基于缓存的网络设备syslog信息的规则匹配方法组成比例

本发明专利技术公开基于缓存的网络设备syslog信息的规则匹配方法，其中，该方法包括：对syslog信息，获取其syslog模式，记为P；在网管系统缓存中，查询syslog模式P对应的syslog规则集，记为{Rule}

【技术实现步骤摘要】
基于缓存的网络设备syslog信息的规则匹配方法


[0001]本专利技术涉及对网络设备syslog信息进行规则匹配的领域，尤其是基于缓存的网络设备syslog信息的规则匹配方法。

技术介绍

[0002]网络设备指构成电信运营商网络的物理实体，主要包括交换机、宽带远程接入服务器以及路由器等。现代电信运营商网络由数以千计的网络设备组成。
[0003]现代电信运营商网络的平稳和高效运行依赖于每一台网络设备的正常运行。这就要求当网络设备发生故障时，网管软件能够在最短时间内生成告警，便于网络运维人员进行对网络设备故障尽早发现，尽早处理。
[0004]当前主流网络设备会自动将设备运行日志逐条通过syslog(系统日志)协议实时发送给网管syslog采集探针，如图1所示。
[0005]每条设备运行日志是类似如下的文本信息：
[0006][0007][0008]网管syslog采集探针收集上述文本信息，并根据运营商网络运维人员设置的syslog规则集，将上述syslog信息分类为普通系统日志和告警信息。对于告警信息，还需要将其进一步划分为不同的种类和不同的级别等。
[0009]网管syslog采集探针的核心工作之一就是对收到的每一条syslog信息，从syslog规则集中寻找适用于该syslog信息内容的syslog规则，并执行规则中定义的相应操作。通常的做法是遍历syslog规则集，将syslog信息与各个syslog规则进行匹配测试，直到成功
匹配某个规则，再执行该规则中定义的相应操作。
[0010]通常syslog规则集中有成百上千条规则，所以上述的规则匹配测试是网管syslog采集探针程序中比较耗时的程序，消耗了大量的CPU计算资源，需要进行专门的优化设计，以实现对设备运行日志高效处理，避免积压。

技术实现思路

[0011]为克服重复执行耗时的syslog规则匹配测试的问题，本专利技术提供基于缓存的网络设备syslog信息的规则匹配方法，通过建立syslog模式与syslog规则集的对应关系，精确限定需进行匹配测试的syslog规则集，从而实现高效的syslog规则匹配。
[0012]为实现上述目的，本专利技术采用下述技术方案：
[0013]在本专利技术一实施例中，提出了基于缓存的网络设备syslog信息的规则匹配方法，该方法包括：
[0014]步骤一，对syslog信息，获取其syslog模式，记为P；
[0015]步骤二，在网管系统缓存中，查询syslog模式P对应的syslog规则集，记为{Rule}
P
；
[0016]步骤三，遍历{Rule}
P
中的syslog规则，直到成功匹配；若在{Rule}
P
中没有成功匹配的syslog规则，则将该syslog信息与全部syslog规则集{Rule}
ALL
中的syslog规则进行匹配测试，并将成功匹配的syslog规则添加到syslog模式P对应的syslog规则集{Rule}
P
中。进一步地，步骤一中syslog模式的获取方法包括：
[0017]将syslog信息记为S并复制一份，记为S
copy
，通过正则表达式替换的方法，删除S
copy
中的阿拉伯数字；
[0018]利用SHA-1将S
copy
转换为消息摘要，记为S
digest
；
[0019]将S
digest
作为该条syslog信息对应的syslog模式P。
[0020]更进一步地，syslog信息S用于后续的syslog规则匹配测试，S
copy
用于生成syslog模式P。
[0021]更进一步地，消息摘要的长度固定为20字节，呈现形式为40个16进制数，记为S
digest
。
[0022]进一步地，步骤二中网管系统缓存采用内存数据库来实现。
[0023]更进一步地，内存数据库中存储syslog模式P和syslog规则集{Rule}
P
二者之间的对应关系。
[0024]进一步地，步骤二中syslog模式P对应的syslog规则集的查询方法包括：
[0025]根据syslog模式P在内存数据库中查询在是否存在对应的syslog规则集{Rule}
P
；
[0026]若存在对应的{Rule}
P
，则将syslog信息S与{Rule}
P
中的syslog规则进行匹配；
[0027]若不存在对应的{Rule}
P
或者{Rule}
P
中不存在匹配的syslog规则，则执行“与全部syslog规则集进行匹配测试”。
[0028]进一步地，对某个syslog模式P的第一个syslog信息，需要执行“与全部syslog规则集{Rule}
ALL
进行匹配测试”，并将成功匹配的syslog规则写入到内存数据库中，对syslog模式P和syslog规则集{Rule}
P
二者的对应关系进行维护，供该syslog模式P后续的syslog信息直接使用。
[0029]进一步地，对某个syslog信息S与syslog规则集{Rule}
P
中的syslog规则进行匹配测试时，可能会找不到匹配的syslog规则，需要执行“与全部syslog规则集{Rule}
ALL
进行匹配测试”，并将成功匹配的syslog规则更新到syslog规则集{Rule}
P
中，供后续的syslog信息使用。
[0030]进一步地，某个syslog信息唯一对应一个syslog模式P，syslog模式P对应的syslog规则集{Rule}
P
是网管全部的syslog规则集{Rule}
ALL
的一个子集，包括少数几个syslog规则。
[0031]进一步地，在网管系统缓存中，以key-value方式保存上述的syslog模式P以及对应的syslog规则集{Rule}
P
，其中syslog模式P为key，syslog规则集{Rule}
P
为value。
[0032]有益效果：
[0033]与传统方法相比，本专利技术利用syslog信息的相似性，通过对syslog信息进行简单处理，提取其syslog模式，进而建立syslog模式与syslog规则集的对应关系，从而精确限定了syslog规则匹配测试的范围，提升了处理效率。
附图说明
[0034]图1是当前主流网络设备的运行日志传输示意图；
[0035]图2是本专利技术一实施例的数据对应关系示意图；
[0036]图3是本专利技术一实施例的基于缓本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于缓存的网络设备syslog信息的规则匹配方法，其特征在于，该方法包括：步骤一，对syslog信息，获取其syslog模式，记为P；步骤二，在网管系统缓存中，查询syslog模式P对应的syslog规则集，记为{Rule}
P
；步骤三，遍历{Rule}
P
中的syslog规则，直到成功匹配；若在{Rule}
P
中没有成功匹配的syslog规则，则将该syslog信息与全部syslog规则集{Rule}
ALL
中的syslog规则进行匹配测试，并将成功匹配的syslog规则添加到syslog模式P对应的syslog规则集{Rule}
P
中。2.根据权利要求1所述的基于缓存的网络设备syslog信息的规则匹配方法，其特征在于，所述步骤一中syslog模式的获取方法包括：将syslog信息记为S并复制一份，记为S
copy
，通过正则表达式替换的方法，删除S
copy
中的阿拉伯数字；利用SHA-1将S
copy
转换为消息摘要，记为S
digest
；将S
digest
作为该条syslog信息对应的syslog模式P。3.根据权利要求2所述的基于缓存的网络设备syslog信息的规则匹配方法，其特征在于，所述syslog信息S用于后续的syslog规则匹配测试，S
copy
用于生成syslog模式P。4.根据权利要求2所述的基于缓存的网络设备syslog信息的规则匹配方法，其特征在于，所述消息摘要的长度固定为20字节，呈现形式为40个16进制数，记为S
digest
。5.根据权利要求1所述的基于缓存的网络设备syslog信息的规则匹配方法，其特征在于，所述步骤二中网管系统缓存采用内存数据库来实现。6.根据权利要求5所述的基于缓存的网络设备syslog信息的规则匹配方法，其特征在于，所述内存数据库中存储syslog模式P和syslog规则集{Rule}
P
二者之间的对应关系。7.根据权利要求1所述的基于缓存的网络设备syslog信息的规则匹配方法，其特征在于，所述步骤二中syslog模式P对应的syslog规则集的查询方...

【专利技术属性】
技术研发人员：王建，杨雪辰，赵爽，刘光伟，
申请(专利权)人：中盈优创资讯科技有限公司，
类型：发明
国别省市：