[发明专利]一种日志记录合并方法和系统

权利要求书

1、一种日志记录合并方法，其特征在于，包括：

a、对日志记录中包含的参数进行分类，其中至少包括类型参数；所述类型参数用于表示日志中所记录的事件的类型；

b、建立类型参数和合并规则的对应关系；

c、读取日志记录，并使用日志记录的类型参数所对应的合并规则对日志记录进行合并处理。

2、如权利要求1所述的日志记录合并方法，其特征在于：步骤a中，日志记录中包含的参数还包括地址信息参数；

步骤b中，所述合并规则包括以下五种中的任一种或其任意组合：

平行型，合并参数包括类型参数和地址信息。

聚合型，合并参数包括类型参数和目的地址信息。

辐射型，合并参数包括类型参数和源地址信息。

混合型，合并参数为类型参数和任一地址信息。

独立型，日志记录独立成为一条合并记录；

所述合并参数是指在合并时用于划分日志记录归类的参数。

3、如权利要求1所述的日志记录合并方法，其特征在于，不同的合并规则对应于不同的合并参数；所述合并参数是指在合并时用于划分日志记录归类的参数；

步骤c具体包括：

c1、按时间顺序读取日志记录；

c2、根据日志记录的类型参数确定其所对应的合并规则；

c3、将日志记录合并到具备相同合并参数的合并记录里。

4、如权利要求3所述的日志记录合并方法，其特征在于，步骤c3具体包括：

根据合并规则，提取日志记录中的合并参数，在合并队列中查找具备相同合并参数的合并记录，然后将该日志记录中合并参数部分删去，其它部分放入合并记录；如果查找不到具备相同合并参数的合并记录，则将该日志记录作为一个新的合并记录并放入合并队列。

5、如权利要求4所述的日志记录合并方法，其特征在于：步骤a中，日志记录中包含的参数还包括地址信息参数；

步骤c3中还包括：

对于新的合并记录，在合并记录中增加下列参数中的一个或其任意组合：事件发生次数、源、目的IP/MAC地址的统计数，源、目的端口统计数、合并记录的开始时间、结束时间、IP/MAC地址列表、端口列表；

每合并一个日志记录，就将其所合并到的合并记录的“事件发生次数”参数加一；当日志记录中合并参数之外的IP地址无法在IP地址列表中找到时，将其添加到合并记录中的IP地址列表；当日志记录中合并参数之外的端口无法在端口列表中找到时，将其添加到合并记录中的端口列表。

6、如权利要求3所述的日志记录合并方法，其特征在于，步骤a中，日志记录中包含的参数还包括时间参数；

步骤c中还包括，对合并记录进行时间判断，判断方法为以下两种中的任一种：

第一种是将系统当前的时间和最近一次处理的日志记录的时间参数进行比较，如果时间参数之差大于系统超时阀值，则认为原先所有的合并记录均已完成，终结原先所有的合并记录参与以后的合并，保存后从合并队列中删除；

第二种将各合并记录中的最大时间参数和当前日志记录的时间参数进行比较，如果有大于超时阀值的，说明本次按该合并规则合并的事件已结束，终结此合并记录参与以后的合并，保存后从合并队列中删除。

7、一种日志记录合并系统，其特征在于，包括：存储模块及合并模块；

所述存储模块用于保存合并规则、及日志记录的类型参数与合并规则的对应关系；

所述合并模块用于读取日志记录，并使用日志记录的类型参数所对应的合并规则，对日志记录进行合并处理。

8、如权利要求7所述的日志记录合并系统，其特征在于，所述存储模块保存的合并规则包括以下五种中的任一种或其任意组合：

平行型，合并参数包括类型参数和地址信息。

聚合型，合并参数包括类型参数和目的地址信息。

辐射型，合并参数包括类型参数和源地址信息。

混合型，合并参数为类型参数和任一地址信息。

独立型，日志记录独立成为一条合并记录；

所述合并参数是指在合并时用于划分日志记录归类的参数。