[发明专利]基于日志的预警方法、装置、服务器及存储介质

权利要求书

1.一种基于日志的预警方法，其特征在于，包括：

获取与各系统所对应的原始日志，并基于各系统的配置文件对相应原始日志进行处理，得到与各原始日志所对应的待处理日志，其中，所述配置文件是用于对所述原始日志进行筛选、标记、转换格式处理的文件；

根据与各系统所对应的映射规则对相应待处理日志进行处理，得到与各原始日志所对应的目标审计日志；

根据预先设置的风险等级评估准则，对各目标审计日志进行风险评估处理，得到各目标审计日志的风险等级；

基于各目标审计日志的风险等级和/或预先定义的风险评估项，生成预警信息。

2.根据权利要求1所述的方法，其特征在于，所述获取与各系统所对应的原始日志，并基于各系统的配置文件对相应原始日志进行处理，得到与各原始日志所对应的待处理日志，包括：

针对各系统，调取当前系统所对应的配置文件，并提取出所述配置文件中的配置项；

基于所述配置项对所述当前系统对应的原始日志进行格式化处理，得到待处理日志。

3.根据权利要求1所述的方法，其特征在于，在得到所述待处理日志之后，还包括：

将所述待处理日志发送至日志服务器，以使所述日志服务器对各原始日志所对应的待处理日志进行集中处理。

4.根据权利要求1所述的方法，其特征在于，所述根据与各系统所对应的映射规则对相应待处理日志进行处理，得到与各原始日志所对应的目标审计日志，包括：

针对各系统，调取当前系统的目标映射规则，基于所述目标映射规则将与所述当前系统所对应的待处理日志处理为目标格式的目标审计日志；

其中，各待处理日志所对应的目标格式相同。

5.根据权利要求1所述的方法，其特征在于，所述根据预先设置的风险等级评估准则，对各目标审计日志进行风险评估处理，得到各目标审计日志的风险等级，包括：

根据预先设置的各个事件类型、各个IP地址以及操作数据类型所对应的风险等级评估准则，确定各目标审计日志的风险评估等级。

6.根据权利要求1所述的方法，其特征在于，所述基于各目标审计日志的风险等级和/或预先定义的风险评估项，生成预警信息，包括：

当检测到目标审计日志所对应的风险等级高于第一预设风险等级阈值，则生成预警信息；或，

确定预先定义的风险评估项所对应的风险评估等级，当所述风险评估等级所对应的风险等级高于第二预设风险等级阈值，则生成预警信息。

7.根据权利要求1或6所述的方法，其特征在于，还包括：

确定与所述预警信息相对应的预警规则，基于所述预警规则向对应终端设备发送预警信息。

8.一种基于日志的预警装置，其特征在于，包括：

待处理日志得到模块，用于获取与各系统所对应的原始日志，并基于各系统的配置文件对相应原始日志进行处理，得到与各原始日志所对应的待处理日志，其中，所述配置文件是用于对所述原始日志进行筛选、标记、转换格式处理的文件；

目标审计日志得到模块，用于根据与各系统所对应的映射规则对相应待处理日志进行处理，得到与各原始日志所对应的目标审计日志；

风险等级得到模块，用于根据预先设置的风险等级评估准则，对各目标审计日志进行风险评估处理，得到各目标审计日志的风险等级；

预警信息生成模块，用于基于各目标审计日志的风险等级和/或预先定义的风险评估项，生成预警信息。

9.一种服务器，其特征在于，所述服务器包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述程序被所述处理器执行，使得所述处理器实现如权利要求1-7中任一所述的基于日志的预警方法。

10.一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-7中任一所述的基于日志的预警方法。