[发明专利]高性能日志及行为审计系统

权利要求书

1.一种高性能日志及行为审计系统，其特征是在所述系统主体采用数据采集层、数据分析层和数据存储检索层三层设计，各层之间采用TCP加密传输，各层均可以单独扩展，从而提高单层的性能；其中

数据采集层：采用PCI-E网络接口工控板，配置INTEL双核CPU、DDRII内存和DOM盘，裁剪Linux内核，只留下必要的驱动和模块，制作启动镜像，并且使系统启动以后完全运行在内存中，以加快系统运行速度；采集程序工作在该层中并采用零拷贝技术，在数据采集的初期，完成大部分无用数据的过滤，减少分析和拷贝的压力，采集到的数据格式化为统一的结构体，通过TCP加密传输至数据分析层；    

数据分析层：采用服务器主板，配置AMD ATHLON 64位双核CPU和SATA硬盘RAID5，裁剪Linux内核，只留下必要的驱动和模块，制作启动镜像，并且使系统启动以后完全运行在内存中，以加快系统运行速度；数据分析模块工作在该层中并接收来自采集层的数据，采用树型规则库分析每条数据，采取相应的动作，然后将数据通过TCP加密传输至数据存储检索层；

数据存储检索层：采用服务器主板，配置AMD ATHLON 64位双核CPU和SATA硬盘RAID5，裁剪Linux内核，只留下必要的驱动和模块，制作启动镜像，并且使系统启动以后完全运行在内存中，以加快系统运行速度；数据存储检索层工作在该层中并接收来自数据分析层的数据，接收到的数据首先存储于ramdisk中，到一定量了之后，批量写入硬盘；在写入时，首先将结构体转为二进制流，然后将结构体中唯一的序号和二进制流一一对应写入原始数据文件。

2.根据权利要求1所述的高性能日志及行为审计系统，其特征是在所述数据存储检索层中，接收来自数据分析层的数据并批量写入硬盘之后，为了能高效地检索，为统一结构体的每个字段建立索引文件；结构体分为数字型和字符串型两种数据，数字型索引文件通过二进制的方式来建立，文件中包含结构体中对应字段的数值和对应的结构体索引编号两种信息，在检索时通过对对应索引文件的检索，可以检索出符合条件的序号集合，通过这个集合，可以在原始数据文件中获取数据；字符串索引文件首先计算字符串hash值，文件中包含结构体中对应字段的原始字符串、字符串对应的hash值和对应的结构体索引编号三种信息，在检索时通过对对应索引文件的检索，可以检索出符合条件的序号集合，通过这个集合可以在原始数据文件中获取数据。