[发明专利]一种日志处理方法及装置

权利要求书

1.一种日志处理方法，其特征在于，包括：

实时侦听日志数据，并对所述日志数据进行拷贝，得到日志拷贝数据；

通过一个异步进程对所述日志拷贝数据进行加密存储，并通过另一个异步进程对所述日志拷贝数据进行本地审计处理，得到审计结果；

根据所述审计结果判断所述日志拷贝数据是否通过本地审计；

如果是，则对所述日志拷贝数据进行归一化处理，得到归一化日志数据；

将所述归一化日志数据发送至日志集中采集服务器，以使所述日志集中采集服务器对所述归一化日志数据进行集中审计处理。

2.根据权利要求1所述的日志处理方法，其特征在于，所述实时侦听日志数据，包括：

通过本地日志代理组件对日志进行实时侦听，得到实时侦听数据；

对所述实时侦听数据进行解析还原处理，得到日志数据。

3.根据权利要求1所述的日志处理方法，其特征在于，所述通过另一个异步进程对所述日志拷贝数据进行本地审计处理，得到审计结果，包括：

通过另一个异步进程遍历预设的审计规则库中的审计目标特征，判断所述日志拷贝数据是否命中所述审计规则库中的任一个审计目标特征；其中，所述另一个异步进程为异步日志审计进程；

如果是，则确定审计结果为通过本地审计；

如果否，则确定审计结果为不通过本地审计。

4.根据权利要求3所述的日志处理方法，其特征在于，所述审计规则库包括规则标识、审计目标日志的审计特征、预定义的匹配规则以及归一化规则，其中，所述审计目标日志的审计特征包括正则规则，所述归一化规则包含多个组合预定义的匹配规则与正则规则。

5.根据权利要求1所述的日志处理方法，其特征在于，在所述实时侦听日志数据之前，所述方法还包括：

获取系统日志配置信息，并根据所述系统日志配置信息对系统日志服务进行初始化处理，得到初始化后的系统日志服务；

重新启动所述初始化后的系统日志服务；

对本地预设的审计规则库进行格式化处理并存储。

6.一种日志处理装置，其特征在于，所述日志处理装置包括：

实时侦听单元，用于实时侦听日志数据，并对所述日志数据进行拷贝，得到日志拷贝数据；

加密存储单元，用于通过一个异步进程对所述日志拷贝数据进行加密存储；

本地审计单元，用于通过另一个异步进程对所述日志拷贝数据进行本地审计处理，得到审计结果；

判断单元，用于根据所述审计结果判断所述日志拷贝数据是否通过本地审计；

归一化单元，用于当判断出所述日志拷贝数据通过本地审计时，则对所述日志拷贝数据进行归一化处理，得到归一化日志数据；

发送单元，用于将所述归一化日志数据发送至日志集中采集服务器，以使所述日志集中采集服务器对所述归一化日志数据进行集中审计处理。

7.根据权利要求6所述的日志处理装置，其特征在于，所述实时侦听单元包括：

第一子单元，用于通过本地日志代理组件对日志进行实时侦听，得到实时侦听数据；

第二子单元，用于对所述实时侦听数据进行解析还原处理，得到日志数据。

8.根据权利要求6所述的日志处理装置，其特征在于，所述本地审计单元包括：

第三子单元，用于通过另一个异步进程遍历预设的审计规则库中的审计目标特征，判断所述日志拷贝数据是否命中所述审计规则库中的任一个审计目标特征；其中，所述另一个异步进程为异步日志审计进程；

第四子单元，用于当判断出所述日志拷贝数据命中所述审计规则库中的任一个审计目标特征时，则确定审计结果为通过本地审计；以及当判断出所述日志拷贝数据没有命中所述审计规则库中的任一个审计目标特征时，则确定审计结果为不通过本地审计。

9.一种电子设备，其特征在于，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至5中任一项所述的日志处理方法。

10.一种可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行权利要求1至5任一项所述的日志处理方法。