事件日志管理制造技术

一种事件日志管理。本文描述的一些实现涉及一种系统，该系统被配置为获得与该系统的租户相关联的一个或多个事件日志。该系统可以被配置为基于一个或多个事件日志来确定与租户相关联的事件率，并由此基于事件率来确定轮换间隔。该系统可以被配置为基于轮换间隔来使得数据结构被生成以用于存储在时间窗口期间获得的、与租户相关联的事件日志。系统可以被配置为在时间窗口内获得与租户相关联的一个或多个附加事件日志，并且基于在时间窗口内获得一个或多个附加事件日志来使一个或多个附加事件日志被存储在数据结构中。事件日志被存储在数据结构中。事件日志被存储在数据结构中。

【技术实现步骤摘要】
事件日志管理
[0001]相关申请的交叉引用
[0002]本申请要求于2021年12月20日提交的题为“EVENT LOG MANAGEMENT(事件日志管理)”的印度专利申请第202141059282号的优先权，其全部内容通过引用明确并入本文。

技术介绍

[0003]软件即服务(SaaS)是托管应用或服务的云服务。在一些情况下，多租户SaaS环境可以提供将由环境的不同租户(例如，不同的订户或客户组)共享的资源。

技术实现思路

[0004]本文描述的一些实现涉及一种系统。该系统可以包括一个或多个存储器和一个或多个处理器。该系统可以被配置为获得与该系统的租户相关联的一个或多个事件日志。该系统可以被配置为基于一个或多个事件日志来确定与租户相关联的事件率。该系统可以被配置为基于事件率来确定轮换间隔。该系统可以被配置为基于轮换间隔来使数据结构被生成以用于存储在时间窗口期间获得的、与租户相关联的事件日志。该系统可以被配置为在时间窗口内获得与租户相关联的一个或多个附加事件日志。该系统可以被配置为基于在时间窗内获得一个或多个附加事件日志来使一个或多个附加事件日志被存储在数据结构中。
[0005]本文描述的一些实现涉及为系统存储指令集的非暂态计算机可读介质。指令集当由系统的一个或多个处理器执行时可以使系统基于与系统的租户相关联的一个或多个事件日志来确定与租户相关联的事件率。指令集在由系统的一个或多个处理器执行时可以使系统基于事件率来确定与租户相关联的预测的事件率。指令集在由系统的一个或多个处理器执行时可以使系统基于预测的事件率来确定轮换间隔。指令集当由系统的一个或多个处理器执行时可以使系统基于轮换间隔来使数据结构被生成以用于存储在时间窗口期间获得的与租户相关联的事件日志。指令集当由系统的一个或多个处理器执行时可以使系统在时间窗口内获得与租户相关联的一个或多个附加事件日志。指令集在由系统的一个或多个处理器执行时可以使系统基于在时间窗口内获得一个或多个附加事件日志来使一个或多个附加事件日志被存储在数据结构中。
[0006]本文描述的一些实现涉及一种方法。该方法可以包括由系统并且基于与系统的租户相关联的一个或多个事件日志来确定与租户相关联的事件率。该方法可以包括由系统并且基于事件率来确定轮换间隔。该方法可以包括由系统并且基于轮换间隔来使数据结构被生成以用于存储在时间窗口期间获得的与租户相关联的事件日志。该方法可以包括由系统使在时间窗口期间获得的一个或多个附加事件日志被存储在数据结构中。
附图说明
[0007]图1A至图1E是本文描述的示例实现的图。
[0008]图2是可以在其中实现本文描述的系统和/或方法的示例环境的图。
[0009]图3至图4是图2的一个或多个设备的示例组件的图。
[0010]图5是与事件日志管理相关的示例过程的流程图。
具体实施方式
[0011]以下示例实现的详细描述参考附图。不同附图中的相同附图标记可以标识相同或相似的元素。
[0012]典型的SaaS系统(例如，其提供安全服务)从多租户SaaS环境的租户的相应设备接收事件日志(例如，以标识、防止和/或减轻异常事件、攻击、病毒、蠕虫或与个体租户相关联的其他恶意行为或事件)。在许多情况下，每个租户以不同的速率向SaaS系统发送事件日志。例如，第一租户每秒可以发送数百个事件日志，第二租户每秒可以发送数千个事件日志，第三租户每秒可以发送数万个事件日志，等等。但是，对于每个租户，SaaS系统都提供单一大小的数据结构(例如，数据库)以用于存储在特定时间段(例如，1小时)期间接收到的事件日志。当在特定时间段期间接收到的租户事件日志的总大小超过数据结构的存储大小时，这会导致问题。例如，SaaS系统必须利用计算资源(例如，处理资源、存储器资源、通信资源和/或功率资源等等)来动态地生成新的数据结构、清除和/或删除较旧的数据结构和/或执行其他操作。这会影响SaaS系统的性能，诸如通过导致与执行事件日志相关的查询和/或报告相关的延迟。
[0013]本文描述的一些实现提供了一种系统，该系统获得与系统的租户相关联的一个或多个事件日志，并且基于一个或多个事件日志来确定与租户相关联的事件率。系统基于事件率来确定轮换间隔(例如，时间量，诸如一小时、一天或一周等)，从而使数据结构被生成以用于存储在时间窗口(例如，其具有等于轮换间隔的持续时间)期间获得的、与租户相关联的事件日志。系统在时间窗口内获得与租户相关联的一个或多个附加事件日志，并且基于在时间窗口内获得一个或多个附加事件日志，使一个或多个附加事件日志被存储在数据结构中。
[0014]以这种方式，本文描述的一些实现基于事件日志的事件率来自动生成用于存储租户的事件日志的数据结构。这允许在时间窗口期间生成和利用适合租户的存储需求的数据结构。此外，这降低了在时间窗口期间接收到的租户事件日志的总大小超过数据结构的存储大小的可能性。因此，这减少了计算资源(例如，处理资源、存储器资源、通信资源和/或功率资源等等)的利用，否则将需要这些资源来动态地生成新的数据结构、清除和/或删除较旧的数据结构、和/或执行其他操作。这提高了系统的性能(例如，与典型的SaaS系统相比)，诸如通过将与执行事件日志相关的查询和/或报告相关的延迟最小化。
[0015]此外，在一些实现中，系统获得事件日志搜索请求并且基于请求的搜索开始时间和搜索结束时间来标识用于在相应的时间窗口期间存储事件日志的一个或多个附加数据结构。因此，系统基于事件日志搜索请求，对一个或多个附加数据结构执行一个或多个数据结构查询以标识事件日志搜索信息，并且提供事件日志搜索信息(例如，用于在另一设备上显示))。
[0016]图1A至图1E是本文描述的一个或多个示例实现100的图。(多个)示例实现100可以包括事件日志管理系统(ELMS)、网络设备和/或一个或多个端点设备，它们在下面结合图2至图4更详细地描述。ELMS例如可以是多租户云托管事件日志管理SaaS系统，并且一个或多个端点设备和网络设备可以与由ELMS所提供的多租户SaaS环境的租户相关联。如图1A至图
1E中所示，ELMS可以包括入口(ingress)节点、汇聚(sink)节点、查询节点、控制器节点和/或多个数据结构(在图1A中被示为数据结构1到M，其中M≥2)。
[0017]如图1A中所示，并且通过附图标记102，ELMS可以获得(例如，与ELMS的租户相关联的)一个或多个事件日志。例如，一个或多个端点设备和/或网络设备可以(例如，基于一个或多个端点设备和/或网络设备的操作)生成一个或多个事件日志，并且可以向ELMS发送一个或多个事件日志(例如，近乎实时)。在一些实现中，ELMS的入口节点可以接收一个或多个事件日志。
[0018]如附图标记104所示，ELMS可以确定与租户相关联的事件率。例如，ELMS(例如，使用入口节点)可以基于一个或多个事件日志和/或其他获得的与租户相关联的事件日志来确定ELMS在特定时间段(例如，前5分钟)期间获得的事件日志的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种系统，包括：一个或多个存储器；以及一个或多个处理器，用于：获得与所述系统的租户相关联的一个或多个事件日志；基于所述一个或多个事件日志来确定与所述租户相关联的事件率；基于所述事件率来确定轮换间隔；基于所述轮换间隔来使数据结构被生成以用于存储在时间窗口期间被获得的、与所述租户相关联的事件日志；在所述时间窗口内获得与所述租户相关联的一个或多个附加事件日志；以及基于在所述时间窗口内获得所述一个或多个附加事件日志，使所述一个或多个附加事件日志被存储在所述数据结构中。2.根据权利要求1所述的系统，其中用于确定所述轮换间隔的所述一个或多个处理器，用于：使用机器学习模型来处理所述事件率和与所述租户相关联的一个或多个先前事件率以确定预测的事件率；以及基于所述预测的事件率来确定所述轮换间隔。3.根据权利要求1所述的系统，其中用于确定所述轮换间隔的所述一个或多个处理器，用于：使用单变量时间序列预测模型来处理所述事件率和与所述租户相关联的一个或多个先前事件率以确定预测的事件率；以及基于所述预测的事件率来确定所述轮换间隔。4.根据权利要求1所述的系统，其中用于确定所述轮换间隔的所述一个或多个处理器，用于：基于所述事件率来确定预测的事件率；标识数据结构的代表性容量；基于所述预测的事件率来确定在特定时间间隔期间要被接收的事件日志的数目；确定在所述特定时间间隔期间要被接收的所述事件日志的数目小于或等于所述代表性容量；以及将所述特定时间间隔标识为所述轮换间隔。5.根据权利要求1所述的系统，其中用于确定所述轮换间隔的所述一个或多个处理器，用于：基于所述事件率来确定预测的事件率；标识数据结构的代表性容量；基于所述预测的事件率来确定在特定时间间隔期间要被接收的事件日志的数目；确定在所述特定时间间隔期间要被接收的所述事件日志的数目大于所述代表性容量；以及使所述轮换间隔大于所述特定时间间隔。6.根据权利要求1所述的系统，其中所述数据结构的名称标识以下至少一项：所述租户；
所述时间窗口；或要被存储在所述数据结构中的事件日志类别。7.根据权利要求1所述的系统，其中所述一个或多个处理器还用于：获得事件日志搜索请求；基于所述事件日志搜索请求来确定与所述事件日志搜索请求相关联的时间跨度；基于与所述事件日志搜索请求相关联的所述时间跨度，搜索另一数据结构以标识数据结构集，其中所述数据结构集中的每个数据结构存储在特定时间窗口期间被获得的、与所述租户相关联的事件日志，所述特定时间窗口至少部分地与和所述事件日志搜索请求相关联的所述时间跨度共同扩展，基于所述事件日志搜索请求，对所述数据结构集执行一个或多个数据结构查询以标识事件日志搜索信息；以及提供所述事件日志搜索信息。8.根据权利要求7所述的系统，其中所述另一数据结构是二叉搜索树。9.根据权利要求1所述的系统，其中所述一个或多个处理器还用于：获得剩余存储容量请求；基于所述剩余存储容量请求来确定针对所述租户的可用存储的数量；基于针对所述租户的所述可用存储的所述数量来确定可以被存储在针对所述租户的所述可用存储中的事件日志的数目；基于可以被存储在针对所述租户的所述可用存储中的所述事件日志的数目以及与所述租户相关联的所述事件率，确定针对所述租户的以时间量表示的剩余存储容量；以及向所述租户提供以所述时间量表示的所述剩余存储容量。10.一种存储指令集的非暂态计算机可读介质，所述指令集包括：一个或多个指令，所述一个或多个指令在由系统的一个或多个处理器执行时使所述系统：基于与所述系统的租户相关联的一个或多个事件日志来确定与所述租户相关联的事件率；基于所述事件率来确定与所述租户相关联的预测的事件率；基于所述预测的事件率来确定轮换间隔；基于所述轮换...

【专利技术属性】
技术研发人员：J，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：