大量防火墙日志数据快速解析方法及设备与流程

本发明实施例涉及计算机技术领域，尤其涉及一种大量防火墙日志数据快速解析方法及设备。

背景技术：

银行，企业，政府单位的互联网设备(例如，内网计算机集群)都有很多防火墙设备，每个防火墙设备发出的日志数据数量极大；基于防火墙日志的分析，可以提供多维度，粗细颗粒度的安全防护数据，为网络安全提供重量级的数据支撑。目前行业中没有整套的无损接收大量防火墙发出的日志数据并快速解析提取业务字段的方案。传统的接收大量防火墙发出日志数据解决方案，会有3万日志/s的数据量限制。但实际生产环境中防火墙发出的日志可能不止3万日志/s。就会造成日志数据大量丢失，对后续的业务造成严重的影响。与此同时，同一业务，同一厂商，每适配一种防火墙日志都需要修改代码，并对代码进行调试及测试。造成防火墙日志解析的高耦合，繁琐麻烦及效率不高等缺点。因此，找到一种能够低耦合、高效率及大批量的适配解析防火墙日志数据的方法，就成为业界广泛关注的问题。

技术实现要素：

针对现有技术存在的上述问题，本发明实施例提供了一种大量防火墙日志数据快速解析方法及设备。

第一方面，本发明的实施例提供了一种大量防火墙日志数据快速解析方法，包括：获取待解析防火墙日志数据，采集所述待解析防火墙日志数据中的正则数据，所述正则数据验证通过后，对通过验证的正则数据进行下标匹配，将通过验证及下标匹配后的正则数据，进行数据类型处理和/或内外网区分；根据数据类型处理和/或内外网区分后的正则数据，生成防火墙日志数据的解析结果集。

进一步地，所述获取待解析防火墙日志数据，包括：对接收到的防火墙日志进行ip过滤，根据接收到的防火墙日志的headerip，获取待解析防火墙日志数据。

进一步地，所述采集所述待解析防火墙日志数据中的正则数据，包括：使用headerip从全局存在的序列化防火墙日志的正则数据中，采集所述待解析防火墙日志数据中的正则数据。

进一步地，在所述采集所述待解析防火墙日志数据中的正则数据之后，还包括：若一正则数据未通过验证，则匹配另一正则数据进行验证，直到验证完全部正则数据。

进一步地，所述对通过验证的正则数据进行下标匹配，还包括：若下标匹配失败，则发出匹配失败告警，告警的对象包括：headerip，log及过滤后的ip。

进一步地，所述进行数据类型处理，包括：将ip转换成long型和/或将协议号对应到相应的协议类型。

进一步地，在所述数据类型处理和/或内外网区分之后，还包括：对防火墙日志中不需要类型转换的正则数据和/或防火墙日志中没有包含的数据，赋默认值；其中，所述防火墙日志中没有包含的数据，应用在非防火墙日志数据解析业务中。

第二方面，本发明的实施例提供了一种大量防火墙日志数据快速解析装置，包括：防火墙日志数据解析模块，用于获取待解析防火墙日志数据，采集所述待解析防火墙日志数据中的正则数据，所述正则数据验证通过后，对通过验证的正则数据进行下标匹配，将通过验证并下标匹配后的正则数据，进行数据类型处理和/或内外网区分；防火墙日志数据的解析结果集生成模块，用于根据数据类型处理和/或内外网区分后的正则数据，生成防火墙日志数据的解析结果集。

第三方面，本发明的实施例提供了一种电子设备，包括：

至少一个处理器；以及

与处理器通信连接的至少一个存储器，其中：

存储器存储有可被处理器执行的程序指令，处理器调用程序指令能够执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的大量防火墙日志数据快速解析方法。

第四方面，本发明的实施例提供了一种非暂态计算机可读存储介质，非暂态计算机可读存储介质存储计算机指令，计算机指令使计算机执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的大量防火墙日志数据快速解析方法。

本发明实施例提供的大量防火墙日志数据快速解析方法及设备，通过获取防火墙日志的正则数据，并对正则数据进行解析，可以低耦合、高效率及大批量的适配并解析防火墙日志数据。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的大量防火墙日志数据快速解析方法流程图；

图2为本发明实施例提供的storm处理单元工作原理示意图；

图3为本发明实施例提供的大量防火墙日志数据快速解析装置结构示意图；

图4为本发明实施例提供的电子设备的实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。另外，本发明提供的各个实施例或单个实施例中的技术特征可以相互任意结合，以形成可行的技术方案，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时，应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。

本发明实施例提供了一种大量防火墙日志数据快速解析方法，参见图1，该方法包括：

101、获取待解析防火墙日志数据，采集所述待解析防火墙日志数据中的正则数据，所述正则数据验证通过后，对通过验证的正则数据进行下标匹配，将通过验证及下标匹配后的正则数据，进行数据类型处理和/或内外网区分；

102、根据数据类型处理和/或内外网区分后的正则数据，生成防火墙日志数据的解析结果集。其中，所述结果集中记录了防火墙日志的内容，其形式是解析过滤好的有顺序的字段集合。这些字段集合作为一个文件存储，每个文件最多100w数据，超过100w的情况下，就分成多个文件进行存储。

本发明实施例提供的大量防火墙日志数据快速解析方法，通过获取防火墙日志的正则数据，并对正则数据进行解析，可以低耦合、高效率及大批量的适配并解析防火墙日志数据。现有技术中，无损接收防火墙日志数据的极限是3万日志/s，采用本发明实施例的技术方案后，可以将无损接收防火墙日志数据的极限提升至15万日志/s，防火墙日志的解析提取速率也达到15万日志/s。

在上述实施例的基础上，本发明实施例中提供的大量防火墙日志数据快速解析方法，所述获取待解析防火墙日志数据，包括：对接收到的防火墙日志进行ip过滤，根据接收到的防火墙日志的headerip，获取待解析防火墙日志数据。

在上述实施例的基础上，本发明实施例中提供的大量防火墙日志数据快速解析方法，所述采集所述待解析防火墙日志数据中的正则数据，包括：使用headerip从全局存在的序列化防火墙日志的正则数据中，采集所述待解析防火墙日志数据中的正则数据。

在上述实施例的基础上，本发明实施例中提供的大量防火墙日志数据快速解析方法，在所述采集所述待解析防火墙日志数据中的正则数据之后，及所述正则数据验证通过后之前，还包括：若一正则数据未通过验证，则匹配另一正则数据进行验证，直到验证完全部正则数据。

在上述实施例的基础上，本发明实施例中提供的大量防火墙日志数据快速解析方法，所述对通过验证的正则数据进行下标匹配，还包括：若下标匹配失败，则发出匹配失败告警，告警的对象包括：headerip，log及过滤后的ip。

在上述实施例的基础上，本发明实施例中提供的大量防火墙日志数据快速解析方法，所述进行数据类型处理，包括：将ip转换成long型和/或将协议号对应到相应的协议类型。其中，协议类型包括但不限于：ip、st、tcp、cbt、egp、igp、bbn-rcc-mon及nvp-ii。

在上述实施例的基础上，本发明实施例中提供的大量防火墙日志数据快速解析方法，在所述数据类型处理和/或内外网区分之后，及根据数据类型处理和/或内外网区分后的正则数据，生成防火墙日志数据的解析结果集之前，还包括：对防火墙日志中不需要类型转换的正则数据和/或防火墙日志中没有包含的数据，赋默认值；其中，所述防火墙日志中没有包含的数据，应用在非防火墙日志数据解析业务中。

本发明的上述各个实施例中，防火墙日志数据的解析处理是通过storm处理单元进行的，需要说明的是，该storm处理单元可以随意对防火墙日志数据进行分发，分发对象为同级别处理单元以及下一级处理单元。具体请参见图2，图2中包括：

storm处理单元201、storm处理单元202、storm处理单元203及storm处理单元204。其中，storm处理单元201的级别最高，storm处理单元202与storm处理单元204的级别次之，且两者的级别相同。storm处理单元203的级别最低。有图中可见，storm处理单元201可以向storm处理单元204及storm处理单元202分发数据流(datastream)，也可以向storm处理单元203分发数据流(datastream)。storm处理单元202可以向同级的storm处理单元204分发数据流(datastream)，也可以向下一级的storm处理单元203分发数据流(datastream)。storm处理单元204可以接收(也可以执行发送，该图中并未显示)同级的storm处理单元202分发数据流(datastream)，也可以向下一级的storm处理单元203分发数据流(datastream)。storm处理单元203由于等级最低，所以只能接收分发的数据流(datastream)。

本发明各个实施例的实现基础是通过具有处理器功能的设备进行程序化的处理实现的。因此在工程实际中，可以将本发明各个实施例的技术方案及其功能封装成各种模块。基于这种现实情况，在上述各实施例的基础上，本发明的实施例提供了一种大量防火墙日志数据快速解析装置，该装置用于执行上述方法实施例中的大量防火墙日志数据快速解析方法。参见图3，该装置包括：

防火墙日志数据解析模块301，用于获取待解析防火墙日志数据，采集所述待解析防火墙日志数据中的正则数据，所述正则数据验证通过后，对通过验证的正则数据进行下标匹配，将通过验证并下标匹配后的正则数据，进行数据类型处理和/或内外网区分；

防火墙日志数据的解析结果集生成模块302，用于根据数据类型处理和/或内外网区分后的正则数据，生成防火墙日志数据的解析结果集。

本发明实施例提供的大量防火墙日志数据快速解析装置，通过采用防火墙日志数据解析模块及防火墙日志数据的解析结果集生成模块，获取防火墙日志的正则数据，并对正则数据进行解析，可以低耦合、高效率及大批量的适配并解析防火墙日志数据。

本发明实施例的方法是依托电子设备实现的，因此对相关的电子设备有必要做一下介绍。基于此目的，本发明的实施例提供了一种电子设备，如图4所示，该电子设备包括：至少一个处理器(processor)401、通信接口(communicationsinterface)404、至少一个存储器(memory)402和通信总线403，其中，至少一个处理器401，通信接口404，至少一个存储器402通过通信总线403完成相互间的通信。至少一个处理器401可以调用至少一个存储器402中的逻辑指令，以执行如下方法：获取待解析防火墙日志数据，采集所述待解析防火墙日志数据中的正则数据，所述正则数据验证通过后，对通过验证的正则数据进行下标匹配，将通过验证及下标匹配后的正则数据，进行数据类型处理和/或内外网区分；根据数据类型处理和/或内外网区分后的正则数据，生成防火墙日志数据的解析结果集。

此外，上述的至少一个存储器402中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。例如包括：获取待解析防火墙日志数据，采集所述待解析防火墙日志数据中的正则数据，所述正则数据验证通过后，对通过验证的正则数据进行下标匹配，将通过验证及下标匹配后的正则数据，进行数据类型处理和/或内外网区分；根据数据类型处理和/或内外网区分后的正则数据，生成防火墙日志数据的解析结果集。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。