一种快速解析日志的方法、系统及电子设备技术方案

本发明专利技术提供了一种快速解析日志的方法、系统及电子设备，该方法中，当接收到目标待解析日志后，先将目标待解析日志与当前优化资产匹配规则记录表中的待匹配资产信息所对应的目标解析规则进行顺序匹配，假如匹配不成功，再进入解析规则库中进行解析规则匹配，并且，当前优化资产匹配规则记录表中记录的资产信息，解析规则ID，匹配次数之间的对应关系是按照同一资产信息所对应的匹配次数的降序排列的，这样，在顺序匹配时，在一定程度上也减少了匹配次数，大大提高了匹配成功的概率，进而加快了日志解析的速度，同时无需牺牲解析粒度，所以日志解析的可靠性高，缓解了现有的日志解析方法解析速度慢，可靠性差的技术问题。

【技术实现步骤摘要】
一种快速解析日志的方法、系统及电子设备
本专利技术涉及网络安全的
，尤其是涉及一种快速解析日志的方法、系统及电子设备。
技术介绍
随着日益发展的日志审计需要，人们对于日志审计的要求也越来越高。日志存储和解析量也越来越大。解析的日志种类也从单一的主机、网络设备到应用日志、各类安全设备日志。日志解析的复杂性也日益增大，解析所需的性能也逐渐提高，对日志的高速处理产生很大的压力。现有的日志处理系统，都是将日志与解析规则库进行全量匹配。该方法在少量日志的情况下占用少量性能就能对日志完成解析，但是在大量日志的情况下就会造成很大的性能浪费。当解析规则条目数仅为10条时，每条日志的解析匹配次数可能不到十次，但是如当解析规则条目数达到10W条时，系统对于每一条日志的解析匹配可能就会达到几万次甚至9W多次，而且每一条进入的日志都需要经过该流程的匹配，那么在此过程中就会造成很大的资源浪费，影响解析速度。所以就会产生解析速度慢或者牺牲解析粒度来达到提升解析速度的问题。综上，现有的日志解析方法存在解析速度慢，可靠性差的技术问题。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种快速解析日志的方法、系统及本文档来自技高网...

【技术保护点】
1.一种快速解析日志的方法，其特征在于，包括：获取目标待解析日志，并获取所述目标待解析日志的待匹配资产信息，其中，所述待匹配资产信息至少包括资产ID，资产IP，端口号；将所述目标待解析日志与当前优化资产匹配规则记录表中的所述待匹配资产信息所对应的目标解析规则进行顺序匹配，其中，所述当前优化资产匹配规则记录表包括：当前时刻资产信息，与解析规则ID和匹配次数之间的对应关系，且所述当前优化资产匹配规则记录表中，所述对应关系按照同一资产信息所对应的匹配次数的降序排列；如果所述目标待解析日志与所述目标解析规则中的子目标解析规则相匹配，则通过所述子目标解析规则对所述目标待解析日志进行解析；如果所述目标待解...

【技术特征摘要】
1.一种快速解析日志的方法，其特征在于，包括：获取目标待解析日志，并获取所述目标待解析日志的待匹配资产信息，其中，所述待匹配资产信息至少包括资产ID，资产IP，端口号；将所述目标待解析日志与当前优化资产匹配规则记录表中的所述待匹配资产信息所对应的目标解析规则进行顺序匹配，其中，所述当前优化资产匹配规则记录表包括：当前时刻资产信息，与解析规则ID和匹配次数之间的对应关系，且所述当前优化资产匹配规则记录表中，所述对应关系按照同一资产信息所对应的匹配次数的降序排列；如果所述目标待解析日志与所述目标解析规则中的子目标解析规则相匹配，则通过所述子目标解析规则对所述目标待解析日志进行解析；如果所述目标待解析日志与所述目标解析规则中的所有子目标解析规则不匹配，或者，所述当前优化资产匹配规则记录表中不存在所述待匹配资产信息的记录，则将所述目标待解析日志与解析规则库中的解析规则进行逐条匹配，并根据匹配得到的解析规则对所述目标待解析日志进行解析，其中，所述当前优化资产匹配规则记录表中的解析规则ID所表示的解析规则为所述解析规则库中解析规则的子集。2.根据权利要求1所述的方法，其特征在于，获取目标待解析日志包括：获取待解析日志，并获取所述待解析日志的资产信息；判断所述待解析日志的资产信息是否与预设资产信息相匹配；如果所述待解析日志的资产信息与所述预设资产信息相匹配，则确定所述待解析日志为所述目标待解析日志。3.根据权利要求1所述的方法，其特征在于，在将所述目标待解析日志与当前优化资产匹配规则记录表中的所述待匹配资产信息所对应的目标解析规则进行顺序匹配之前，所述方法还包括：判断所述当前优化资产匹配规则记录表中是否存在所述待匹配资产信息的记录；如果存在，则将所述目标待解析日志与所述当前优化资产匹配规则记录表中的所述待匹配资产信息所对应的目标解析规则进行顺序匹配；如果不存在，则将所述目标待解析日志与所述解析规则库中的解析规则进行逐条匹配。4.根据权利要求1所述的方法，其特征在于，在所述目标待解析日志与所述目标解析规则中的子目标解析规则相匹配之后，所述方法还包括：对所述当前优化资产匹配规则记录表中所述待匹配资产信息和子目标解析规则ID所对应的匹配次数进行更新，得到更新后的匹配次数，其中，所述子目标解析规则ID为所述子目标解析规则所对应的ID；基于所述更新后的匹配次数对所述当前优化资产匹配规则记录表中的对应关系的排序进行更新，得到更新后的优化资产匹配规则记录表，以将所述更新后的优化资产匹配规则记录表用于下一时刻的日志解析。5.根据权利要求1所述的方法，其特征在于，在根据匹配得到的解析规则对所述目标待解析日志进行解析之后，所述方法还包括：将所述待匹配资产信息，所述匹配得到的解析规则所对应的解析规则ID和匹配次数作为新的对应关系并按照同一待匹配资产信息所对应的匹配次数降序排列的原则将所述新的对...

【专利技术属性】
技术研发人员：董云豪，范渊，刘博，龙文洁，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江,33