专利名称:设备日志实时解析的方法、装置和系统的制作方法
技术领域:
本发明涉及计算机网络安全管理技术,特别是一种设备日志实时解析的方 法、装置和系统。
背景技术:
日志是描述计算机系统或设备行为的记录。在计算机安全领域中,日志主要用于用户行为的监控,记录用户对系统的使用情况,防止用户越权使用;网 络异常行为的诊断,通过日志观测评估异常行为等;问题的监测是通过日志系 统来监测系统资源或网络流量的使用情况,来检测问题是否发生。在日志审计 系统中,采集网络设备日志,并通过实时的分析日志信息,使系统管理员能及 时了解网络和业务的运行情况,迅速识别并制止安全威胁。通常,设备发出的日志是有一定格式的字符串,日志审计系统接收到这些 字符串以后,按照格式规则解释这些字符串,从中得到所期望的内容。由于不 同的设备所发出的日志格式都有一定的区别,因此,在日志审计系统中,对多 种不同设备的日志同时作实时解析比较困难,这也就限制了一个日志审计系统 所能够支持设备的类型。现有技术中,对各种设备类型的日志进行实时处理的一种方法是,通过在 数据库中提前存入设备的相应信息和处理日志需要的规则;在启动系统时从数 据库读入这些信息加载到内存中,以支持该类型网络设备。在实现本发明的过 程中,发明人经过研究发现当要支持一个新的网络设备类型时,需要与数据 库交互,将该网络设备类型的相关信息和日志处理规则存入数据库的相应的表 中,重新启动系统,加载相应的信息。现有技术中,对各种设备类型的日志进行实时处理的另一种方法是,通过 编写插件的形式来完成设备日志的实时解析,在实现本发明的过程中,发明人 经过研究发现1、当需要支持一个新的设备时,需要根据该设备本身的日志格 式编译解析代码;2、当需要修改某个设备的日志格式时,需要更改解析代码,系统还需要对更改后的解析代码进行重新编译,比较麻烦。 发明内容一方面,本发明实施例提供了一种设备日志实时解析的方法,能够无需编 译解析代码,无需重新启动系统,实时接收并解析设备日志。为实现上述目的,本发明实施例是通过以下技术方案实现的 一种设备日志实时解析方法,包括步骤 动态加载设备日志解析配置文件; 依据加载的配置文件创建相应的日志解析器; 接收设备发出的日志;依据接收的设备日志,查找相应的日志解析器,如果找到相应的日志解析 器,则对接收的设备日志进行解析,并将解析结果发送到审计中心。本发明实施例提供的设备日志实时解析方法,通过为每一个设备类型创建 相应的日志解析配置文件,将设备日志解析规则以配置文件的方式动态加载到 系统中,并创建相应的日志解析器,由日志解析器对设备的日志进行实时接收 和解析,并将解析结果发送到审计中心;当有新的的设备类型增加到系统中时, 或需更改某个设备类型的日志解析规则时,只需要编写或修改相应的设备曰志 解析配置文件,并放在相应的目录下,系统就能够接收并解析新增设备类型的 曰志,因此,本发明实施例无需重新启动系统,无需编译解析代码,可实现实 时接收并解析设备日志。另一方面,本发明实施例提供了一种设备日志实时解析的装置,能够无需 编译解析代码,无需重新启动系统,实时接收并解析设备日志。为实现上述目的,本发明实施例是通过以下技术方案实现的一种设备日志实时解析装置,包括加载单元,用于动态加载设备日志解析配置文件;创建单元,用于依据加载的配置文件创建相应的日志解析器;接收单元,用于接收设备发出的日志;查找单元,用于根据设备日志,查找相应的曰志解析器;日志解析器,用于将设备日志解析成统一的日志格式;和发送单元,用于发送统一格式的设备日志到审计中心。本发明实施例提供的设备日志实时解析装置,由加载单元动态加载设备曰 志解析配置文件,并依据加载的配置文件由创建单元创建相应的日志解析器, 接收单元接收设备发出的日志,根据设备日志由查找单元查找相应的日志解析 器,如果找到相应的日志解析器,则由该日志解析器将设备日志解析成统一的曰志格式,并由发送单元将统一格式的设备日志发送到审计中心;当有新的的 设备类型增加到系统中时,或需更改某个设备类型的日志解析规则时,只需要 编写或修改相应的设备日志解析配置文件,并放在相应的目录下,系统就能够 接收并解析新增设备类型的日志,因此,本发明实施例无需重新启动系统,无 需编译解析代码,可实现实时接收并解析设备日志。再一方面,本发明实施例提供了一种设备日志实时解析的系统,能够无需 编译解析代码,无需重新启动系统,实时接收并解析设备日志。为实现上述目的,本发明实施例是通过以下技术方案实现的一种设备日志实时解析的系统,包括加载单元,用于动态加载设备日志解析配置文件;创建单元,用于依据加载的配置文件创建相应的日志解析器;设备控制台,用于监控设备更新; 接收单元,用于接收设备发出的日志;查找单元,用于根据接收的设备日志,查找相应的日志解析器; 日志解析器,用于将设备日志解析成统一的日志格式; 发送单元,用于发送统一格式的设备日志到审计中心;和 审计中心,用于分析处理统一格式的设备曰志。本发明实施例提供的设备日志实时解析的系统,设备管理控制台用于监控 设备更新,管理每个需要被管理的设备,设备发出的日志依据设备的类型和IP 地址与已经创建的设备类型的日志解析器建立映射,如果找到解析器则解析曰 志,并将解析后的日志发送到审计中心;当有新的设备类型增加到系统中时, 或需更改某个设备类型的日志解析规则时,由设备控制台增加相应设备的配置 界面,通过编写或修改相应的设备日志解析配置文件,并放在相应的目录下,系统可实时检测配置文件的相应目录,由加载单元动态完成加载,由日志解析 器依据相应的日志解析配置文件进行解析,因此,本发明实施例无需重新启动 系统,无需编译解析代码,可实现实时接收并解析设备曰志。
图1为本发明实施例一提供的设备日志实时解析的方法的流程图; 图2为本发明实施例二提供的设备日志实时解析的方法的流程图; 图3为本发明实施例三提供的设备日志实时解析的装置的结构图; 图4为本发明实施例四提供的设备日志实时解析的装置的结构图; 图5为本发明实施例五提供的设备日志实时解析的系统的示意图; 图6为本发明实施例五提供的设备日志实时解析的系统的一个具体示例图。
具体实施方式
本发明实施例提供了一种设备日志实时解析的方法、装置和系统,能够无 需编译解析代码,无需重新启动系统,实时接收并解析设备日志。本发明采取的技术方案是为每个设备类型创建相应的设备日志解析配置 文件,通过将设备的日志解析规则以配置文件的方式加载到系统中,创建相应 的日志解析器,实现动态的接收并解析设备日志。所述配置文件就是在系统启 动时定义系统加载所需环境的设置和文件的集合。为使本发明的技术方案更加清楚,下面列举实施例进行说明参见图1,为本发明实施例一提供的设备日志实时解析方法流程图,包括如 下步骤101,动态加载设备日志解析配置文件;本发明实施例依据不同的设备类型 编写相应的解析规则,将设备日志的解析规则写入设备日志解析配置文件,系 统动态加载这些配置文件。102,依据配置文件创建相应的日志解析器;日志解析器将不同类型的设备 曰志解析成统一的日志格式。103,接收设备发出的日志;104,根据接收的设备日志,查找相应的日志解析器;105,判断是否查找到相应的日志解析器;106,如果找到相应的日志解析器,则将设备日志解析成统一格式的曰志; 如果没有找到相应的日志解析器,则放弃该日志; 107,发送统一格式的设备日志到审计中心。器映射,当接收到设备发出的日志时,根据相应的IP地址查找相应的设备类型 解析器,如果找到解析器则解析设备日志,则将设备日志解析成统一格式的曰 志,并发送统一格式的设备日志到审计中心。因此,对应不同设备类型日志的解析规则,以配置文件的方式加载到系统 中,通过动态加载相应的配置文件,创建相应的日志解析器,由日志解析器将 接收到的不同设备日志解析成统一格式的日志,发送到审计中心,实现无需重 新启动系统,无需编译解析代码,实时接收并解析设备日志。参见图2,为本发明实施例二提供的设备日志实时解析的方法流程图,包括 如下步骤201,如果增加支持的设备类型,增加相应的设备日志解析配置文件;如果 变更已有设备日志的解析规则,修改相应的设备日志解析配置文件; 202,动态加载设备日志解析配置文件;203,依据配置文件创建相应的日志解析器;日志解析器将不同类型的设备 日志解析成统一格式的日志。 204,接收设备发出的日志;205,根据接收的设备日志,查找相应的日志解析器; 206,判断是否查找到相应的日志解析器;207,如果找到相应的日志解析器,则将设备日志解析成统一格式的曰志; 如果没有找到相应的日志解析器,则放弃该日志; 208,发送统一格式的设备日志到审计中心。在本发明实施例中,当需要增加支持的设备类型时,不需要重新编写系统, 只需要为这个设备类型编写相应的配置文件放到系统的相应的目录下,无需编译解析代码,无需重新启动系统,系统可以动态检测到该配置文件;当需要变更已有设备日志的解析规则,只需要修改相应的设备日志解析配置文件;系统 会自动重新加载相应的配置文件,由日志解析器依据相应的日志解析配置文件 进行解析,因此,本发明实施例无需重新启动系统,无需编译解析代码,可实 现实时接收并解析设备日志。以上实施例对本发明提供的设备日志实时解析的方法进行了描述,下面对 本发明实施例提供的装置进行描述。参见图3,为本发明实例三提供的装置示意图,包括加载单元301,用于动态加载设备日志解析配置文件;创建单元302,用于依据加载的配置文件创建相应的日志解析器305;接收单元303,用于接收设备发出的日志;查找单元304,用于依据接收的设备日志,查找相应的日志解析器305; 曰志解析器305 ,用于将设备日志解析成统一格式的日志;和 发送单元306,用于发送统一格式的设备日志到审计中心。 在本发明实施例中,由加载单元301加载相应的设备日志解析配置文件, 并依据加载的配置文件由创建单元302创建相应的日志解析器305,接收单元 303接收设备发出的日志,根据设备日志的IP地址由查找单元304查找相应的 曰志解析器305,如果找到相应的日志解析器305,则由该日志解析器将设备曰 志解析成统一格式的日志,并由发送单元306将解析结果发送到审计中心,因 此,本发明实施例可以将不同设备类型的日志解析成统一格式的日志,无需编 译解析代码,无需重新启动系统,实现不同设备类型日志的实时接收并解析。 参见图4,为本发明实例四提供的装置示意图,包括 配置单元401,用于为不同设备类型编写设备日志解析配置文件并放置到相 应的目录下;监控单元402,用于实时监控配置单元401,在增加或修改设备日志解析配 置文件时,通知加载单元301;加载单元301,用于动态加载设备日志解析配置文件;创建单元302,用于依据加载的配置文件创建相应的日志解析器305;接收单元303,用于接收设备发出的日志;查找单元304,用于依据接收的设备日志,查找相应的日志解析器305; 曰志解析器305,用于将设备日志解析成统一^^式的日志;和 发送单元306,用于发送统一格式的设备日志到审计中心。 在本发明实施例中,当需要支持新的设备类型或修改已有设备类型的解析 规则时,只需由配置单元401为这个设备类型编写相应的配置文件放到系统的 相应的目录下,由监控单元402实时监控设备日志解析配置文件,由加载单元 301动态加载相应的配置文件,再由日志解析器305依据相应的日志解析配置文 件对新的设备日志进行解析,因此,本发明实施例无需重新启动系统,无需编 译解析代码,可实现实时接收并解析设备日志。参见图5,为本发明实施例五提供的系统示意图,包括 设备控制台501,用于监控设备更新,例如通过B/S架构中的界面增加相应 的防火墙、路由器等网络设备。不同的设备类型依照自身的日志格式向日志采 集模块500发送原始设备日志,所述设备日志包括设备的类型、IP地址,设备 发出的日志依据设备的类型和IP地址与已经创建的设备类型的日志解析器建立 映射;日志采集模块500,用于接收设备发出的日志、实时监控设备日志解析配置 文件、动态加载设备配置文件和依据配置文件生成相应的日志解析器,由曰志 解析器将收到的设备的原始日志解析成统一格式的日志,并发送给审计中心, 所述日志采集模块500包括配置单元401,用于为不同设备类型编写设备日志解析配置文件并放置到相 应的目录下;监控单元402,用于实时监控配置单元401,在增加或修改设备日志解析配 置文件时,通知加载单元301;加载单元301,用于动态加载设备日志解析配置文件;创建单元302,用于依据加载的配置文件创建相应的日志解析器;接收单元303,用于接收设备发出的日志;查找单元304,用于依据接收的设备日志,查找相应的日志解析器305;日志解析器305,用于将设备日志解析成统一格式的日志;和 发送单元306,用于发送统一格式的设备日志到审计中心502。 审计中心502,用于分析处理统一格式的设备曰志。所述设备控制台501、所述日志采集模块500及所述审计中心502分别运行 在不同的计算机上。在本发明实施例中,不同设备类型的日志,通过日志采集模块500加栽相 应的配置文件,依据相应的日志解析配置文件创建的日志解析器305进行解析; 当需要支持新的设备类型或修改已有设备类型的解析规则时,只需由配置单元 401为这个设备类型编写相应的配置文件放到系统的相应的目录下,由监控单元 402实时监控设备日志解析配置文件,由加载单元301动态加载相应的配置文件, 再由日志解析器305对设备日志进行解析,将得到统一格式的日志文件发送到 审计中心502。因此,本发明实施例无需重新启动系统,无需编译解析代码,可 实现实时接收并解析设备日志。参见图6,,为本发明实例五提供的一个具体示例图网络设备端存在防火墙和路由器两种设备类型,由设备控制台501通过B/S 架构中的界面进行相应的设备管理,防火墙设备类型对应日志解析规则1,路由 器设备类型对应日志解析规则2,由配置单元401将日志解析规则分别写入设备 日志解析配置文件1和配置文件2中,监控单元402实时监控设备配置文件, 由加载单元301动态加载配置文件1和配置文件2,并依据配置文件由创建单元 302创建相应的日志解析器1 (对应防火墙设备)和日志解析器2 (对应路由器 设备);当接收单元303接收到防火墙发出的日志时,根据防火墙设备的IP地 址由查找单元304查找到日志解析器1,由日志解析器1将防火墙设备日志解析 成统一格式的日志,并由发送单元306将该统一格式的设备日志发送到审计中 心502;同样,当接收单元303接收到路由器发出的日志时,根据路由器设备的 IP地址由查找单元304查找到日志解析器2,由日志解析器2将路由器设备曰 志解析成统一格式的日志,并由发送单元306将该统一格式的设备日志发送到 审计中心502,完成对多种不同设备类型日志的实时解析。当系统需要支持交换机设备类型时,由设备控制台501通过B/S架构中的界面增加交换机设备,根据交换机的设备类型的日志解析规则3,由配置单元 401将交换机的日志解析规则3写入配置文件3中,并放置到相应的目录下;无 需重新启动系统,监控单元402实时监控到新增配置文件3,由加载单元301动 态加载配置文件3,并由创建单元302依据配置文件3创建相应的日志解析器3 (对应交换机设备);当接收单元303接收到交换机发出的日志时,根据交换机 设备的IP地址由查找单元304查找到日志解析器3,并由日志解析器3将设备 曰志解析成统一格式的日志,然后由发送单元306将该统一格式的日志文件发 送到审计中心502,因此,实现了对新增设备类型日志的实时解析,而无需重新 启动系统,无需编译解析代码。当然,本发明的实施例还可有多种,在不背离本发明的实施例精神及其实变形,但这些相应的改变和变形都应属于本发明的实施例所附的权利要求的保 护范围。
权利要求
1、一种设备日志实时解析的方法,其特征在于,包括以下步骤动态加载设备日志解析配置文件;依据加载的配置文件创建相应的日志解析器;接收设备发出的日志;依据接收的设备日志,查找相应的日志解析器,如果找到相应的日志解析器,则对接收的设备日志进行解析,并将解析结果发送到审计中心。
2、 根据权利要求1所述的设备日志实时解析的方法,其特征在于,在动态 加载设备日志解析配置文件步骤中还包括实时监控设备日志解析配置文件,在增加或修改设备日志解析配置文件时, 动态加载设备日志解析配置文件。
3、 根据权利要求2所述的设备日志实时解析的方法,其特征在于,还包括 步骤如果增加支持的设备类型,增加相应的设备日志解析配置文件。
4、 根据权利要求2所述的设备日志实时解析的方法,其特征在于,还包括 步骤如果变更已有设备类型的日志解析规则,修改相应的设备日志解析配置文件。
5、 一种设备日志实时解析的装置,其特征在于,包括 加载单元,用于动态加载设备日志解析配置文件; 创建单元,用于依据加载的配置文件创建相应的日志解析器; 接收单元,用于接收设备发出的日志;查找单元,用于依据接收的设备日志,查找相应的日志解析器; 曰志解析器,用于将设备日志解析成统一的日志格式;和 发送单元,用于发送统一格式的设备日志到审计中心。
6、 根据一又利要求5所述的设备日志实时解析的装置,其特征在于,所述装 置进一步包括监控单元,用于实时监控设备日志解析配置文件,在增加或修改设备曰志 解析配置文件时,通知加载单元。__
7、 根据权利要求6所述的设备日志实时解析的装置,其特征在于,所述装置进一步包括配置单元,用于为不同设备类型编写设备日志解析配置文件并放置到相应 的目录下。
8、 一种设备日志实时解析的系统,其特征在于,包括 加载单元,用于动态加载设备日志解析配置文件; 创建单元,用于依据加载的配置文件创建相应的日志解析器; 设备控制台,用于监控设备更新;接收单元,用于接收设备发出的日志;查找单元,用于根据接收的设备日志,查找相应的日志解析器; 日志解析器,用于将设备日志解析成统一的日志格式; 发送单元,用于发送统一格式的设备日志到审计中心;和 审计中心,用于分析处理统一格式的设备日志。
9、 根据权利要求8所述的设备日志实时解析的系统,其特征在于,所述系 统进一步包括监控单元,用于实时监控设备日志解析配置文件,在增加或者修改设备曰 志解析配置文件时,通知加载单元。
10、 根据权利要求9所述的设备日志实时解析系统,其特征在于,所述系 统进一步包括配置单元,用于为不同设备类型编写设备日志解析配置文件并放置到相应 的目录下。
全文摘要
本发明实施例公开了一种设备日志实时解析方法、装置和系统,涉及计算机网络安全管理技术,为能够实时接收并解析设备日志却无需编译解析代码,无需重新启动系统而发明。所述方法包括动态加载设备日志解析配置文件并创建相应的日志解析器;接收设备发出的日志;查找相应的日志解析器,如果找到相应的日志解析器,则对接收的设备日志进行解析,并将解析结果发送到审计中心。所述装置包括加载单元、创建单元、接收单元、查找单元、日志解析器和发送单元。所述系统包括设备控制台、日志采集模块和审计中心。当有新的设备类型增加到系统中时,本发明实施例无需重新启动系统、无需编译解析代码,就能够实时接收并解析新增设备类型的日志。
文档编号H04L12/26GK101237326SQ20081000760
公开日2008年8月6日 申请日期2008年2月29日 优先权日2008年2月29日
发明者王海靖 申请人:华为技术有限公司