专利名称:日志格式化方法、装置及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其是一种日志格式化方法、装置及系统。
背景技术:
近年来,无线网络的安全性逐渐受到人们的重视,移动运营商花费大量资金购买 齐全的网络安全设备,由于各种网络安全设备相互之间缺乏关联性,导致大量的网络安全 事件无法分析,并且在网络安全系统发生故障后无法及时响应。现有技术中,安全管理中心 的日志格式化单元通过连接多个网络设备为多个网络设备的日志提供格式化功能,由于不 同网络设备的日志类型有所不同,致使多个网络设备发送的日志中的字段名称和数据内容 都有所不同,因此需要采取不同的方法提取多个网络设备发送的日志的字段。并且,安全管 理中心的日格式化信息表由于存储了不同网络设备的日志中包含的字段名称,并设置了不 同的提取字段的方法,因此可以对不同网络设备的日志进行格式化,当系统接收到网络设 备发送的日志时,日志格式化单元将接收到的日志载入日志格式化信息表,然后在日志格 式化信息表中查询该网络设备的日志对应的格式化方法,进而实现日志的格式化。在现有 技术中,由于安全管理中心每处理一个网络设备发送的日志,都需要通过查询日志格式化 信息表判断采用何种格式化方法实现日志格式化,因此降低了日志格式化的效率。
发明内容
本发明实施例的目的在于提供一种日志格式化方法、装置及系统,提高日志格式 化效率。本发明实施例提供一种日志格式化方法,包括通过至少两个端口接收至少两个不同类型的网络设备发送的至少两条不同类型 的日志信息;通过所述至少两个端口分别对所述至少两条不同类型的日志信息进行相应的格 式化处理。本发明实施例还提供了 一种日志格式化装置,包括接收模块,用于通过至少两个端口接收至少两个不同类型的网络设备发送的至少 两条不同类型的日志信息;格式化处理模块,通过所述至少两个端口分别对所述至少两条不同类型的日志信 息进行相应的格式化处理。本发明实施例还提供一种日志格式化系统,包括至少两个不同类型的网络设备、 至少两个日志处理设备;其中,所述至少两个日志处理设备通过至少两个端口接收所述至少两个不同类型 的网络设备发送的至少两条不同类型的日志信息,通过所述至少两个端口分别对所述至少 两条不同类型的日志信息进行相应的格式化处理。所述至少两个日志处理设备与所述至 少两个端口一一绑定,所述至少两个不同类型的网络设备与所述至少两个端口分别一一绑定。本发明实施例提供的日志格式化方法、装置及系统,通过至少两个端口接收至少 两个不同类型的网络设备发送的至少两条不同类型的日志信息,并根据与至少两个端口分 别对至少两条不同类型的日志信息进行相应的格式化处理,实现了对不同类型的网络设备 的日志信息进行相应的日志格式化处理,由于不需要通过查询日志格式化信息表判断采用 何种格式化处理方法对接收到的日志信息进行格式化处理,因此提高了网络设备的日志格 式化效率。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于 本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其 他的附图。图1为本发明日志格式化方法一个实施例的流程示意图;图2为本发明日志格式化方法另一个实施例的流程示意图;图3为本发明日志格式化装置一个实施例的结构示意图;图4为本发明日志格式化装置另一个实施例的结构示意图;图5为本发明日志格式化系统一个实施例的结构示意图;图6为图5所示实施例所适用的综合安全系统的结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。图1为本发明日志格式化方法一个实施例的流程示意图,如图1所示,本发明实施 例包括如下步骤步骤101、通过至少两个端口接收至少两个不同类型的网络设备发送的至少两条 不同类型的日志信息;其中,至少两个不同类型的网络设备与至少两个端口分别一一绑定;步骤102、通过至少两个端口分别对至少两条不同类型的日志信息进行相应的格 式化处理。本发明实施例提供的日志格式化方法,通过至少两个端口接收至少两个不同类型 的网络设备发送的至少两条不同类型的日志信息,并通过至少两个端口分别对至少两条不 同类型的日志信息进行相应的格式化处理,实现了对不同类型的网络设备的日志信息进行 相应的日志格式化处理,由于不需要通过查询日志格式化信息表判断采用何种格式化处理 方法对接收到的日志信息进行格式化处理,因此提高了网络设备的日志格式化效率。图2为本发明日志格式化方法另一个实施例的流程示意图,如图2所示,本发明实 施例包括如下步骤
步骤201、通过至少两个端口接收至少两个不同类型的网络设备发送的至少两条 不同类型的日志信息;其中,至少两个不同类型的网络设备与至少两个端口分别一一绑定;步骤202、获取至少两条不同类型的日志信息中携带的用于表示网络设备类型的 类型信息;根据该类型信息分别提取至少两条不同类型的日志信息中的日志内容;根据设 定的标准格式分别对日志内容中的关键字段进行解析并排序,得到格式化后的日志信息;步骤203、若有新网络设备加入网络或者网络设备的日志类型发生变化形成新日 志类型,则进行更新处理;步骤204、对格式化处理后的多条日志信息进行加密处理。上述步骤201中,由于在网络中存在至少两个不同类型的网络设备,例如防火 墙、路由器、入侵检测设备等等,至少两个不同类型的网络设备发送的日志信息的类型也就 互不相同,因此通过至少两个不同类型的网络设备分别一一绑定的至少两个端口接收至少 两个不同类型的网络设备发送的至少两条不同类型的日志信息,例如第一网络设备通过 第一端口与第一日志处理设备相绑定,第二网络设备通过第二端口与第二日志处理设备相 绑定,因此第一日志处理设备和第二日志处理设备分别对接收到的不同类型的日志信息进 行格式化处理。进一步地,日志处理设备具体可以用插件的形式实现,一个网络设备通过 与其相绑定的端口向插件传输日志信息的协议可以但不限于系统日志(syslog)、简单网 络管理协议(Simple Network Management Protocol,简称SNMP)、文件传输协议(File Transfer Protocol,简称FTP)等协议;当插件接收到网络设备发送的日志信息后,由于 网络设备、端口、插件一一对应,因此无需判断应采用哪一个插件对网络设备的日志信息进 行处理,直接调用与端口相绑定的插件对与端口相绑定的网络设备发送的日志信息进行格 式化即可,因此提高了日志信息格式化的效率。上述步骤202中,至少两个不同日志处理设备获取日志信息中携带的用于表示网 络设备的类型信息;由于至少两个不同类型的网络设备发送的至少两个日志信息的类型互 不相同,因此至少两个不同类型的网络设备的日志信息对同一安全信息的描述方式也不相 同,所以在对日志信息进行格式化之前,需要获取到至少两条不同类型的日志信息中携带 的用于表示至少两个不同类型的网络设备的类型信息,具体地,该类型信息具体可以为网 络设备的IP地址、网络设备的设备序列号、日志内容中所描述的网络设备名称。至少两个不同日志处理设备根据设定的标准格式分别对至少两个不同日志内容 中的关键字段进行解析,得到格式化后的日志信息;具体地,至少两个不同日志处理设备分 别提取别接收到的至少两条不同类型的日志信息中的日志内容,从日志内容中找到日志信 息中的关键字段,便可按设定的标准格式对日志信息进行格式化处理。格式化处理主要包 括对关键字段的内容解析,以及重排关键字段并扩展关键字段;关键字段的内容解析和 重排关键字段仅为本发明实施例中的一个具体示例,并不构成对本发明实施例格式化方法 的限制。具体地,关键字段的内容解析可以理解为一种类型转换机制,由于不同类型 的日志信息对同一安全信息的描述方式不相同,例如一个具有管理员账户(ROOT)权 限的用户在登入安全系统(例如=Linux系统)时,Linux系统记录的日志信息为 ROOT LOGIN ON ttyl,而在入侵检测系统SNORT记录的日志信息为POLICY ROOT loginattempt [Classification :Misc activity] [Priority :3];由于上述两禾中记录方式者β不是 设定的标准格式中定义的方式,因此,关键字段的内容解析既是将ROOT LOGIN ON ttyl或 POLICY ROOT login attempt变换为设定的标准格式中定义的方式;表1为关键字段内容 解析前的示例,表2为关键字段内容解析后的示例。表1关键字段内容解析前的示例
权利要求
1.一种日志格式化方法,其特征在于,包括通过至少两个端口接收至少两个不同类型的网络设备发送的至少两条不同类型的日 志fn息;通过所述至少两个端口分别对所述至少两条不同类型的日志信息进行相应的格式化处理。
2.根据权利要求1所述的方法,其特征在于,所述通过所述至少两个端口分别对所述 至少两条不同类型的日志信息进行相应的格式化处理包括获取所述至少两条不同类型的日志信息中携带的用于表示网络设备类型的类型信息;根据所述类型信息分别提取所述至少两条不同类型的日志信息中的日志内容; 根据设定的标准格式分别对所述日志内容中的关键字段进行解析并排序,得到格式化 后的日志信息。
3.根据权利要求1或2所述的方法,其特征在于,还包括若有新网络设备加入网络或者网络设备的日志类型发生变化形成新日志类型,则进行 更新处理。
4.根据权利要求1或2所述的方法,其特征在于,还包括 对格式化处理后的日志信息进行加密处理。
5.一种日志格式化装置,其特征在于,包括接收模块,用于通过至少两个端口接收至少两个不同类型的网络设备发送的至少两条 不同类型的日志信息,所述至少两个不同类型的网络设备与所述至少两个端口分别一一绑 定;格式化处理模块,用于通过所述至少两个端口分别对所述至少两条不同类型的日志信 息进行相应的格式化处理。
6.根据权利要求5所述的装置,其特征在于,所述格式化处理模块包括获取单元,用于获取所述至少两条不同类型的日志信息中携带的用于表示网络设备类 型的类型信息;提取单元,用于根据所述类型信息分别提取所述至少两条不同类型的日志信息中的日 志内容;解析单元,用于根据设定的标准格式分别对所述日志内容中的关键字段进行解析并排 序,得到格式化后的日志信息。
7.根据权利要求5或6所述的装置,其特征在于,还包括更新模块,用于若有新网络设备加入网络或者网络设备的日志类型发生变化形成新日 志类型,则更新格式化处理。
8.根据权利要求5或6所述的装置,其特征在于,还包括 加密模块,用于对格式化处理后的日志信息进行加密处理。
9.一种日志格式化系统,其特征在于,包括至少两个不同类型的网络设备、至少两个 日志处理设备;所述至少两个日志处理设备通过至少两个端口接收所述至少两个不同类型的网络设 备发送的至少两条不同类型的日志信息,通过所述至少两个端口分别对所述至少两条不同类型的日志信息进行相应的格式化处理;所述至少两个日志处理设备与所述至少两个端口 一一绑定,所述至少两个不同类型的网络设备与所述至少两个端口分别一一绑定。
10.根据权利要求9所述的系统,其特征在于,还包括自动更新设备,用于若有新网络设备加入网络或者网络设备的日志类型发生变化形成 新日志类型,则对所述至少两个不同日志处理设备进行更新处理;加密处理设备,用于对所述至少两个不同日志处理设备格式化处理后的至少两条日志 信息进行加密处理。
全文摘要
本发明实施例涉及一种日志格式化方法、装置及系统,其中方法包括通过至少两个端口接收至少两个不同类型的网络设备发送的至少两条不同类型的日志信息,所述至少两个不同类型的网络设备与所述至少两个端口分别一一绑定;通过所述至少两个端口分别对所述至少两条不同类型的日志信息进行相应的格式化处理。本发明实施例提供的日志格式化方法、装置及系统,实现了每一个日志处理设备分别对与其相对应的网络设备的日志信息进行日志格式化处理,由于不需要通过查询日志格式化信息表判断采用何种格式化处理方法对接收到的日志信息进行格式化处理,因此提高了网络设备的日志格式化效率。
文档编号H04W12/00GK102065416SQ200910222149
公开日2011年5月18日 申请日期2009年11月18日 优先权日2009年11月18日
发明者朱洪亮, 李扬, 段磊, 王飞 申请人:成都市华为赛门铁克科技有限公司