【技术实现步骤摘要】
日志增强配置信息的获取方法、装置、电子设备及介质
[0001]本申请涉及信息处理
,具体而言,涉及一种日志增强配置信息的获取方法、装置、电子设备及介质。
技术介绍
[0002]最近几年,国家对网络安全极为重视,安全厂商对企业安全建设也日趋成熟,越来越多的企业在服务端部署了安全信息与事件管理系统(Security Information and Event Management,SIEM)、态势感知平台、安全运营中心(security operations centers,SOC),其中上述系统、平台或中心的初始输入是安全设备、操作系统、网络设备、应用程序的日志文件(或称“原始日志”)。
[0003]由于不经任何处理直接在安全事件管理与分析系统内部传输的原始日志中的信息量可能不充分,不利于后续的检索与分析,故为了满足企业用户的增强日志内容(即增加日志的信息量)的需求,构建了日志增强组件。
[0004]客户端向日志增强组件发送日志增强配置信息,当日志增强组件接收到新的日志条目时,该组件根据日志增强配置信息来...
【技术保护点】
【技术特征摘要】
1.一种日志增强配置信息的获取方法,其特征在于,所述方法包括:接收客户端发送的日志增强预览请求,所述日志增强预览请求包括待处理日志信息、目标日志增强插件的插件参数和相应的插件标识;所述目标日志增强插件用于对日志信息执行目标信息配置操作;基于所述目标日志增强插件的插件参数和相应的插件标识,对所述待处理日志信息进行信息配置,得到配置后的日志信息;向所述客户端发送日志增强预览响应,所述日志增强预览响应包括所述配置后的日志信息,以使所述客户端对所述配置后的日志信息进行预览;接收所述客户端发送的日志增强配置信息,所述日志增强配置信息包括所述待处理日志信息的日志特征、所述目标日志增强插件的插件参数和相应的插件标识;所述日志增强配置信息是所述客户端在接收到预览通过的指示信息后发送的。2.如权利要求1所述的方法,其特征在于,接收客户端发送的日志增强预览请求之前,所述方法还包括:基于客户端发送的日志增强插件查询请求,向所述客户端发送日志增强插件查询响应,所述日志增强插件查询响应包括各日志增强插件的插件标识;所述各日志增强插件用于对日志信息执行一种信息配置操作;基于所述客户端发送的目标插件标识对应的插件参数查询请求,向所述客户端发送插件参数查询响应,所述插件参数查询响应包括所述目标插件标识对应的插件参数。3.如权利要求1或2所述的方法,其特征在于,所述日志增强插件包括预处理操作插件、拆分操作插件、插入操作插件、映射操作插件、解析操作插件、解码操作插件和分隔操作插件。4.如权利要求1所述的方法,其特征在于,基于所述目标日志增强插件的插件参数和相应的插件标识,对所述待处理日志信息进行信息配置,得到配置后的日志信息,包括:从存储的各日志增强插件的插件标识中,查找所述目标日志增强插件的插件标识对应的所述目标日志增强插件;基于所述目标日志增强插件和所述插件参数,对所述待处理日志信息进行信息配置,得到配置后的日志信息。5.如权利要求4所述的方法,其特征在于,接收所述客户端发送的所述日志增强配置信息之后,所述方法还包括:获取新的日志增强插...
【专利技术属性】
技术研发人员:黄河,
申请(专利权)人:华青融天北京软件股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。