一种日志数据处理方法及装置制造方法及图纸

本发明专利技术实施例提供一种日志数据处理方法及装置。所述方法包括：实时获取被监测会话对应的被监测日志数据，对被监测日志数据进行解析获得时间戳；将时间戳进行格式转换获得预设格式的转换后时间戳；若判断获知转换后时间戳与被监测会话的会话开始时间不在同一天，则对转换后时间戳进行修正，获得修正后时间戳；若判断获知修正后时间戳为被监测会话的会话结束时间，则根据会话开始时间和会话结束时间进行聚类分析，获得分析结果。所述装置用于执行所述方法。本发明专利技术实施例通过将被监测日志数据的时间戳转换成预设格式，并对时间戳进行修正，实现了会话时间的连续性，从而提高了聚类分析的准确性。

A method and device for processing log data

An embodiment of the invention provides a method and device for processing log data. The method comprises: acquiring real-time session corresponding monitored by monitoring log data of the monitored log data analysis time stamp; time stamp format conversion of preset format after the timestamp; if the judge informed converted timestamp and monitored session session start time is not on the same day then, the converted timestamp is modified, obtain the modified timestamp; if the judge informed the revised time stamp for monitoring session end time, according to the session start time and end time of the session clustering analysis, obtains the analysis results. The device is used to execute the method. The embodiment of the invention realizes the continuity of the session time by transforming the timestamp of the monitored log data into the preset format and correcting the time stamp, so as to improve the accuracy of the cluster analysis.

【技术实现步骤摘要】
一种日志数据处理方法及装置
本专利技术实施例涉及计算机
，尤其涉及一种日志数据处理方法及装置。
技术介绍
随着信息技术的飞速发展和集群规模的不断扩大，随之产生海量日志数据，日志数据记录了系统的运行信息，而且当用户对在系统上进行操作时，也会产生日志数据，因此，通过日志数据可以来分析用户的行为，从而判断该用户是否发生异常。通过对日志监控，可以对软件系统运行中产生的各类日志进行采集、过滤、存储、分析、检测异常的一系列过程，是软件监控系统中的重要组成部分，通过对日志进行不同角度的分析，可以达到对系统安全性监控的目的。现有技术中，对日志分析的方法有通过监控用户访问某一个进程的时间或者频率来进行分析，例如：可以获取用户在正常情况下每天产生日志数据的时间段，当监听到用户产生日志的时间段偏离了正常时间段，则判断出该用户的操作可能出现了异常，从而达到对系统安全的监控。但是，现有技术中，通过以天来分割，将每天的日志进行归类，即，若用户是在前一天的23:30分登陆系统，在第二天的1:00退出系统，此时，是会将用户的该次操作分开归类，没有体现出日志产生时间的连续性，从而导致了对日志数据分类不准确的问题本文档来自技高网...

【技术保护点】
一种日志数据处理方法，其特征在于，包括：实时获取被监测会话对应的被监测日志数据，对所述被监测日志数据进行解析，获得时间戳；将所述时间戳进行格式转换，获得预设格式的转换后时间戳；若判断获知所述转换后时间戳与所述被监测会话的会话开始时间不在同一天，则对所述转换后时间戳进行修正，获得修正后时间戳；若判断获知所述修正后时间戳为所述被监测会话的会话结束时间，则根据所述会话开始时间和所述会话结束时间进行聚类分析，获得分析结果。

【技术特征摘要】
1.一种日志数据处理方法，其特征在于，包括：实时获取被监测会话对应的被监测日志数据，对所述被监测日志数据进行解析，获得时间戳；将所述时间戳进行格式转换，获得预设格式的转换后时间戳；若判断获知所述转换后时间戳与所述被监测会话的会话开始时间不在同一天，则对所述转换后时间戳进行修正，获得修正后时间戳；若判断获知所述修正后时间戳为所述被监测会话的会话结束时间，则根据所述会话开始时间和所述会话结束时间进行聚类分析，获得分析结果。2.根据权利要求1所述的方法，其特征在于，所述方法，还包括：将预设格式的转换后时间戳转换成十进制格式。3.根据权利要求1所述的方法，其特征在于，所述若判断获知所述转换后时间戳与所述被监测会话的会话开始时间不在同一天，则对所述转换后时间戳进行修正，获得修正后时间戳，包括：若判断所述转换后时间戳与所述被监测会话的会话开始时间不在同一天，则获取转换后时间戳与所述会话开始时间的日期间隔；根据所述日期间隔对所述转换后时间戳进行修正，获得修正后时间戳。4.根据权利要求1-3任一项所述的方法，其特征在于，所述方法，还包括：获取预设时间段内，被监测用户对应的所有会话集样本，所述会话集样本包括样本会话开始时间和样本会话结束时间；根据所述会话集样本的样本会话开始时间和样本会话结束时间，利用Kmeans算法建立聚类模型，并提取出聚合中心点。5.根据权利要求4所述的方法，其特征在于，所述根据所述会话开始时间和所述会话结束时间进行聚类分析，获得分析结果，包括：将所述会话开始时间和所述会话结束时间输入到所述聚类模型中，计算所述被监测会话与所述聚合中心点的偏离值；根据所述偏离值判断所述被监测会话是否异常。6.根据权利要求3所述的方法，其特征在于，所述根据所述日期间隔对所述转换后时间戳进行修正，获得修正后时间戳，包括：若所述转换后时间戳与所述开始时间的日期间隔为n，则修正后时间戳的小时数＝转换后时间戳的小时数+n×24；所述修正后时间戳的天数＝所述转换后时间戳的天数-n，其中，n为整数。7.一种日志数据处理装置，其特征在于，包括：第一获取模块，用于实时获取被监测会话对应的被监测日志数据，对所述被监测日志数据进行解析，获得时间戳；第一转换模块...

【专利技术属性】
技术研发人员：白敏，高浩浩，
申请(专利权)人：北京奇安信科技有限公司，
类型：发明
国别省市：北京,11