【技术实现步骤摘要】
基于RFC5424协议的审计日志处理方法及系统
[0001]本专利技术涉及大数据处理
,具体地说是一种基于RFC5424协议的审计日志处理方法及系统。
技术介绍
[0002]审计是指为了查明有关经济活动和经济现象的认定与所制定标准之间的一致程度,而客观地收集和评估证据,并将结果传递给有利害关系的使用者的系统过程。
[0003]日志审计即对每天所记录的信息进行审计和检查,对于一个日志审计系统,从功能组成上至少应该包括信息采集、信息分析、信息存储、信息展示四个基本功能。日志审计就是通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理之后,以统一格式的日志形式及进行集中的存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
[0004]传统的日志保存方式一般为固定时间内生成日志文件保存到日志服务器中,日志内容存储的实时性无法达到满足以及服务器异常情况下容易丢失日志文件等弊端。
[0005]故如何满足日志实时性需求的同时,保证日志文件的存储安全性是目前亟待解决的技术问题。
技术实现思路
[0006]本专利技术的技术任务是提供一种基于RFC5424协议的审计日志处理方法及系统,来解决如何满足日志实时性需求的同时,保证日志文件的存储安全性的问题。
[0007]本专利技术的技术任务是按以下方式实现的,一种基于RFC5424协议的审计日志处理方法,该方法是使用helm对Kube
【技术保护点】
【技术特征摘要】
1.一种基于RFC5424协议的审计日志处理方法,其特征在于,该方法是使用helm对Kubernetes应用进行统一打包、分发、安装、升级以及回退,syslog服务、日志服务及数据库部署在Kubernetes的pod中;具体如下:后端将用户的操作信息发送到日志服务,日志服务获取用户的具体操作信息;日志服务按需求组装标准格式的审计日志内容;数据组装完成后,使用syslog4j将审计日志发送到日志存储服务器;日志存储服务器收到审计日志消息并并保存日志。2.根据权利要求1所述的基于RFC5424协议的审计日志处理方法,其特征在于,syslog4j审计日志消息的完整格式包括三个可识别部分,分别为:第一部分是HEADER;第二部分是STRUCTURED
‑
DATA;第三部分是MSG;其中,HEADER部分包括PRI、版本号、时间戳及设备的IP地址的字段;除了PRI和版本号之间无空格外,其他各个字段间都有且只有一个空格;结构化元数据可填写
“‑”
;MSG部分包括日志消息的详细信息,内容采用JSON格式表达,MSG消息体包含的内容为用户此次操作的详细信息。3.根据权利要求1或2所述的基于RFC5424协议的审计日志处理方法,其特征在于,使用syslog4j将审计日志发送到日志存储服务器的过程中,发送要使用RFC5424协议;其中,Facility和Level取固定的选择值;Facility可选值包括0
‑
23,0
‑
23依次对应的说明为kernel messages、user
‑
levelmessages、mail system、system daemons、security/authorization messages、messages generated internally by syslogd、line printer subsystem、network news subsystem、UUCP subsystem、clock daemon、security/authorization messages、FTP daemon、NTP subsystem log audit、log alert、clock daemon、local use 0、local use 1、local use 2、local use 3、local use 4、local use 5、local use 6、local use 7;Level可选值包括0
‑
7,0
‑
7依次对应的级别为Emergency、Alert、Critical、Error、Warning、Notice、Informational、Debug。4.根据权利要求1所述的基于RFC5424协议的审计日志处理方法,其特征在于,使用syslog4j将审计日志发送到日志存储服务器具体如下:使用RFC_5424协议将组装好的MSG消息体通过syslog4j客户端使用TCP协议发送到指定的日志存储服务器中;使用TCP协议的方法为:...
【专利技术属性】
技术研发人员:周道,李强,
申请(专利权)人:浪潮通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。