[发明专利]业务告警事件起因分析的方法、装置、设备及介质

说明书

本发明提供一种业务告警事件起因的分析方法，方法包括：使用监听程序，记录所有服务器操作日志；获取服务器操作日志及业务告警事件的信息；对服务器操作日志与业务告警事件的信息做关联计算，得到关联结果；根据关联结果，得到业务告警事件的起因。通过该方法，能够准确追踪由于误操作或者其他因素导致的业务告警事件的起因，明确责任。本发明还提供一种业务告警事件起因的分析装置、一种电子设备及一种计算机可读介质。

技术领域

本发明涉及网络安全领域，尤其涉及一种业务告警事件起因分析的方法、装置、设备及介质。

背景技术

随着信息化程度的不断提高，对信息的依赖程度也随之增加，如何保障信息系统安全是目前广泛关注的问题之一。例如，操作系统、硬件、应用程序等故障或配置错误导致系统异常运行，服务中断，这些异常行为只会在系统及各类日志中有所反应，没有统一的日志审计手段，无法及时发现安全事故；大部分企业对员工的上网行为都不进行直接控制，因此员工不适当或滥用公式网络资源的行为时有发生，如下载、网上聊天及访问非法网站的行为等等，也会引发业务告警。

为了更好地应对业务告警，越来越多的日志审计产品应运而生，但大多都是针对web日志、服务器操作日志，对于登录服务器操作日志较少。因此，本发明主要针对Linux服务器登录操作日志的审计。

发明内容

(一)要解决的技术问题

针对目前存在的技术问题，本发明提出一种业务告警事件起因分析的方法、装置、设备及介质，用于对误操作或者内鬼导致的业务告警事故进行追踪溯源。

(二)技术方案

本发明提供一种业务告警事件起因的分析方法，其特征在于，包括：使用监听程序，记录所有服务器操作日志；获取服务器操作日志及业务告警事件的信息；对服务器操作日志与业务告警事件的信息做关联计算，得到关联结果；根据关联结果，得到业务告警事件的起因。

可选地，记录所有服务器操作日志中，服务器操作日志包括用户登录信息及操作信息，用户登录信息包括登录的用户名、IP地址信息及时间，操作信息包括用户具体操作的内容。

可选地，对服务器操作日志与业务告警事件的信息做关联计算，得到关联结果，包括：根据业务告警事件信息，关联用户名、IP地址信息、时间及具体操作的内容，得到引发业务告警事件的具体用户名、IP地址信息、时间及操作的内容。

可选地，关联结果包括与业务告警事件对应的用户名、IP地址信息及时间，根据关联结果，得到业务告警事件的起因，包括：根据用户名得到引发业务告警事件的具体用户；根据IP地址信息得到引发业务告警事件的具体地址；根据时间得到引发业务告警事件的具体时间。

可选地，获取业务告警事件的信息，包括：对采集的所有告警事件的信息进行过滤，消除其中误告警事件的信息或重复告警事件信息。

可选地，对服务器操作日志与业务告警事件的信息做关联计算包括：采用日志分析引擎根据业务告警事件信息关联服务器操作日志。

可选地，记录所有服务器操作日志之后还包括：将服务器操作日志存储到大数据平台。

本发明另一方面提供一种业务告警事件起因的分析装置，该装置包括：记录模块，用于记录所有服务器操作日志；信息获取模块，用于获取服务器操作日志及业务告警事件的信息；计算模块，用于对服务器操作日志与业务告警事件的信息做关联计算，得到关联结果；结果获取模块，用于根据关联结果，得到业务告警事件的起因。

本发明另一方面还提供一种电子设备，包括：处理器；存储器，其存储有计算机可执行程序，该程序在被所述处理器执行时，使得所述处理器执行本发明中的业务告警事件起因分析的方法。

本发明另一方面还提供一种计算机可读介质，其上存储有计算机程序，该程序被处理器执行时实现本发明中的业务告警事件起因分析的方法。