源IP和目的IP,
[0030] 所述合并生成合并消息包括:将进行合并的第一个归一化消息中的事件发生时间 确定为合并消息中的事件发生时间,将进行合并的最后一个归一化消息中的事件结束时间 确定为合并消息中的事件结束时间,将合并的所有归一化消息中的事件发生次数相加得到 的和确定为合并消息中的事件发生次数。
[0031] 本发明所提供的收集器,能够接收局域网中不同设备发送的系统消息,将系统消 息按照预设的处理规则进行匹配,匹配成功的需要进一步处理的系统消息,收集器按照统 一的归一化消息的属性要求,提取系统消息中的相应属性,并回填部分属性,生成与所述系 统消息一一对应的归一化消息,输出所述归一化消息后,局域网便可以通过管理这些具有 统一属性的归一化消息,实现对系统消息的统一管理。本发明所提供的收集器还具有字符 转换和合并发送的功能模块,所述字符转换功能将采用不同字符编码方式的系统消息在进 行规则匹配前统一转换为相同的字符编码方式,便于进一步的后续处理,所述的合并功能, 能够将相同事件触发的系统消息进行合并后发送,节省了网络资源的同时,也方便了后续 的监控管理工作。
【附图说明】
[0032]为了更清楚的说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图做简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领 域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
[0033]图1为本发明提供的系统消息处理方法第一实施例的流程示意图;
[0034] 图2为本发明提供的系统消息处理方法第二实施例的流程示意图;
[0035] 图3为本发明提供的应用于第二实施例的收集器的结构示意图。
【具体实施方式】
[0036] 为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和实施例对本 发明作进一步详细描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施 例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的 所有其他实施例,都属于本发明保护的范围。
[0037]在局域网中,需要进行管理的设备,包括交换机,路由器,防火墙,服务器等设备, 均能够发送系统消息,为更好的说明本发明的方法,将发送系统消息的设备统称为传感器, 而本发明提供的系统消息处理方法,应用于对这些系统消息进行管理的设备,统称为收集 器,一个局域网中包括多个传感器,并根据需要,设置一个或多个收集器,一个收集器连接 多个传感器,收集器负责接收传感器发送的系统消息,对系统消息规则匹配和归一化处理 后输出。
[0038]本领域技术人员很容易理解的是,根据局域网的实际配置情况或管理的需求,收 集器输出的归一化消息,可以由收集器负责显示或连接至其他系统进行管理,也可以在收 集器之上再设置一个代理中心,用于综合管理局域网中多个收集器输出的归一化消息,使 系统消息的管理更加集中化,本发明不再对此设置进行详述。
[0039] 图1为本发明提供的系统消息处理方法第一实施例的流程示意图,图1所示的系统 消息处理方法第一实施例的流程包括:
[0040] 步骤S101,收集器接收传感器发送的系统消息。
[0041] 具体的,在一个局域网中,一个收集器连接多个传感器,收集器接收到的系统消息 记录了发送此系统消息的传感器的所有事件信息。
[0042]步骤S102,收集器将所述系统消息和与预存的与所述传感器一一对应的规则文件 进行匹配。
[0043]在传感器发送的系统消息中,有些系统消息记录的事件是集中管理及监控需要 的,有些系统消息记录的事件则是不需要的,收集器首先将需要的系统消息筛选出来,不需 要的系统消息进行丢弃,其中,丢弃系统消息包括按照传感器的IP地址进行筛选后将某传 感器的的系统消息全部丢弃,和按照一定的规则进行匹配后,将不需要进行后续分析整理 的系统消息进行丢弃。
[0044]在收集器中,预存有与收集器相连的各个传感器一一对应的规则文件,每个所述 规则文件包括至少一个规则条目,所述规则条目为系统消息与相应的处理规则之间的对应 关系,即,每个传感器发送出来的系统消息,根据预先设置好的处理规则进行筛选,有用的 系统消息需要进行进一步归一化处理,而一些管理员进行配置类的系统消息在局域网监控 中可能不需要,则此类的系统消息需要进行丢弃处理。
[0045]步骤S103,收集器将匹配的系统消息进行归一化处理,生成与所述系统消息一一 对应的归一化消息。
[0046]具体的,收集器将匹配成功需要进一步处理的系统消息,进行进一步的归一化处 理,按照全网统一的归一化消息的属性要求,生成具有统一的归一化属性的事件记录。
[0047]所述归一化属性包括收集器在匹配成功的系统消息中直接提取的提取属性,和收 集器根据所述匹配成功的系统消息进行回填的回填属性,其中,所述提取属性包括:帐号, 源IP,源端口,目的IP,目的端口,协议类型,事件发生时间,事件结束时间,事件发生次数, 事件摘要,访问的网站,访问的DNS,整形保留属性,字符串类型保留属性,所述回填属性包 括:归一化事件级别,客户ID,自定义事件ID,自定义事件类型,传感器ID,传感器IP,传感器 掩码,传感器类型,收集器ID,收集器IP,系统消息接收时间,原始日志。
[0048]以上属性中,客户ID用于根据需要上报给不同的系统时,用于区分事件归属的信 息属性,自定义事件类型为收集器自定义的归一化消息的事件类型,自定义事件ID为收集 器自定义的事件ID。
[0049] 归一化事件级别为根据匹配成功的系统消息中自定义的事件类型和预设的归一 化事件级别对应关系,确定归一化事件级别,所述预设的归一化事件级别对应关系,为匹配 成功的系统消息中的自定义的事件类型和归一化事件级别之间一一对应的关系。
[0050] 本发明所提供的系统消息的处理方法,在对系统消息进行归一化处理的同时,对 遵循不同企业标准的系统消息,也进行系统消息级别的统一,方便管理,本发明提供的系统 消息级别的统一格式如下:
[0052]举例来说,Sysl〇g,SNMP Trap消息级别与归一化后系统消息级别对应关系如下:
[0054] 对于没有采用统一消息级别的厂家自定义的系统消息,根据具体消息级别情况, 进行级别映射,转换成1~5级,参照上述消息级别进行对应。
[0055] 步骤S104,收集器输出所述归一化消息。
[0056] 具体的,收集器根据相应的规则输出所述归一化消息,如按照时间顺序输出,或根 据归一化消息的事件级别分类输出等,不再详述。
[0057] 本实施例所提供的系统消息处理方法,能够将局域网中不同设备发送的系统消 息,按照预设的规则进行匹配,筛选出需要进一步处理的系统消息进行归一化的处理,生成 具有统一的归一化属性的归一化消息,并对系统消息的级别进行了归一化处理,实现了不 同设备间,不同生产厂商间的系统消息的集中监控和管理。
[0058]图2为本发明提供的系统消息处理方法第二实施例的流程示意图,如图2所示的本 发明提供的系统消息处理方法第二实施例包括如下步骤:
[0059] S201,接收传感器发送的系统消息。
[0060]同第一实施例的步骤S101。
[00611 S202,统一系统消息的字符编码。
[0062] 具体的,由于系统消息来自不同的传感器,其使用的字符编码方式也互不相同,包 括UTF-8,GB2312,GBK等,本发明将系统消息统一为一种字符编码方式以使后续的规则文件 的匹配和规划化的处理的过程更加规范。
[0063] S203,判断和预存的与所述传感器对应的规则文件是否匹配,如是,跳至步骤 S206,如否,接步骤S204。
[0064] 具体的,收集器将收到的系