。
[0143] 例如:单一的字段名可以为:时间、time、电话号码、srcphone、destphone等;还 可以为:phone、M0B_phone、UNI_phone、WORD、HMESTAMP(例如:M0NTHDAY、MONTH、YEAR、 ??ΜΕ)、NETADDRESS 等。
[0144] 此时,嵌套字段名可以为:srcphone_M0B_phone、destphone_UNI_phone、time_ M0NTHDAY、time_M0NTH、time_YEAR、timeJIME 等,也可以为 M0B_phone、UNI_phone、 M0NTHDAY、MONTH、YEAR、??ΜΕ 等。
[0145] 字段名属于能够从事件中抽取部分字段,根据抽取部分字段的属性,可以分为内 容性质的字段名和事件性质的字段名(所谓事件性质的字段名表示一种事件发生的字段 名,简称为事件字段名,例如:表示时间的字段名),而内容性质字段名(以下简称内容字段 名)可以利用预置的字段规则,从事件对应的内容中得到。
[0146] 例如:内容字段名可以为:10、CPU等。
[0147] 在得到搜索条件之后,利用预先配置的字段发现规则例如:该规则是一个正则表 达式,或者是一个函数名),从搜索条件中获取字段信息,即字段名以及字段名对应的内容 格式。
[0148] 例如:"srcphone = 13912345678" 中 "srcphone" 属于字段名,而 "13912345678" 属于字段名对应的内容格式。
[0149] 且进一步可以确定" srcphone"属于字段名中的单一的字段名。
[0150] 步骤102 :在根据获取到的所述字段信息和配置的字段索引信息确定所述搜索条 件符合设定规则时,从所述搜索条件中获取与所述字段信息匹配的字段模板。
[0151] 在步骤102中,在从搜索条件中获取字段信息时,将配置的字段索引信息与获取 到的所述字段信息进行比较,进一步判断该搜索条件是否正确,这样通过判断确定搜索条 件不正确时,及时结束搜索,避免了资源浪费。
[0152] 或者,返回搜索条件错误信息;或者,提示搜索条件不正确,将按照模糊查询方式 进行搜索,能够及时提醒修改搜索条件或者降低搜索标准,提升搜索精度。
[0153] 具体地,根据获取到的所述字段信息和配置的字段索引信息确定所述搜索条件符 合设定规则的方式包括但不限于:
[0154] 从配置的字段索引信息中搜索获取到的所述字段信息中包含的字段名,并在搜索 到获取到的所述字段信息中包含的字段名时,确定所述字段信息中包含的字段名对应的事 件模板类型,并根据配置的事件模板类型与字段模板之间的对应关系,查找出与确定的所 述事件模板类型对应的字段模板;
[0155] 将获取到的所述字段信息中包含的字段名对应的内容格式与查找的所述字段模 板的内容格式进行比较;
[0156] 当获取到的所述字段信息中包含的字段名对应的内容格式与查找的所述字段模 板的内容格式一致时,确定所述搜索条件符合设定规则。
[0157] 若从配置的字段索引信息中查找不到与获取到的所述字段信息中包含的字段名 一致的字段名,和/或若从配置的字段索引信息中查找到与获取到的所述字段信息中包含 的字段名一致的字段名、但获取到的字段信息中包含的字段名对应的内容格式与查找的所 述字段模板的内容格式不一致时,确定所述搜索条件不符合设定规则。
[0158] 例如:"SrCph〇ne",从预设的单一的字段名索引、嵌套字段名索引以及内容字段 名索引中搜索,可以确定" srcphone"属于单一的字段名,对应的事件模板为t_phone,此时 确定字段名"srcphone"正确。
[0159] 例如:当确定" srcphone "对应的事件模板为t_phone时,在事件抽取模板为 t_phone的索引表中," srcphone "对应的内容是" phone ",此时," 13912345678 "若符合 "phone"的抽取规则,那么说明"13912345678"内容正确。假设"13912345678"不符合 "phone"的抽取规则,那么说明"13912345678"内容不正确。
[0160] 此时,在确定搜索条件正确时,为了提升后续搜索效率,对接收到的搜索条件做优 化处理,即从所述搜索条件中获取与所述字段信息匹配的字段模板。
[0161] 具体地,根据配置的字段名与事件模板类型之间的对应关系,得到所述字段信息 中包含的字段名对应的事件模板类型;并根据配置的事件模板类型与字段模板之间的对应 关系,查找出与得到的所述事件模板类型匹配的字段模板。
[0162] 当依据字段信息查找出与得到的所述事件模板类型匹配的字段模板为嵌套字段 模板时,根据字段模板与字段模板的内容格式之间的对应关系,确定所述嵌套字段模板中 包含的每一个字段模板对应的所述字段模板的内容格式,其中,所述嵌套字段模板中包含 了至少两个字段模板;
[0163] 将所述字段信息中包含的字段名对应的内容格式与所述嵌套字段模板中包含的 每一个字段模板的内容格式进行比较;
[0164] 当所述字段信息中包含的字段名对应的内容格式与所述嵌套字段模板中包含的 其中一个字段模板的内容格式一致时,将内容格式一致的所述字段模板作为从所述搜索条 件中获取与所述字段信息匹配的字段模板。
[0165] 例如:根据"srcphone",确定""对应的事件模板类型为t_phone,以及t_phone对 应的字段模板为单一的字段名对应的字段模板:"srcphone - >% {phone} "。
[0166] 此时,将"srcphone"对应的内容格式" 13912345678"与"phone"对应的内容格 式进行比较时,由于字段模板"M0B_phone"与字段模板"phone"具备了包含关系,经过计 算后发现," 13912345678"对应的内容格式不仅与"phone"对应的内容格式匹配,而且也与 "M0B_phone "对应的内容格式匹配,并且"与"M0B_phone "对应的内容格式匹配的计算复杂 度低于与"phone"对应的内容格式匹配的计算复杂度。
[0167] 最后,确定"srcphone"对应的字段模板为"M0B_phone",对应的事件模板类型为 t-phone。
[0168] 步骤103 :利用所述字段模板生成新的搜索条件,并搜索出符合所述新的搜索条 件的事件。
[0169] 在步骤103中,将所述字段信息以及所述字段模板进行组合,得到包含了所述字 段模板的新的搜索条件,其中,所述字段模板用于缩小搜索范围。
[0170] 例如:在步骤102中,确定的字段模板为"M0B_phone",此时将" srcphone = 13912345678"与"M0B_phone"组合作为新的搜索条件。
[0171] 需要说明的是,当从所述搜索条件中获取与所述字段信息匹配的字段模板的个数 为多个时,确定获取的字段模板的属性,并根据所述字段模板的属性,将获取的字段模板进 行排序;根据排序结果,从获取的多个字段模板中选择至少一个字段模板生成新的搜索条 件。
[0172] 例如:确定的字段模板包含了 "HME"、"PH0NE"、"W0RD",那么由于"??ΜΕ"对时间 要求比较严格,因此,可以优先选择"??ΜΕ"。
[0173] 在本发明的另一实施例中,所述方法还包括:
[0174] 根据字段名与事件数据来源之间的对应关系,得到抽取到的所述字段信息中包含 的字段名所对应的事件数据来源。
[0175] 所述利用确定的所述至少一个事件抽取模板生成计算条件,包括:
[0176] 将所述字段信息、所述字段模板以及所述事件数据来源进行组合,得到包含了所 述字段模板和所述事件数据来源的新的搜索条件,其中,所述字段模板和所述事件数据来 源用于缩小搜索范围。
[0177] 在本发明的另一实施例中,所述方法还包括:
[0178] 根据字段名与产生包含所述字段名的事件的设备标识之间的对应关系,得到抽取 到的所述字段信息中包含的字段名对应的设备标识。
[0179] 所述利用确定的所述至少一个事件抽取模板生成计算条件,包括:
[0180] 将所述字段信息、所述字段模板以及所述设备标识进行组合,得到包含了所述字 段模板和所述设备标识的新的搜索条件,其中,所述字段模板和所述设备标识用于缩小搜 索范围。
[0181 ] 具体地,利用所述搜索条件进行搜索,搜索出符合所述新的搜索条件的事件的方 式包括但不限于:
[0182] 第一步:将得到的新的搜索条件分发到事件内容索引上。
[0183] 例如:将新的搜索条件分发到事件内容索引index20131111上。
[0184] 第二步:根据新的搜索条件进行搜索,获取符合新的搜索条件的事件。
[0185] 例如:根据搜索条件 "content: 13912345678AND event type: t_phone AND Μ0Β_ phone",从事件内容索引index20131111中获取满足content字段值为13912345678且 event type值为t_phone并与M0B_phone相匹配的事件,即获取符合新的搜索条件的事件: event-phone_l〇
[0186] 通过本发明实施例一的方案,接收输入的搜索条件,并从所述搜索条件中获取字 段信息;在根据获取到的所述字段信息和配置的字段索引信息确定所述搜索条件符合设定 规则时,从所述搜索条件中获取与所述字段信息匹配的字段模板;利用所述字段模板生成 新的搜索条件,并搜索出符合所述新的搜索条件的事件,这样通过对输入的搜索条件的分 析,避免了当接收到的搜索条件不正确时发生无意义的搜索以及基于搜索的计算问题,同 时利用从搜索条件中获取的字段信息,确定该字段信息对应的至少一个字段模板,利用该 字段模板生成新的搜索条件,有效地缩小了原搜索条件对应的搜索范围,提高了搜索效率, 节省了计算资源。
[0187] 实施例二:
[0188] 如图2所示,为本发明实施例二提供的一种事件的搜索设备的结构示意图。所述 搜索设备包括:接收模块21、匹配模块22和搜索模块23,其中:
[0189] 接收模块21,用于接收输入的搜索条件,并从所述搜索条件中获取字段信息;
[0190] 匹配模块22,用于在根据所述接收模块21获取到的所述字段信息和配置的字段 索引信息确定所述搜索条件符合设定规则时,从所述搜索条件中获取与所述字段信息匹配 的字段模板;
[0191] 搜索模块23,用于利用所述匹配模块22获取的所述字段模板生成新的搜索条件, 并搜索出符合所述新的搜索条件的事件。
[0192] 在本发明的一种实施例中,所述设备还包括:错误返回模块24,其中:
[0193] 错误返回模块24,用于在根据获取到的所述字段信息和配置的字段索引信息确定 所述搜索条件不符合设定规则时,返回搜索条件错误信息;或,
[0194] 提示搜索条件不正确,将按照模糊查询方式进行搜索。
[0195] 在本发明的一种实施例中,所述匹配模块22,具体用于根据配置的字段名与事件 模板类型之间的对应关系,得到所述字段信息中包含的字段名对应的事件模板类型