[发明专利]设备日志实时解析的方法、装置和系统

说明书

技术领域

本发明涉及计算机网络安全管理技术，特别是一种设备日志实时解析的方法、装置和系统。

背景技术

日志是描述计算机系统或设备行为的记录。在计算机安全领域中，日志主要用于用户行为的监控，记录用户对系统的使用情况，防止用户越权使用；网络异常行为的诊断，通过日志观测评估异常行为等；问题的监测是通过日志系统来监测系统资源或网络流量的使用情况，来检测问题是否发生。在日志审计系统中，采集网络设备日志，并通过实时的分析日志信息，使系统管理员能及时了解网络和业务的运行情况，迅速识别并制止安全威胁。

通常，设备发出的日志是有一定格式的字符串，日志审计系统接收到这些字符串以后，按照格式规则解释这些字符串，从中得到所期望的内容。由于不同的设备所发出的日志格式都有一定的区别，因此，在日志审计系统中，对多种不同设备的日志同时作实时解析比较困难，这也就限制了一个日志审计系统所能够支持设备的类型。

现有技术中，对各种设备类型的日志进行实时处理的一种方法是，通过在数据库中提前存入设备的相应信息和处理日志需要的规则；在启动系统时从数据库读入这些信息加载到内存中，以支持该类型网络设备。在实现本发明的过程中，发明人经过研究发现：当要支持一个新的网络设备类型时，需要与数据库交互，将该网络设备类型的相关信息和日志处理规则存入数据库的相应的表中，重新启动系统，加载相应的信息。

现有技术中，对各种设备类型的日志进行实时处理的另一种方法是，通过编写插件的形式来完成设备日志的实时解析，在实现本发明的过程中，发明人经过研究发现：1、当需要支持一个新的设备时，需要根据该设备本身的日志格式编译解析代码；2、当需要修改某个设备的日志格式时，需要更改解析代码，系统还需要对更改后的解析代码进行重新编译，比较麻烦。

发明内容

一方面，本发明实施例提供了一种设备日志实时解析的方法，能够无需编译解析代码，无需重新启动系统，实时接收并解析设备日志。

为实现上述目的，本发明实施例是通过以下技术方案实现的：

一种设备日志实时解析方法，包括步骤：

动态加载设备日志解析配置文件；

依据加载的配置文件创建相应的日志解析器；

接收设备发出的日志；

依据接收的设备日志，查找相应的日志解析器，如果找到相应的日志解析器，则对接收的设备日志进行解析，并将解析结果发送到审计中心。

本发明实施例提供的设备日志实时解析方法，通过为每一个设备类型创建相应的日志解析配置文件，将设备日志解析规则以配置文件的方式动态加载到系统中，并创建相应的日志解析器，由日志解析器对设备的日志进行实时接收和解析，并将解析结果发送到审计中心；当有新的的设备类型增加到系统中时，或需更改某个设备类型的日志解析规则时，只需要编写或修改相应的设备日志解析配置文件，并放在相应的目录下，系统就能够接收并解析新增设备类型的日志，因此，本发明实施例无需重新启动系统，无需编译解析代码，可实现实时接收并解析设备日志。

另一方面，本发明实施例提供了一种设备日志实时解析的装置，能够无需编译解析代码，无需重新启动系统，实时接收并解析设备日志。

为实现上述目的，本发明实施例是通过以下技术方案实现的：

一种设备日志实时解析装置，包括：

加载单元，用于动态加载设备日志解析配置文件；

创建单元，用于依据加载的配置文件创建相应的日志解析器；

接收单元，用于接收设备发出的日志；

查找单元，用于根据设备日志，查找相应的日志解析器；

日志解析器，用于将设备日志解析成统一的日志格式；和

发送单元，用于发送统一格式的设备日志到审计中心。

本发明实施例提供的设备日志实时解析装置，由加载单元动态加载设备日志解析配置文件，并依据加载的配置文件由创建单元创建相应的日志解析器，接收单元接收设备发出的日志，根据设备日志由查找单元查找相应的日志解析器，如果找到相应的日志解析器，则由该日志解析器将设备日志解析成统一的日志格式，并由发送单元将统一格式的设备日志发送到审计中心；当有新的的设备类型增加到系统中时，或需更改某个设备类型的日志解析规则时，只需要编写或修改相应的设备日志解析配置文件，并放在相应的目录下，系统就能够接收并解析新增设备类型的日志，因此，本发明实施例无需重新启动系统，无需编译解析代码，可实现实时接收并解析设备日志。