The invention discloses a method for analyzing abnormal logs and traffic associations, which can unify the meaning of SYSLOG at the semantic level and associate the traffic in a unified format. The invention can be a large network of risk events and flow rate, contribute to the localization problem, the root causes of traceability, the invention can be fault events and traffic information automatically, avoiding the complex positioning process manual to find the.
【技术实现步骤摘要】
一种异常日志和流量关联分析的方法
本专利技术涉及一种分析方法,具体是一种异常日志和流量关联分析的方法。
技术介绍
在IT运维领域,SYSLOG日志和流量信息都是非常重要的信息来源。系统日志(Syslog)协议是在一个IP网络中转发系统日志信息的标准,它是在美国加州大学伯克利软件分布研究中心(BSD)的TCP/IP系统实施中开发的,目前已成为工业标准协议,可用它记录设备的日志。Syslog记录着系统中的任何事件,管理者可以通过查看系统记录随时掌握系统状况。系统日志通过Syslog进程记录系统的有关事件,也可以记录应用程序运作事件。通过适当配置,还可以实现运行Syslog协议的机器之间的通信。通过分析这些网络行为日志,可追踪和掌握与设备和网络有关的情况。为了探测网络中是否存在异常的访问,业界提出了以检测网络数据流的方法来判断网络异常和攻击的方法,借助实时的检测网络数据流信息,通过与历史记录模式匹配(判断是否正常)、或者与异常模式匹配(判断是否被攻击),让网络管理人员可以实时查看全网的状态,检测网络性能可能出现的瓶颈,并进行自动处理或告警显示,以保证网络高效、可靠地运转。这两种信息对IT系统的维护都具有重要意义,SYSLOG日志中具备更明确的信息,记录着某个设备的故障、出现的问题以及发生的准确的时间,流量信息记录着网络中某个时刻的流量特征。现阶段的技术,都只是分离的使用两种信息而不能综合SYSLOG和流量信息,自动的对网络中出现的问题进行分析和定位。
技术实现思路
本专利技术的目的在于提供一种异常日志和流量关联分析的方法,以解决上述
技术介绍
中提出的问题。为实现上述目 ...
【技术保护点】
一种异常日志和流量关联分析的方法,其特征在于,包括如下步骤:(1)统一接收来自不同设备的SYSLOG日志,首先根据SYSLOG日志的来源地址比对手工设置的数据库中是否存在该日志的对应系统或者厂商;(2)如果不能确定SYSLOG日志属于哪个厂商的,则分解syslog日志中的MSG部分,根据MSG的前128字节的指纹信息对SYSLOG日志进行第二次分类;(3)通过上述两个步骤,将一条syslog日志归属到某个厂商或者某个特定操作系统;(4)预存一个不同厂商、不同操作系统的日志格式库,将分类之后的日志和对应厂商、操作系统的日志进行进行快速正则化的对比,将该syslog日志翻译成一个具备唯一ID的消息;(5)一个消息ID是不同厂商的syslog消息的统一化解释,当全网不同厂商的设备发现一次“A攻击事件”告警的时候,每个设备发出的SYSLOG信息不用,系统能够将所有这些信息归类成“A攻击事件”;(6)不同的消息ID会附加一些“可选参数”,如果该消息存在“可选参数”,系统会根据可选参数信息,进一步剥离“可选参数”信息;(7)通过上述操作,一条SYSLOG消息会分解成:消息ID+可选参数列表的形式; ...
【技术特征摘要】
1.一种异常日志和流量关联分析的方法,其特征在于,包括如下步骤:(1)统一接收来自不同设备的SYSLOG日志,首先根据SYSLOG日志的来源地址比对手工设置的数据库中是否存在该日志的对应系统或者厂商;(2)如果不能确定SYSLOG日志属于哪个厂商的,则分解syslog日志中的MSG部分,根据MSG的前128字节的指纹信息对SYSLOG日志进行第二次分类;(3)通过上述两个步骤,将一条syslog日志归属到某个厂商或者某个特定操作系统;(4)预存一个不同厂商、不同操作系统的日志格式库,将分类之后的日志和对应厂商、操作系统的日志进行进行快速正则化的对比,将该syslog日志翻译成一个具备唯一ID的消息;(5)一个消息ID是不同厂商的syslog消息的统一化解释,当全网不同厂商的设备发现一次“A攻击事件”告...
【专利技术属性】
技术研发人员:应磊,
申请(专利权)人:上海以弈信息技术有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。