[发明专利]一种内网安全日志采集方法及系统

说明书

本发明涉及一种内网安全日志采集方法及系统，日志采集引擎从各应用模块采集历史软件系统日志；提取系统日志中的错误代码并与预存的错误代码做对比；若系统日志中的错误代码与预存的错误代码有重合，则提取错误代码相对应的解释信息；若系统日志中的错误代码与预存的错误代码不同，则将错误代码进行储存；告警采集引擎对错误代码进行分析，形成日志错误类型模型，并训练日志错误类型模型；错误等级匹配引擎通过实时日志与日志错误等级模型的匹配决定该日志错误类型并进行告警。该内网安全日志采集方法，便于对日志进行储存、管理、分析以及查找应用。

技术领域

本发明属于日志采集技术领域，具体涉及一种内网安全日志采集方法及系统。

背景技术

当前，针对网络环境中关键信息资源的威胁数量和类型都在急剧上升，如何及时对网络攻击行为做出主动反应，是网络安全领域近年来的研究热点。通过分析日志文件对网络安全态势进行评估已得到越来越广泛的认可。很多企业为了应对网络面临的安全威胁，在信息化过程中部署了防火墙、行为管理设备、防病毒软件、IDS以及其他一些安全基础设施，拟通过这些安全基础设施来保护企业的网络安全。这些安全基础设施均会在监控或防御的过程中产生一些与安全防护相关的日志数据，这些数据通常能够反映出网络设备的行为。对于每天产生的这些日志，实时处理需要大量服务器资源，因此大部分公司不会分析与处理，只是简单记录。但是日志数据存出现异常时，不便于查找。

发明内容

本发明的目的是提供一种内网安全日志采集方法以解决不便于查找异常日志的技术问题。

本发明的另一个目的是提供一种内网安全日志采集系统。

为了实现以上目的，本发明采取的技术方案为：一种内网安全日志采集方法，

日志采集引擎从各应用模块采集历史软件系统日志；

提取系统日志中的错误代码并与预存的错误代码做对比；

若系统日志中的错误代码与预存的错误代码有重合，则提取错误代码相对应的解释信息；

若系统日志中的错误代码与预存的错误代码不同，则将错误代码进行储存；

告警采集引擎对错误代码进行分析，形成日志错误类型模型，并训练日志错误类型模型；

错误等级匹配引擎通过实时日志与日志错误等级模型的匹配决定该日志错误类型并进行告警。

进一步地，过滤掉错误代码后形成历史日志数据，同样将历史日志数据文件保存下来，但是将与历史日志数据与错误代码分开保存。

进一步地，所述储存在存储系统中的系统日志通过通用接口保存成统一字符编码的日志文件，通用接口包括日志生成接口、日志编排接口和日志传输接口。

进一步地，所述系统日志包括一个或多个目标参数；所述目标参数为日志关键字、日志时间戳、日志地址、日志所属业务模块或子模块中的一项或多项。

进一步地，所述错误代码与预存的错误代码的对比，每个应用模块的错误代码单独对比；各个应用模块的错误代码单独储存。

进一步地，所述预存错误代码包括初始设置的错误代码以及在运行过程中逐步出现的错误代码的总和。

一种内网安全日志采集系统，包括以下模块：日志采集引擎，用于从各个应用模块件采集历史软系统日志；提取模块，用于从日志采集引擎中采集的系统日志提取错误代码；存储模块，用于存储预存的错误代码以及逐步生成的错误代码；对比模块，用于将提取模块中提取到的错误代码与存储模块存储的错误代码进行对比；告警采集引擎，用于对错误代码分析，并生成和训练日志错误类型模型；错误等级匹配引擎，对日志错误类型进行匹配对应。

进一步地，还包括发送单元，用于向日志服务器发送所述日志采集引擎从各个应用模块采集的历史软件系统日志。