一种日志审计系统规则查询条件的可视化编辑方法和系统与流程

1.本发明涉及可视化查询技术领域，尤其涉及一种日志审计系统规则查询条件的可视化编辑方法和系统。


背景技术：

2.目前市面上将相关查询条件和检索条件以可视化形式进行展示和配置的应用场景比较多。大多都是简单的输入框的罗列和粗暴的嵌套，来完成复杂条件和有逻辑查询条件的组装。如果查询条件的关联关系比较多或者过滤筛选条件比较复杂的话，粗暴的嵌套和简单的罗列不能直观显示各个条件之间的关系，对用户非常不友好，特别是如果多个独立的查询条件有关联关系的话，更不能清晰明了，直观易懂的表现出关系条件，可读性非常差，增加了用户的理解成本和使用成本，操作难度较大，而且不利于后期查询条件的维护和拓展。


技术实现要素：

3.本发明针对现有可视化查询存在的不够清晰明了、可读性差、操作难度大等问题，提出一种日志审计系统规则查询条件的可视化编辑方法和系统，通过设计的可视化树状结构呈现，在对日志审计系统中事件对象进行分析时要用到的复杂且有逻辑关联的查询和过滤条件进行直观展示，方便查询过滤条件的配置，方便操作人员的理解和操作。
4.为了实现上述目的，本发明采用以下技术方案：
5.本发明一方面公开一种日志审计系统规则查询条件的可视化编辑方法，包括：
6.对日志审计系统中单条事件的独立分析，包括：通过横向的div块之间串联来表示实际业务中“与”的逻辑需求；通过纵向的div块之间并联表示实际业务中“或”的逻辑需求；通过设置的单条事件不同属性字段的“或”和“与”的查询规则从事件量中查询到符合设置条件的单条事件；
7.对日志审计系统中多条独立事件之间的关联分析，包括：在单条事件独立分析的基础上，配置多个单条事件之间的关联关系，通过所述关联关系进行筛选和过滤，把符合要求的多条事件全部过滤出来。
8.进一步地，通过将所有独立事件条件分支结构与“关联分析”div块连接到同一侧，同时在“关联分析”div块的另一侧显示独立事件之间的关联关系的条件配置结构，以此来表示事件和事件之间的关联关系。
9.进一步地，所述单条事件的独立分析包括：
10.在“事件”div块正后方串联名为“条件1”的div块；
11.为“条件1”div块添加过滤条件，所述过滤条件分为左操作数、操作符、右操作数，所述左操作数是事件对象的属性字段，所述操作符包括大于、大于等于、等于、小于、小于等于、不等于、包含、属于、开始于、是否为空、两者之间；右操作数根据选择的操作符不同，输入数字、字符串或区间值；
12.新增过滤条件，若新增的过滤条件与上一个过滤条件之间是逻辑“与”的关系，则在上一个过滤条件div块正后方串联新的过滤条件，若新增的过滤条件与上一个过滤条件之间是逻辑“或”的关系，则为“事件”div块串联新的“条件”div块，且新的“条件”div块位于上一个过滤条件div块正下方。
13.进一步地，所述多条独立事件之间的关联分析包括：
14.在“关联分析”div块一侧为“事件”div块并联新的“事件”div块，在“关联分析”div块另一侧为事件之间添加“关联条件”div块，对于单个“事件”div块，按照单条事件的独立分析过程中方式添加“条件”div块，进行过滤条件设置。
15.本发明另一方面提出一种日志审计系统规则查询条件的可视化编辑系统，包括：
16.独立分析模块，用于对日志审计系统中单条事件的独立分析，包括：通过横向的div块之间串联来表示实际业务中“与”的逻辑需求；通过纵向的div块之间并联表示实际业务中“或”的逻辑需求；通过设置的单条事件不同属性字段的“或”和“与”的查询规则从事件量中查询到符合设置条件的单条事件；
17.关联分析模块，用于对日志审计系统中多条独立事件之间的关联分析，包括：在单条事件独立分析的基础上，配置多个单条事件之间的关联关系，通过所述关联关系进行筛选和过滤，把符合要求的多条事件全部过滤出来。
18.进一步地，通过将所有独立事件条件分支结构与“关联分析”div块连接到同一侧，同时在“关联分析”div块的另一侧显示独立事件之间的关联关系的条件配置结构，以此来表示事件和事件之间的关联关系。
19.进一步地，所述独立分析模块具体用于：
20.在“事件”div块正后方串联名为“条件1”的div块；
21.为“条件1”div块添加过滤条件，所述过滤条件分为左操作数、操作符、右操作数，所述左操作数是事件对象的属性字段，所述操作符包括大于、大于等于、等于、小于、小于等于、不等于、包含、属于、开始于、是否为空、两者之间；右操作数根据选择的操作符不同，输入数字、字符串或区间值；
22.新增过滤条件，若新增的过滤条件与上一个过滤条件之间是逻辑“与”的关系，则在上一个过滤条件div块正后方串联新的过滤条件，若新增的过滤条件与上一个过滤条件之间是逻辑“或”的关系，则为“事件”div块串联新的“条件”div块，且新的“条件”div块位于上一个过滤条件div块正下方。
23.进一步地，所述关联分析模块具体用于：
24.在“关联分析”div块一侧为“事件”div块并联新的“事件”div块，在“关联分析”div块另一侧为事件之间添加“关联条件”div块，对于单个“事件”div块，按照独立分析模块中方式添加“条件”div块，进行过滤条件设置。
25.与现有技术相比，本发明具有的有益效果：
26.本发明通过直观的符合操作逻辑的展现方式，将日志审计系统中多个事件对象之间的关联关系进行可视化呈现，方便了操作人员的配置和编写，节省了配置查询过滤条件的时间。
附图说明
27.图1为本发明实施例一种日志审计系统规则查询条件的可视化编辑方法的流程示意图；
28.图2为本发明实施例初始页面状态示例图；
29.图3为本发明实施例单条事件过滤条件添加示例图之一；
30.图4为本发明实施例单条事件过滤条件添加示例图之二；
31.图5为本发明实施例单条事件过滤条件添加示例图之三；
32.图6为本发明实施例单条事件过滤条件为逻辑“与”时并联可视化展示形式；
33.图7为本发明实施例单条事件过滤条件为逻辑“或”时并联可视化展示形式；
34.图8为本发明实施例多事件关联分析可视化展示示例图之一；
35.图9为本发明实施例多事件关联分析可视化展示示例图之二；
36.图10为本发明实施例多事件关联分析可视化展示示例图之三。
具体实施方式
37.下面结合附图和具体的实施例对本发明做进一步的解释说明：
38.如图1所示，本发明的一种日志审计系统规则查询条件的可视化编辑方法，本发明主要是将复杂的关联分析条件，通过直观的可视化的编排手段和展示方式进行呈现，帮助使用人员更简便快捷的做复杂分析条件的设置。事件之间的关联分析主要分为两种，一种是单条事件的独立分析：主要是通过设置的单个事件自身的不同属性字段的“或”和“与”的查询规则从庞大的事件量中查询到符合设置条件的单条事件。第二种是多条独立事件之间的关联分析：是在单条事件独立分析的基础上，通过额外配置了单条事件之间在关联关系，通过这个关联关系进行筛选和过滤把符合要求的多条事件全部过滤出来。
39.以上的业务需求反映到实际页面的显示中就是要考虑如何针对过滤条件进行适当的显示组合才能保证直观，正确的显示条件之间的或与非的关系，正确显示事件和事件之间的关联关系。本发明主要通过横向的div块之间串联来表示实际业务中“与”的逻辑需求；通过纵向的div块之间并联表示实际业务中“或”的逻辑需求；通过将所有独立事件条件分支结构与“关联分析”div块连接到同一侧，同时在“关联分析”div块的另一侧显示独立事件之间的关联关系的条件配置结构来表示事件和事件之间的关联关系。
40.最终通过将便于使用者理解和操作的图形化的关系结构利用程序代码转换成机器可读可识别的json数据，交给后台程序进行多事件之间的关联分析和单事件的过滤操作。
41.进一步地，所述单条事件的独立分析包括：
42.在“事件”div块正后方串联名为“条件1”的div块；
43.为“条件1”div块添加过滤条件，所述过滤条件分为左操作数、操作符、右操作数，所述左操作数是事件对象的属性字段，所述操作符包括大于、大于等于、等于、小于、小于等于、不等于、包含、属于、开始于、是否为空、两者之间；右操作数根据选择的操作符不同，输入数字、字符串或区间值；
44.新增过滤条件，若新增的过滤条件与上一个过滤条件之间是逻辑“与”的关系，则在上一个过滤条件div块正后方串联新的过滤条件，若新增的过滤条件与上一个过滤条件
之间是逻辑“或”的关系，则为“事件”div块串联新的“条件”div块，且新的“条件”div块位于上一个过滤条件div块正下方。
45.进一步地，所述多条独立事件之间的关联分析包括：
46.在“关联分析”div块一侧为“事件”div块并联新的“事件”div块，在“关联分析”div块另一侧为事件之间添加“关联条件”div块，对于单个“事件”div块，按照单条事件的独立分析过程中方式添加“条件”div块，进行过滤条件设置。
47.具体地，作为一种可实施方式，本发明的一种日志审计系统规则查询条件的可视化编辑方法包括：
48.1)初始时页面只有一个命名为“事件”的div线框(块)，鼠标悬浮在div线框上方时div线框悬浮出串联图标和并联图标，如图2所示。
49.2)如果只是单事件的过滤，点击串联图标添加过滤条件，事件div正后方串联名为“条件1”的div线框，如图3所示。
50.3)点击“条件1”div线框，下方出现过滤条件的筛选，分别是左操作数、操作符、右操作数。左操作数是事件对象的50多个属性字段；操作符可以选取“大于、大于等于、等于、小于、小于等于、不等于、包含、属于、开始于、是否为空、两者之间”等；右操作数根据选择的操作符不同，可以输入“数字、字符串、区间值”等，如图4所示。
51.4)填写完过滤条件之后，“条件1”div线框会显示相应的过滤条件。如图5中显示过滤条件为过滤事件“源端口等于80”。
52.5)如果想添加与当前过滤条件是逻辑与关系的过滤条件，点击当前过滤条件上方的串联图标添加条件，如图6所示。
53.6)如果想添加与当前过滤条件是逻辑或关系的过滤条件，点击“事件”div线框的串联图标添加条件，如图7所示。
54.7)以上是单事件的过滤的可视化操作逻辑。如果是多事件的关联分析，在初始“事件”div点击并联按钮，随后左侧出现“关联分析”div，正下方出现“事件1”div，如图8所示。
55.8)参考单事件的过滤条件的添加逻辑可进行多事件关联分析关联条件和过滤条件的添加，如图9、图10所示。
56.通过可视化的组织编排多个事件的过滤和关联分析条件后，后台代码将以上可视化关系转化成相关的json字符串，由后台代码进行解析，形成计算机语言的代码逻辑。具体如下：
57.58.59.60.61.62.63.64.[0065][0066]
在上述实施例的基础上，本发明还提出一种日志审计系统规则查询条件的可视化编辑系统，包括：
[0067]
独立分析模块，用于对日志审计系统中单条事件的独立分析，包括：通过横向的div块之间串联来表示实际业务中“与”的逻辑需求；通过纵向的div块之间并联表示实际业务中“或”的逻辑需求；通过设置的单条事件不同属性字段的“或”和“与”的查询规则从事件量中查询到符合设置条件的单条事件；
[0068]
关联分析模块，用于对日志审计系统中多条独立事件之间的关联分析，包括：在单条事件独立分析的基础上，配置多个单条事件之间的关联关系，通过所述关联关系进行筛选和过滤，把符合要求的多条事件全部过滤出来。
[0069]
进一步地，通过将所有独立事件条件分支结构与“关联分析”div块连接到同一侧，同时在“关联分析”div块的另一侧显示独立事件之间的关联关系的条件配置结构，以此来表示事件和事件之间的关联关系。
[0070]
进一步地，所述独立分析模块具体用于：
[0071]
在“事件”div块正后方串联名为“条件1”的div块；
[0072]
为“条件1”div块添加过滤条件，所述过滤条件分为左操作数、操作符、右操作数，所述左操作数是事件对象的属性字段，所述操作符包括大于、大于等于、等于、小于、小于等
于、不等于、包含、属于、开始于、是否为空、两者之间；右操作数根据选择的操作符不同，输入数字、字符串或区间值；
[0073]
新增过滤条件，若新增的过滤条件与上一个过滤条件之间是逻辑“与”的关系，则在上一个过滤条件div块正后方串联新的过滤条件，若新增的过滤条件与上一个过滤条件之间是逻辑“或”的关系，则为“事件”div块串联新的“条件”div块，且新的“条件”div块位于上一个过滤条件div块正下方。
[0074]
进一步地，所述关联分析模块具体用于：
[0075]
在“关联分析”div块一侧为“事件”div块并联新的“事件”div块，在“关联分析”div块另一侧为事件之间添加“关联条件”div块，对于单个“事件”div块，按照独立分析模块中方式添加“条件”div块，进行过滤条件设置。
[0076]
综上，本发明通过直观的符合操作逻辑的展现方式，将日志审计系统中多个事件对象之间的关联关系进行可视化呈现，方便了操作人员的配置和编写，节省了配置查询过滤条件的时间。
[0077]
以上所示仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。