一种多类型设备日志审计方法及系统技术方案

本申请公开的一种多类型设备日志审计方法，包括：构建多设备日志监控名录，通过多设备日志监控名录来对相应的设备进行日志监控，对日志监控的内容进行扫描分析，判断出重要日志信息，对重要日志信息关联上若干第一标签，针对日志类型的不同类型，建立日志信息池，并基于对重要日志信息的类型的分析，确定重要日志信息的所属的日志信息池，基于夺舍别日志异常特征，确定要扫描分析的日志信息池，将日志信息池内重要日志信息的第一标签和多设备日志异常特征进行对比分析，判断相符情况，并根据相符情况，确定当下系统危害情况，本申请公开的日志审计方法，相比于常规的审计方法，更加深入，不仅能够对系统当下的问题状态进行确认，而且效率更高。而且效率更高。而且效率更高。

【技术实现步骤摘要】
一种多类型设备日志审计方法及系统


[0001]本专利技术涉及日志审计
，尤其是涉及一种多类型设备日志审计方法及系统。

技术介绍

[0002]随着现代技术的发展，许多组织和企业已经拥有了大量的设备和系统，这些设备和系统可能运行着不同的操作系统、应用程序、服务和协议。由于设备和系统的复杂性，故障和安全事件的发生是不可避免的。为了保证设备和系统的安全性和稳定性，日志审计成为了必不可少的一部分。
[0003]现有技术中，常见的方法是使用日志收集器，该收集器可以从不同设备和系统中收集日志并将其发送到统一的位置进行处理，实现了对不同设备的日志进行统一的处理，但是仅限于对于日志异常的发现，对于多种日志异常展现出来的系统问题无法进行判断，所以，为了提升整体系统运行的安全性，亟需一种能够对日志进行更加深入审计的方法。

技术实现思路

[0004]本专利技术的目的是提供一种多类型设备日志审计方法，实现对系统当下问题的确定，所述审计方法包括：构建多设备日志监控名录表，并基于所述多设备日志监控名录表对相应的设备进行日志监控；对日志监控的内容进行扫描分析，并基于预设的重要日志特征判断规则，确定出重要日志信息，并基于所述重要日志信息的内容，对所述重要日志信息关联第一标签组，所述第一标签组包括若干第一标签；针对日志信息的不同类型，建立日志信息池，并基于对所述重要日志信息的类型分析，确定所述重要日志信息所属日志信息池，并将所述重要日志信息予以归类；对每一种系统危害情况进行统计分析，确定每一系统危害情况的多设备日志异常特征；基于系统运行时确定的所述多设备日志异常特征，确定需要扫描分析的若干个日志信息池，并基于所述日志信息池内的重要日志信息所关联的第一标签与所述多设备日志异常特征的相符情况，确定当下系统危害情况；在本申请的一些实施例中，构建多设备日志监控名录表，并基于所述多设备日志监控名录表对相应的设备进行日志监控，包括：建立系统应用设备名单，并针对系统运行需求，确定应用设备需要执行的功能；基于应用设备需要执行的功能，确定要监控的日志，并基于所述日志与应用设备的对应情况，生成设备日志监控名录表；在本申请的一些实施例中，对日志监控的内容进行扫描分析，并基于预设的重要日志特征判断规则，确定出重要日志信息，并基于所述重要日志信息的内容，对所述重要日
志信息关联第一标签组，所述第一标签组包括若干第一标签，包括：对日志进行逐步扫描，将符合所述重要日志特征判断规则的日志进行截取，生成重要日志信息；对所述重要日志信息内容中的动态指标进行提取，并生成指标类第一标签；对所述重要日志信息内容中的发生时间进行提取，并生成时间类第一标签；对所述重要日志信息内容中的设备标记进行提取，并生成设备类第一标签；对所述重要日志信息内容中的功能模块标记进行提取，并生成功能类第一标签；将所述指标类第一标签、时间类第一标签、设备类第一标签和功能类第一标签进行组合，生成第一标签组；将所述第一标签组和所述重要日志信息建立关联性关系。
[0005]其中，对所述重要日志信息内容中动态指标、发生时间、设备标记和功能模块标记进行提取的方法包括：针对每一种日志中的动态指标、发生时间、设备标记和功能模块标记的特征识别码建立日志内容识别表；基于日志内容识别表对所述重要日志信息进行扫描分析，提取动态指标、发生时间、设备标记和功能模块标记的信息。
[0006]在本申请的一些实施例中，对每一种系统危害情况进行统计分析，确定每一系统危害情况的多设备日志异常特征，包括：基于系统运行过程中存在的系统危害情况进行统计，并建立系统危害情况集，并针对每一系统危害情况的日志表现建立异常日志子集；根据过往同时发生的多设备的异常日志所对应的系统危害情况的记录，将多设备的异常日志补入对应的异常日志子集；对所有异常日志子集内的多设备的异常日志进行扫描分析，确定出同时发生的异常日志的发生设备、发生模块、发生节点以及异常形式，并将所述异常日志的发生设备、发生模块、发生节点以及异常形式进行组合，确定为多设备日志异常特征；建立所述系统危害情况与多设备日志异常特征的关联的方法包括：扫描分析所有所述异常日志子集；若存在不同的异常日志子集内的多设备日志异常特征相同，则对存在相同情况的所述多设备日志异常特征进行分析，确定存在相同情况的所述多设备日志异常特征分别与对应的所述系统危害情况之间的引发概率，并将存在相同情况的所述多设备日志异常特征与引发概率最高的所述系统危害情况建立关联；对于只存在于一个异常日志子集中的多设备日志异常特征，则直接根据所述异常日志子集与对应的所述系统危害情况的联系，建立所述多设备日志异常特征与所述系统危害情况的关联；其中，确定存在相同情况的多设备日志异常特征分别与对应的所述系统危害情况之间的引发概率的方法包括：根据过往多设备日志异常特征所对应的系统危害情况的记录，获取所述多设备日志异常特征所对应的不同系统危害情况的次数，并在系统表现为同一多设备日志异常特征的情况下，将某一系统危害情况发生次数与总共发生的系统危害情况次数的比值确定为所述多设备日志异常特征的引发概率。
[0007]在本申请的一些实施例中，基于系统运行时确定的所述多设备日志异常特征，确定需要扫描分析的若干个日志信息池，包括：对系统运行时确定出的所述多设备日志异常特征进行扫描分析，确定出异常日志类型，并针对所述异常日志类型，确定出与所述异常日志类型的类型相同的所述日志信息池；对所述多设备日志异常特征进行扫描分析的方法包括：基于所述多设备日志监控名录表，确定要进行监控的的日志；针对每一个日志建立异常特征判断规则；基于所述异常特征判断规则，对需要进行监控的日志的内容进行扫描分析，确定出所述多设备日志异常特征；在本申请的一些实施例中，基于所述日志信息池内的重要日志信息所关联的第一标签与所述多设备日志异常特征的相符情况，确定当下系统危害情况，包括：对确定出的所述日志信息池中的所有重要日志信息的第一标签组进行扫描分析，将不同的所述日志信息池中的所述第一标签组内的第一标签与所述多设备日志异常特征进行对比分析；若存在若干个所述第一标签组组合成的日志特征符合一个所述多设备日志异常特征，则将所述多设备日志异常特征在所述系统危害集内进行检索分析，确定出关联的系统危害情况；在本申请的一些实施例中，为了能够对系统的运行情况进行及时报警，对审计方法进行了改进，还包括：基于过往重大系统运行问题的记录，确定过往重大系统运行问题所对应的问题日志记录；基于所述问题日志记录，确定所述问题日志记录中所包含的日志类型；对所有的所述问题日志记录所包含的日志类型进行统计分析，并将出现的日志类型次数进行排序，并根据出现的日志类型的次序，对相应日志类型进行监控权重划分；根据对日志类型的监控权重划分，确定对应类型的日志信息池的关键性因子；基于所述多设备日志异常特征确定需要扫描分析的若干个日志信息池以及所述日志信息池所对应的关键性因子，确定所述多设备日志异常特征的危害程度值；根据所述多设备日志异常特征的危害程度值，进行分级报警；其中，计算所述多设备日志异常特征的危害值的方法包括：；其中，Y为多设备日志异本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多类型设备日志审计方法，其特征在于，包括：步骤1，构建多设备日志监控名录表，并基于所述多设备日志监控名录表对相应的设备进行日志监控；步骤2，对日志监控的内容进行扫描分析，并基于预设的重要日志特征判断规则，确定出重要日志信息，并基于所述重要日志信息的内容，对所述重要日志信息关联第一标签组，所述第一标签组包括若干第一标签；步骤3，针对日志信息的不同类型，建立日志信息池，并基于对所述重要日志信息的类型分析，确定所述重要日志信息所属日志信息池，并将所述重要日志信息予以归类；步骤4，对每一种系统危害情况进行统计分析，确定每一系统危害情况的多设备日志异常特征；步骤5，基于系统运行时确定的所述多设备日志异常特征，确定需要扫描分析的若干个日志信息池，并基于所述日志信息池内的重要日志信息所关联的第一标签与所述多设备日志异常特征的相符情况，确定当下系统危害情况。2.根据权利要求1所述的一种多类型设备日志审计方法，其特征在于，构建多设备日志监控名录表，并基于所述多设备日志监控名录表对相应的设备进行日志监控，包括：建立系统应用设备名单，并针对系统运行需求，确定应用设备需要执行的功能；基于应用设备需要执行的功能，确定要监控的日志，并基于所述日志与应用设备的对应情况，生成设备日志监控名录表。3.根据权利要求1所述的一种多类型设备日志审计方法，其特征在于，对日志监控的内容进行扫描分析，并基于预设的重要日志特征判断规则，确定出重要日志信息，并基于所述重要日志信息的内容，对所述重要日志信息关联第一标签组，所述第一标签组包括若干第一标签，包括：对日志进行逐步扫描，将符合所述重要日志特征判断规则的日志进行截取，生成重要日志信息；对所述重要日志信息内容中的动态指标进行提取，并生成指标类第一标签；对所述重要日志信息内容中的发生时间进行提取，并生成时间类第一标签；对所述重要日志信息内容中的设备标记进行提取，并生成设备类第一标签；对所述重要日志信息内容中的功能模块标记进行提取，并生成功能类第一标签；将所述指标类第一标签、时间类第一标签、设备类第一标签和功能类第一标签进行组合，生成第一标签组；将所述第一标签组和所述重要日志信息建立关联性关系；其中，对所述重要日志信息内容中动态指标、发生时间、设备标记和功能模块标记进行提取的方法包括：针对每一种日志中的动态指标、发生时间、设备标记和功能模块标记的特征识别码建立日志内容识别表；基于日志内容识别表对所述重要日志信息进行扫描分析，提取动态指标、发生时间、设备标记和功能模块标记的信息。4.根据权利要求1所述的一种多类型设备日志审计方法，其特征在于，对每一种系统危害情况进行统计分析，确定每一系统危害情况的多设备日志异常特征，包括：
基于系统运行过程中存在的系统危害情况进行统计，并建立系统危害情况集，并针对每一系统危害情况的日志表现建立异常日志子集；根据过往同时发生的多设备的异常日志所对应的系统危害情况的记录，将多设备的异常日志补入对应的异常日志子集；对所有异常日志子集内的多设备的异常日志进行扫描分析，确定出同时发生的异常日志的发生设备、发生模块、发生节点以及异常形式，并将所述异常日志的发生设备、发生模块、发生节点以及异常形式进行组合，确定为多设备日志异常特征；建立所述系统危害情况与多设备日志异常特征的关联的方法包括：扫描分析所有所述异常日志子集；若存在不同的异常日志子集内的多设备日志异常特征相同，则对存在相同情况的所述多设备日志异常特征进行分析，确定存在相同情况的所述多设备日志异常特征分别与对应的所述系统危害情况之间的引发概率，并将存在相同情况的所述多设备日志异常特征与引发概率最高的所述系统危害情况建立关联；对于只存在于一个异常日志子集中的多设备日志异常特征，则直接根据所述异常日志子集与对应的所述系统危害情况的联系，建立所述多设备日志异常特征与所述系统危害情况的关联；其中，确定存在相同情况的多设备日志异常特征分别与对应的所述系统危害情况之间的引发概率的方法包括：根据过往多设备日志异常特征所对应的系统危害情况的记录，获取所述多设备日志异常特征所对应的不同系统危害情况的次数，并在系统表现为同一多设备日志异常特征的情况下，将某一系统危害情况发生次数与总共发生的系统危害情况次数的比值确定为所述多设备日志异常特征的引发概率。5.根据权利要求4所述的一种多类型设备日志审计方法，其特征在于，基于系统运行时确定的所述多设备日志异常特征，确定需要扫描分析的若干个日志信息池，包括：对系统运行时...

【专利技术属性】
技术研发人员：韩硕，戚红建，王宇飞，李伟，邓旭楠，潘中英，秦绪帅，徐蕾，于子明，孙继耀，
申请(专利权)人：中国华能集团有限公司北京招标分公司，
类型：发明
国别省市：