[发明专利]一种安全日志存储和读取方法、装置及安全管控系统

权利要求书

1.一种安全日志存储和读取方法，其特征在于，包括：

在至少一个服务器中的每个服务器上部署一个数据库；

根据所有安全日志的类型，在每个所述数据库中创建至少一个事件表，每个事件表对应一种安全日志类型；

根据安全日志的类型，将待存储的安全日志分别存储到数据库内对应的事件表中；

为每个存储到事件表中的安全日志定义时间戳；

根据所述安全日志的时间戳，分别在对应的事件表中读取需要的安全日志。

2.根据权利要求1所述的方法，其特征在于，所述在每个所述数据库中创建至少一个事件表，每个事件表对应一种安全日志类型包括：建立的事件表涵盖所有安全日志的类型，不同事件表对应的安全日志类型相同或不同。

3.根据权利要求1所述的方法，其特征在于，

所述根据安全日志的类型，将待存储的安全日志分别存储到数据库内对应的事件表中包括：每经过一个设定的间隔时间，汇总一次安全日志，形成一个安全日志汇总表，根据所有安全日志的类型，将所述安全日志汇总表划分为至少一个安全日志分表，其中，每个所述安全日志分表对应一种安全日志类型，将所述安全日志分表发送至对应事件表所在的服务器，将安全日志分表中的安全日志分别存储到对应类型的事件表中。

4.根据权利要求1所述的方法，其特征在于，

所述根据所述安全日志的时间戳，分别在对应的事件表中读取需要的安全日志包括：将所述需要的安全日志根据安全日志的类型进行分类，在对应类型的事件表上，通过安全日志的时间戳进行筛选，同时读取各个事件表中需要的安全日志，将从各个事件表中读取的安全日志进行重组，并将重组后的安全日志返回。

5.根据权利要求1所述的方法，其特征在于，

所述数据库为非关系型数据库；

和/或，

所述安全日志的类型包括：主机日志、网络设备日志、安全设备日志、操作系统日志、中间件日志、数据库日志及应用系统日志中的一个或多个。

6.根据权利要求1至5中任一所述的方法，其特征在于，进一步包括：

根据不同安全日志类型的重要程度，设定各事件表对安全日志的存储时间，对于超出存储时间的安全日志则自动进行删除。

7.一种安全日志存储和读取装置，其特征在于，包括：

部署单元，用于在至少一个服务器中的每个服务器上部署一个数据库；

创建单元，用于根据所有安全日志的类型，在所述部署单元部署的每个数据库中创建至少一个事件表，每个事件表对应一种安全日志类型；

存储单元，用于根据安全日志的类型，将待存储的安全日志分别存储到数据库内由所述创建单元创建的对应类型的事件表中；

定义单元，用于为每个由所述存储单元存储到事件表中的安全日志定义时间戳；

读取单元，用于根据由所述定义单元定义的安全日志的时间戳，分别在由所述创建单元创建的对应类型的事件表中读取需要的安全日志。

8.根据权利要求7所述的装置，其特征在于，

所述存储单元，用于每经过一个设定的间隔时间，汇总一次安全日志，形成一个安全日志汇总表，根据所有安全日志的类型，将所述安全日志汇总表划分为至少一个安全日志分表，其中，每个所述安全日志分表对应一种安全日志类型，将所述安全日志分表发送至对应事件表所在的服务器，将安全日志分表中的安全日志分别存储到对应类型的事件表中；

和/或，

所述读取单元，用于将所述需要的安全日志根据安全日志的类型进行分类，在对应类型的事件表上，通过安全日志的时间戳进行筛选，同时读取各个事件表中需要的安全日志，将从各个事件表中读取的安全日志进行重组，并将重组后的安全日志返回。

9.根据权利要求7至8中任一所述的装置，其特征在于，进一步包括：

设定单元，用于根据不同安全日志类型的重要程度，设定由所述创建单元创建的各事件表对安全日志的存储时间；

删除单元，用于根据所述设定单元设定的存储时间，对超出存储时间的安全日志进行删除。

10.安全管控系统，其特征在于，包括：管理模块、采集模块、分析模块及权利要求7至9中任一所述的安全日志存储和读取装置；

所述管理模块，用于以界面的形式供用户操作，接收用户的命令，对所述采集模块、分析模块及安全日志存储和读取装置进行配置；

所述采集模块，用于各类设备及系统安全事件的采集，并形成安全日志，将安全日志发送给所述安全日志存储和读取装置对安全日志进行存储；

所述分析模块，用于接收所述安全日志存储和读取装置发送来的各类安全日志，并根据所述管理模块发送来的规则，对接收到的安全日志进行加工和分析。