【技术实现步骤摘要】
告警聚合方法、装置、设备和存储介质
[0001]本申请涉及大数据
,尤其涉及一种告警聚合方法、装置、设备和存储介质。
技术介绍
[0002]安全产品种类非常多,从安全监控到安全防御的过程中产生的日志是海量的,大量安全的日志必定产生大量事件,如果无法定位有效事件,潜在的安全问题可能就无法被发现。
技术实现思路
[0003]基于以上问题,本申请实施例提供了一种告警聚合方法、装置、设备和存储介质。
[0004]本申请实施例提供的技术方案是这样的:
[0005]本申请实施例首先提供了一种告警聚合方法,所述方法包括:
[0006]对获取到的日志进行聚合分析,得到包含至少一个热事件的热事件集合,以及包含至少一个冷事件的冷事件集合;其中,所述热事件为预设时长内被触发过的事件,所述冷事件为超过所述预设时长没有被触发过的事件,每一事件包含记录对应事件的至少一个日志;对所述热事件集合中的事件进行告警。
[0007]本申请实施例还提供了一种告警聚合装置,所述装置包括:
[0008]聚合...
【技术保护点】
【技术特征摘要】
1.一种告警聚合方法,其特征在于,所述方法包括:对获取到的日志进行聚合分析,得到包含至少一个热事件的热事件集合,以及包含至少一个冷事件的冷事件集合;其中,所述热事件为预设时长内被触发过的事件,所述冷事件为超过所述预设时长没有被触发过的事件,每一事件包含记录对应事件的至少一个日志;对所述热事件集合中的事件进行告警。2.根据权利要求1所述的方法,其特征在于,在所述对获取到的日志进行聚合分析之前,所述方法还包括:将获取到的日志拆分为字段标识和字段内容;基于所述字段标识和所述字段内容,设定聚合规则;其中,所述聚合规则用于对所述获取到的日志进行聚合分析。3.根据权利要求2所述的方法,其特征在于,所述对获取到的日志进行聚合分析,得到包含至少一个热事件的热事件集合,以及包含至少一个冷事件的冷事件集合,包括:利用实时分析引擎,从流处理库中获取实时日志;按照所述聚合规则,对所述实时日志进行聚合分析,得到包含至少一个初始热事件的热事件集合和包含至少一个初始冷事件的冷事件集合;在所述至少一个初始冷事件中的目标冷事件被再次触发的情况下,将所述目标冷事件从所述冷事件集合中取出、放入所述热事件集合。4.根据权利要求3所述的方法,其特征在于,所述对获取到的日志进行聚合分析,得到包含至少一个热事件的热事件集合,以及包含至少一个冷事件的冷事件集合,还包括:在所述至少一个初始热事件中的目标热事件在所述预设时长没有被触发的情况下,将所述目标热事件从所述热事件集合中取出、放入所述冷事件集合。5.根据权利要求3所述的方法,其特征在于,所述字段内容包括所述日志的时间字段、存放位置字段、主体字段、行为字段和客户端的IP中至少之一;所述按照所述聚...
【专利技术属性】
技术研发人员:涂磊,
申请(专利权)人:阿维塔科技重庆有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。