897B2 (en) 2009-09-03
WO2007118096A3 (en) 2008-09-25
US7437359B2 (en) 2008-10-14
TW200818773A (en) 2008-04-16
EP2011013B1 (en) 2018-06-06
JP2012094161A (ja) 2012-05-17
KR20090006141A (ko) 2009-01-14
TWI312624B (en) 2009-07-21
JP5364776B2 (ja) 2013-12-11
IL194190A (en) 2012-04-30
CA2644208A1 (en) 2007-10-18
US20070260931A1 (en) 2007-11-08
NZ570866A (en) 2010-08-27
AU2007234897A1 (en) 2007-10-18
EP2011013A2 (en) 2009-01-07
RU2008143372A (ru) 2010-05-10

Similar Documents

Publication Publication Date Title
RU2419986C2 (ru) Объединение многострочных протокольных вхождений
CN107992398B (zh) 一种业务系统的监控方法和监控系统
US11429625B2 (en) Query engine for remote endpoint information retrieval
WO2021189954A1 (zh) 日志数据处理方法、装置、计算机设备和存储介质
CN103701783B (zh) 一种预处理单元、由其构成的数据处理系统以及处理方法
EP1405187A1 (en) Method and system for correlating and determining root causes of system and enterprise events
US20110258315A1 (en) Network analysis system and method utilizing collected metadata
CN107818120A (zh) 基于大数据的数据处理方法和装置
TW200541260A (en) System security approach methods using state tables, related computer-readable medium, and related systems
US20080059436A1 (en) Providing a visual representation of a sub-set of a visual program
CN109542786A (zh) 可视化测试方法及装置
CN117176802B (zh) 一种业务请求的全链路监控方法、装置、电子设备及介质
CN103823743A (zh) 软件系统的监控方法和设备
CN109189652A (zh) 一种封闭网络终端行为数据的采集方法及系统
CN112732663A (zh) 一种日志信息处理方法及装置
US7653742B1 (en) Defining and detecting network application business activities
CN111756836A (zh) 一种基于事件管理模型的信息发送方法及装置
CN108805741B (zh) 一种电能质量数据的融合方法、装置及系统
CN111953540A (zh) 一种报文生成方法、装置、电子设备及存储介质
CN114661538B (zh) 分布式数据库监控方法、装置、电子设备及存储介质
CN110708208B (zh) 监控数据的采集方法及装置、存储介质、终端
CN115051866B (zh) 一种报文处理方法及装置、存储介质及电子设备
CN113794719B (zh) 一种基于Elasticsearch技术网络异常流量分析方法、装置和电子设备
CN110349025B (zh) 一种基于未花费交易输出的合约资产防遗失方法及装置
Kwon et al. A Study on Verification System to Support Efficient Interface Test in Embedded System

Legal Events

Date Code Title Description
PC43 Official registration of the transfer of the exclusive right without contract for inventions

Effective date: 20170629

PC41 Official registration of the transfer of exclusive right

Effective date: 20170817

PC41 Official registration of the transfer of exclusive right

Effective date: 20171011

MM4A The patent is invalid due to non-payment of fees

Effective date: 20180404