【技术实现步骤摘要】
一种多类型设备日志审计方法及系统
[0001]本专利技术涉及日志审计
,尤其是涉及一种多类型设备日志审计方法及系统。
技术介绍
[0002]随着现代技术的发展,许多组织和企业已经拥有了大量的设备和系统,这些设备和系统可能运行着不同的操作系统、应用程序、服务和协议。由于设备和系统的复杂性,故障和安全事件的发生是不可避免的。为了保证设备和系统的安全性和稳定性,日志审计成为了必不可少的一部分。
[0003]现有技术中,常见的方法是使用日志收集器,该收集器可以从不同设备和系统中收集日志并将其发送到统一的位置进行处理,实现了对不同设备的日志进行统一的处理,但是仅限于对于日志异常的发现,对于多种日志异常展现出来的系统问题无法进行判断,所以,为了提升整体系统运行的安全性,亟需一种能够对日志进行更加深入审计的方法。
技术实现思路
[0004]本专利技术的目的是提供一种多类型设备日志审计方法,实现对系统当下问题的确定,所述审计方法包括:构建多设备日志监控名录表,并基于所述多设备日志监控名录表对相应的设备进行日志监控;对日志监控的内容进行扫描分析,并基于预设的重要日志特征判断规则,确定出重要日志信息,并基于所述重要日志信息的内容,对所述重要日志信息关联第一标签组,所述第一标签组包括若干第一标签;针对日志信息的不同类型,建立日志信息池,并基于对所述重要日志信息的类型分析,确定所述重要日志信息所属日志信息池,并将所述重要日志信息予以归类;对每一种系统危害情况进行统计分析,确定每一系统危害情况的多设备日志异常特征 ...
【技术保护点】
【技术特征摘要】
1.一种多类型设备日志审计方法,其特征在于,包括:步骤1,构建多设备日志监控名录表,并基于所述多设备日志监控名录表对相应的设备进行日志监控;步骤2,对日志监控的内容进行扫描分析,并基于预设的重要日志特征判断规则,确定出重要日志信息,并基于所述重要日志信息的内容,对所述重要日志信息关联第一标签组,所述第一标签组包括若干第一标签;步骤3,针对日志信息的不同类型,建立日志信息池,并基于对所述重要日志信息的类型分析,确定所述重要日志信息所属日志信息池,并将所述重要日志信息予以归类;步骤4,对每一种系统危害情况进行统计分析,确定每一系统危害情况的多设备日志异常特征;步骤5,基于系统运行时确定的所述多设备日志异常特征,确定需要扫描分析的若干个日志信息池,并基于所述日志信息池内的重要日志信息所关联的第一标签与所述多设备日志异常特征的相符情况,确定当下系统危害情况。2.根据权利要求1所述的一种多类型设备日志审计方法,其特征在于,构建多设备日志监控名录表,并基于所述多设备日志监控名录表对相应的设备进行日志监控,包括:建立系统应用设备名单,并针对系统运行需求,确定应用设备需要执行的功能;基于应用设备需要执行的功能,确定要监控的日志,并基于所述日志与应用设备的对应情况,生成设备日志监控名录表。3.根据权利要求1所述的一种多类型设备日志审计方法,其特征在于,对日志监控的内容进行扫描分析,并基于预设的重要日志特征判断规则,确定出重要日志信息,并基于所述重要日志信息的内容,对所述重要日志信息关联第一标签组,所述第一标签组包括若干第一标签,包括:对日志进行逐步扫描,将符合所述重要日志特征判断规则的日志进行截取,生成重要日志信息;对所述重要日志信息内容中的动态指标进行提取,并生成指标类第一标签;对所述重要日志信息内容中的发生时间进行提取,并生成时间类第一标签;对所述重要日志信息内容中的设备标记进行提取,并生成设备类第一标签;对所述重要日志信息内容中的功能模块标记进行提取,并生成功能类第一标签;将所述指标类第一标签、时间类第一标签、设备类第一标签和功能类第一标签进行组合,生成第一标签组;将所述第一标签组和所述重要日志信息建立关联性关系;其中,对所述重要日志信息内容中动态指标、发生时间、设备标记和功能模块标记进行提取的方法包括:针对每一种日志中的动态指标、发生时间、设备标记和功能模块标记的特征识别码建立日志内容识别表;基于日志内容识别表对所述重要日志信息进行扫描分析,提取动态指标、发生时间、设备标记和功能模块标记的信息。4.根据权利要求1所述的一种多类型设备日志审计方法,其特征在于,对每一种系统危害情况进行统计分析,确定每一系统危害情况的多设备日志异常特征,包括:
基于系统运行过程中存在的系统危害情况进行统计,并建立系统危害情况集,并针对每一系统危害情况的日志表现建立异常日志子集;根据过往同时发生的多设备的异常日志所对应的系统危害情况的记录,将多设备的异常日志补入对应的异常日志子集;对所有异常日志子集内的多设备的异常日志进行扫描分析,确定出同时发生的异常日志的发生设备、发生模块、发生节点以及异常形式,并将所述异常日志的发生设备、发生模块、发生节点以及异常形式进行组合,确定为多设备日志异常特征;建立所述系统危害情况与多设备日志异常特征的关联的方法包括:扫描分析所有所述异常日志子集;若存在不同的异常日志子集内的多设备日志异常特征相同,则对存在相同情况的所述多设备日志异常特征进行分析,确定存在相同情况的所述多设备日志异常特征分别与对应的所述系统危害情况之间的引发概率,并将存在相同情况的所述多设备日志异常特征与引发概率最高的所述系统危害情况建立关联;对于只存在于一个异常日志子集中的多设备日志异常特征,则直接根据所述异常日志子集与对应的所述系统危害情况的联系,建立所述多设备日志异常特征与所述系统危害情况的关联;其中,确定存在相同情况的多设备日志异常特征分别与对应的所述系统危害情况之间的引发概率的方法包括:根据过往多设备日志异常特征所对应的系统危害情况的记录,获取所述多设备日志异常特征所对应的不同系统危害情况的次数,并在系统表现为同一多设备日志异常特征的情况下,将某一系统危害情况发生次数与总共发生的系统危害情况次数的比值确定为所述多设备日志异常特征的引发概率。5.根据权利要求4所述的一种多类型设备日志审计方法,其特征在于,基于系统运行时确定的所述多设备日志异常特征,确定需要扫描分析的若干个日志信息池,包括:对系统运行时...
【专利技术属性】
技术研发人员:韩硕,戚红建,王宇飞,李伟,邓旭楠,潘中英,秦绪帅,徐蕾,于子明,孙继耀,
申请(专利权)人:中国华能集团有限公司北京招标分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。