一种系统消息处理方法及收集器的制造方法
【技术领域】
[0001] 本发明涉及计算机技术领域,具体涉及一种系统消息处理方法及收集器。
【背景技术】
[0002] 在计算机技术高速发展的今天,各行各业的企事业单位普遍部署有局域网,组成 局域网的硬件设备包括交换机,路由器,防火墙,服务器等,对这些设备的管理是局域网的 集中监控和管理中必不可少的组成部分。
[0003] 局域网中的每个设备均会产生并发送系统消息,系统消息负责记录一个设备中的 任何事件,包括运行程序和系统软件的执行情况以及硬件的运行情况,通过适当配置,便可 以实现发送系统消息的各种设备之间的通信和集中管理,并通过分析这些系统消息,追踪 和掌握局域网中设备的运转情况以及局域网整体网络有关的情况。
[0004] 但由于组成局域网的设备种类繁多,型号多变,又由于生产厂家的不同,各自遵循 不同生产厂家的企业标准,即使一个相同事件的系统消息经由不同厂家生产的同类型设备 发出,也是完全不同的,一个局域网内部的系统消息从编码方法,事件的语句表达,事件级 别定义等各方面千差万别,如何从根本上统一系统消息的格式,管理局域网中的系统消息, 实现对局域网内所有设备的集中监控管理,是计算机领域亟待解决的问题。
【发明内容】
[0005] 本发明所要解决的技术问题是针对现有技术中所存在的上述缺陷,提供一种系统 消息处理方法及收集器,用以解决现有技术中存在的局域网内部所有系统消息的集中监控 和管理问题。
[0006] 为实现上述目的,本发明提供一种系统消息处理方法,应用于包括传感器和收集 器的系统消息处理系统中,所述一个收集器与至少一个所述传感器连接,包括:
[0007] 收集器接收传感器发送的系统消息,
[0008] 收集器将所述系统消息和与预存的与所述传感器一一对应的规则文件进行匹配, 所述规则文件包括至少一个规则条目,所述规则条目为系统消息与相应的处理规则之间的 对应关系,
[0009] 收集器将匹配的系统消息进行归一化处理,生成与所述系统消息一一对应的归一 化消息,所述归一化消息为具有统一的归一化属性的文件,
[0010]收集器输出所述归一化消息。
[0011]具体的,所述归一化属性,具体包括收集器在匹配成功的系统消息中直接提取的 提取属性,和收集器根据所述匹配成功的系统消息进行回填的回填属性,所述系统消息为 传感器根据不同的系统事件生成的自定义的事件记录消息,所述提取属性包括:帐号,源 IP,源端口,目的IP,目的端口,协议类型,事件发生时间,事件结束时间,事件发生次数,事 件摘要,访问的网站,访问的DNS,整形保留属性,字符串类型保留属性,
[0012]所述回填属性包括:归一化事件级别,客户ID,自定义事件ID,自定义事件类型,传 感器ID,传感器IP,传感器掩码,传感器类型,收集器ID,收集器IP,系统消息接收时间,原始 日志。
[0013] 具体的,所述归一化事件级别,具体包括根据匹配成功的系统消息中自定义的事 件类型和预设的归一化事件级别对应关系,确定归一化事件级别,所述预设的归一化事件 级别对应关系,为匹配成功的系统消息中的自定义的事件类型和归一化事件级别之间一一 对应的关系。
[0014] 优选的,在收集器接收传感器发送的系统消息之后,收集器将接收到的系统消息 与所述传感器一一对应的规则文件进行匹配之前,所述方法还包括收集器将具有不同的字 符编码方式的系统消息转换为具有统一的字符编码方式的系统消息。
[0015] 优选的,当收集器接收到的系统消息与预存的与所述传感器--对应的规则文件 不匹配时,收集器将接收到的系统消息与预存的其他传感器对应的规则文件进行匹配。
[0016] 优选的,在收集器将匹配成功的系统消息生成与所述系统消息一一对应的归一化 消息之后,所述方法还包括收集器在预设时间范围内将具有至少一个归一化属性内容相同 的多个归一化消息合并,生成合并消息,所述合并消息为与归一化消息具有统一的归一化 属性的事件记录,所述收集器输出所述归一化消息,具体包括收集器输出所述归一化消息 和合并消息。
[0017] 具体的,所述收集器将具有至少一个归一化属性的内容相同的多个归一化消息合 并生成合并消息,具体包括所述至少一个归一化属性包括自定义事件ID,传感器类型,传感 器IP,源IP和目的IP,所述合并生成合并消息包括将进行合并的第一个归一化消息中的事 件发生时间确定为合并消息中的事件发生时间,将进行合并的最后一个归一化消息中的事 件结束时间确定为合并消息中的事件结束时间,将合并的所有归一化消息中的事件发生次 数相加得到的和确定为合并消息中的事件发生次数。
[0018] 本发明提供的系统消息处理方法,能够将局域网中不同设备所发送的系统消息按 照预设设置好的处理规则进行匹配,如匹配成功则进行进一步的归一化处理,收集器通过 按照统一的归一化消息的属性在原系统中提取相应的属性,以及按照归一化属性的定义进 行回填,生成与系统消息一一对应的归一化消息,通过收集器输出的所述归一化消息,局域 网便可以管理所有的系统消息。本发明提供的方法还包括字符转换和合并,所述字符转换 的步骤使得不同字符编码格式的系统消息在进行规则匹配之前进行统一,便于后续的规则 匹配和归一化处理,所述合并是将一定时间范围内的相同事件产生的消息合并上报,节省 网络资源的同时,更便于发现问题。
[0019] 本发明还提供一种收集器,包括:
[0020] 接收模块,用于接收传感器发送的系统消息,
[0021] 匹配模块,用于将所述系统消息和与预存的与所述传感器一一对应的规则文件进 行匹配,所述规则文件包括至少一个规则条目,所述规则条目为系统消息与相应的处理规 则之间的对应关系,
[0022]归一化模块,用于将匹配的系统消息进行归一化处理,生成与所述系统消息一一 对应的归一化消息,所述归一化消息为具有统一的归一化属性的文件,
[0023] 输出模块,用于输出所述归一化消息。
[0024] 具体的,所述匹配模块具体用于在匹配成功的系统消息中直接提取的提取属性, 和收集器根据所述匹配成功的系统消息进行回填的回填属性,所述系统消息为传感器根据 不同的系统事件生成的自定义的事件记录消息,所述提取属性包括:帐号,源IP,源端口,目 的IP,目的端口,协议类型,事件发生时间,事件结束时间,事件发生次数,事件摘要,访问的 网站,访问的DNS,整形保留属性,字符串类型保留属性,所述回填属性包括:归一化事件级 另IJ,客户ID,自定义事件ID,自定义事件类型,传感器ID,传感器IP,传感器掩码,传感器类 型,收集器ID,收集器IP,系统消息接收时间,原始日志。
[0025] 具体的,所述匹配模块具体用于根据匹配成功的系统消息中自定义的事件类型和 预设的归一化事件级别对应关系,确定归一化事件级别,所述预设的归一化事件级别对应 关系,为匹配成功的系统消息中的自定义的事件类型和归一化事件级别之间一一对应的关 系。
[0026] 优选的,还包括编码统一模块,用于将具有不同的字符编码方式的系统消息转换 为具有统一的字符编码方式的系统消息。
[0027] 优选的,所述匹配模块具体用于当收集器接收到的系统消息与预存的与所述传感 器一一对应的规则文件不匹配时,收集器将接收到的系统消息与预存的其他传感器对应的 规则文件进行匹配。
[0028]优选的,还包括合并模块,用于在预设时间范围内将具有至少一个归一化属性内 容相同的多个归一化消息合并,生成合并消息,所述合并消息为与归一化消息具有统一的 归一化属性的事件记录,所述输出模块,具体用于输出所述归一化消息和合并消息。
[0029] 具体的,所述合并模块具体用于所述至少一个归一化属性包括自定义事件ID,传 感器类型,传感器IP,