[发明专利]一种日志审计方法及系统

权利要求书

1.一种日志审计方法，其特征在于，所述方法包括：

获取各系统登录操作的原始日志；

对原始日志进行内容分析，解析出日志中的源地址、设备IP地址和操作命令；

根据所述源地址定位操作人员；

根据所述设备IP地址定位所操作的设备；

根据所述操作命令确定操作内容和重要级别；

建立以操作人员为索引，各操作人员对应的操作设备、操作内容及重要级别为内容的审计视图；

监控所述审计视图中重要级别是否满足报警条件，若满足，则发起报警，并将该满足报警条件的操作人员及所对应的操作设备、操作内容及重要级别作为一条记录，记入审计敏感信息集中，以便审计查阅分析；

所述方法还包括：

预先建立操作人员关系表、信息系统关系表和第一知识库；

所述根据所述操作命令确定操作内容和重要级别具体为：

查询所述第一知识库，定位所述操作命令对应的操作内容和重要级别；所述第一知识库中记录有操作命令与操作内容和重要级别的对应关系；

所述方法还包括：对预定周期内审计视图中新增的内容进行分析，对于满足修正条件的记录，在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：实时获取各系统登录操作的原始日志；

每获取到一条新的原始日志，则在所述审计视图中对应操作人员为索引的内容中，增加该新的原始日志中解析及定位得到的本次操作设备、操作内容及重要级别。

3.根据权利要求1所述的方法，其特征在于，

所述根据所述源地址定位操作人员具体为：

查询所述操作人员关系表，定位所述源地址对应的操作人员；所述操作人员关系表中记录有操作人员和源地址的对应关系；

所述根据所述设备IP地址定位所操作的设备具体为：

查询所述信息系统关系表，定位所述设备IP地址对应的设备；所述信息系统关系表中记录有设备IP地址和设备的对应关系。

4.根据权利要求1所述的方法，其特征在于，所述对预定周期内审计视图中新增的内容进行分析，对于满足修正条件的记录，在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系具体为：

在所述预定周期内，判断若新增的内容中某一操作命令被执行的频率超出预置值，则将该操作命令的重要级别修正为高，并在所述第二知识库中增加该操作命令与操作内容和修正后重要级别的对应关系；

所述方法还包括：在所述预定周期内，判断若新增的内容中所述某一操作命令被执行的频率低于所述预置值，则在所述第二知识库中删除该操作命令与操作内容和修正后重要级别的对应关系。

5.根据权利要求4所述的方法，其特征在于，根据所述操作命令确定重要级别具体为：

查询所述第一知识库和第二知识库，若在所述第一知识库和第二知识库中定位所述操作命令对应的重要级别不一致，则以第二知识库中定位的重要级别为该操作命令对应的重要级别。