系统日志分析方法及装置与流程

1.本发明涉及网络设备监控技术领域，尤其涉及系统日志分析方法及装置。


背景技术：

2.本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
3.网络设备是指构成电信运营商网络的物理实体，主要包括交换机、宽带远程接入服务器、路由器等。现代电信运营商网络通常是由数以千计的网络设备组成。现代电信运营商网络的平稳、高效运行依赖于每一台网络设备的正常运行。这就要求当网络设备发生故障时，网管软件能够在最短时间内生成告警，便于网络运维人员进行对网络设备故障尽早发现、尽早处理。当前主流网络设备会自动将设备的系统日志逐条通过syslog(系统日志) 协议实时发送给系统日志(syslog)采集工具(例如syslog日志采集探针)。
4.系统日志采集工具采集上述系统日志，并根据系统日志规则集，将上述系统日志分类为普通系统日志、告警信息。对于普通系统日志则直接丢弃，而对于告警信息还需要将其进一步划分为不同的告警种类、不同的告警级别等等。其中，系统日志规则集中每条系统日志规则由两部分组成：匹配、设置。匹配部分包括若干个匹配条目，对系统日志的不同字段进行匹配操作(支持正则匹配、等于、不等于、大于、小于等多种匹配方法)。若某系统日志规则的全部匹配条目都成功匹配，则根据该系统日志规则的设置部分，设置告警信息的种类、级别等等。
5.对于支持的多种匹配方法，在程序中通常是用一长串的if判断语句来实现的。以perl 伪代码示例如下。为叙述方便，将此函数命名为rulematchcheck_all。此函数实现了全部匹配方法的实现逻辑。
[0006][0007]
[0008]
鉴于系统日志规则集是由运营商网络运维人员根据其具体的运维监控需求、网络设备厂商型号等情况进行灵活配置的。这就导致网管厂家在研发系统日志采集工具的程序时，对系统日志规则的数量及其具体内容都是不可预知的。显而易见，系统日志采集工具的程序支持的匹配方法越多，则上述的if判断分支就越多。实际上每个匹配条目只会用到一种匹配方法，因此对每条设备系统日志，要与系统日志规则集中的每一条系统日志规则进行匹配测试，直到与某条系统日志规则成功匹配为止。因此，目前的系统日志分析过程中的系统日志规则匹配会对计算资源造成严重的浪费，极大的影响程序的执行效率。
[0009]
大型电信运营商的网络设备数量都是以千为单位，这些设备随时都向系统日志采集工具发送海量的设备系统日志。通常系统日志规则集中配置的系统日志规则数量都是成百上千的(以某运营商的网管为例，目前有744个系统日志规则)，而每条系统日志规则的匹配部分都会包括若干匹配条目。每个匹配条目又都支持若干种匹配方法。可想而知，上述的匹配分析是系统日志采集工具执行程序中比较耗时的程序，需要进行专门的优化设计，尽量实现对设备系统日志高效处理、避免积压。
[0010]
因此，现有的系统日志分析存在效率低的问题。


技术实现要素：

[0011]
本发明实施例提供一种系统日志分析方法，用以自适应地动态调整匹配函数，大大提高系统日志匹配分析的效率，该方法包括：
[0012]
在满足规则加载的触发条件时，加载预先配置的系统日志规则集；系统日志规则集包括多个系统日志规则；
[0013]
按照匹配方法对系统日志规则集中的系统日志规则进行分类，将匹配方法相同的系统日志规则归为一类；
[0014]
生成并加载每类系统日志规则对应的匹配函数，根据每类系统日志规则对应的匹配函数确定每个系统日志规则与匹配函数的对应关系；每类系统日志规则对应的匹配函数包括该类系统日志规则包含的匹配方法，不包括其它类系统日志规则包含的匹配方法；
[0015]
利用待匹配的系统日志规则对应的匹配函数对系统日志进行匹配分析。
[0016]
本发明实施例还提供一种系统日志分析装置，用以自适应地动态调整匹配函数，大大提高系统日志匹配分析的效率，该装置包括：
[0017]
规则集加载模块，用于在满足规则加载的触发条件时，加载预先配置的系统日志规则集；系统日志规则集包括多个系统日志规则；
[0018]
规则分类模块，用于按照匹配方法对系统日志规则集中的系统日志规则进行分类，将匹配方法相同的系统日志规则归为一类；
[0019]
匹配函数生成模块，用于生成并加载每类系统日志规则对应的匹配函数，根据每类系统日志规则对应的匹配函数确定每个系统日志规则与匹配函数的对应关系；每类系统日志规则对应的匹配函数包括该类系统日志规则包含的匹配方法，不包括其它类系统日志规则包含的匹配方法；
[0020]
匹配分析模块，用于利用待匹配的系统日志规则对应的匹配函数对系统日志进行匹配分析。
[0021]
本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并
可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述系统日志分析方法。
[0022]
本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述系统日志分析方法的计算机程序。
[0023]
本发明实施例中，按照匹配方法对系统日志规则进行分类，将匹配方法相同的系统日志规则归为一类，进而生成每类系统日志规则对应的匹配函数。因此，在对系统日志进行匹配分析时，能够自适应地动态调整待匹配的系统日志规则对应的匹配函数，同时仅需对待匹配的系统日志规则对应的匹配函数所包含的匹配方法进行匹配即可，无需对待匹配的系统日志规则对应的匹配函数之外的其他匹配方法进行匹配，能够大大提高系统日志匹配分析的效率。
附图说明
[0024]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
[0025]
图1为本发明实施例提供的系统日志分析方法的实现流程图；
[0026]
图2为本发明实施例提供的系统日志分析方法中步骤101的实现流程图；
[0027]
图3为本发明实施例提供的系统日志分析方法步骤101的另一实现流程图；
[0028]
图4为本发明实施例提供的系统日志分析方法步骤103的实现流程图；
[0029]
图5为本发明实施例提供的系统日志分析方法步骤104的实现流程图；
[0030]
图6为本发明实施例提供的系统日志分析装置的功能模块图；
[0031]
图7为本发明实施例提供的系统日志分析装置中规则集加载模块601的结构框图；
[0032]
图8为本发明实施例提供的系统日志分析装置中规则集加载模块601的另一结构框图；
[0033]
图9为本发明实施例提供的系统日志分析装置中匹配函数生成模块603的结构框图；
[0034]
图10为本发明实施例提供的系统日志分析装置中匹配分析模块604的结构框图。
具体实施方式
[0035]
为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。
[0036]
图1示出了本发明实施例提供的系统日志分析方法的实现流程，为便于描述，仅示出了与本发明实施例相关的部分，详述如下：
[0037]
如图1所示，系统日志分析方法，其包括：
[0038]
步骤101，在满足规则加载的触发条件时，加载预先配置的系统日志规则集；系统日志规则集包括多个系统日志规则；
[0039]
步骤102，按照匹配方法对系统日志规则集中的系统日志规则进行分类，将匹配方
regmatch。
[0049]
在对系统日志规则进行分类后，针对每类系统日志规则，生成一个对应的匹配函数。生成的匹配函数的名称可以命名为rulematchcheck_typex。其中，x代表某类系统日志规则的类别序号。例如，以上述表一中类别序号为1的该类系统日志规则为例，匹配函数的名称为rulematchcheck_type1，以上述表一中类别序号为3的该类系统日志规则为例，匹配函数的名称为rulematchcheck_type3。最后将生成的匹配函数保存在匹配函数文件(例如rulematchcheckdynamic.pl)中。
[0050]
上述表一中类别序号为1的该类系统日志规则为例，生成的rulematchcheck_type1的关键代码示意如下：
[0051][0052]
需要说明的是，每类系统日志规则对应的匹配函数包括仅该类系统日志规则包含的匹配方法，不包括其它类系统日志规则包含的匹配方法。例如，类别序号为1的该类系统日志规则仅包括！＝和regmatch两种相关的匹配方法，而不包括其他类系统日志规则(例如，类别序号为2或3的该类系统日志规则)包含的匹配方法。即每类系统日志规则对应的匹配函数仅包括每类系统日志规则所包含的匹配函数，而不包括其他不相关的匹配函数。
[0053]
在生成每类系统日志规则对应的匹配函数时，同时确定每个系统日志规则与匹配函数的对应关系，将其对应关系保存在perl的哈希结构中。同样以类别序号为1的该类系统日志规则为例，类别序号为1的该类系统日志规则包含编号为209及588的系统日志规则，将编号为209的系统日志规则与类别序号为1的该类系统日志规则对应的匹配函数建立对应关系；将编号为588的系统日志规则与类别序号为1的该类系统日志规则对应的匹配函数建立对应关系。同样的，将编号为101的系统日志规则与类别序号为3的该类系统日志规则对应的匹配函数建立对应关系等。至此，可以建立起每个系统日志规则与匹配函数的对应关系。
[0054]
以上述类别序号为1的该类系统日志规则为例，示意如下：
[0055]
％rulematchlist＝(
[0056]
rulematchcheck_209＝>\&rulematchcheck_type1,
[0057]
rulematchcheck_588＝>\&rulematchcheck_type1,
[0058]
)；
[0059]
其中，209、588为系统日志规则的编号。
[0060]
在生成每类系统日志规则对应的匹配函数，以及确定每个系统日志规则与匹配函数的对应关系后，利用perl的do语句，动态加载保存了匹配函数的匹配函数文件 rulematchcheckdynamic.pl，使得新生成的匹配函数生效，示意如下：
[0061]
do'rulematchcheckdynamic.pl'；
[0062]
进而在将系统日志与待匹配的系统日志规则进行匹配分析时，确定待匹配的系统日志规则对应的匹配函数，然后利用待匹配的系统日志规则对应的匹配函数对系统日志进行匹配分析，能够对待匹配的系统日志规则自适应，动态调整系统日志规则的匹配函数。
[0063]
鉴于待匹配的系统日志规则对应的匹配函数仅包括待匹配的系统日志规则涉及到的匹配方法，而不包括其它不相关的匹配方法，因此在匹配分析时能减少大量不必要的匹配运算，大大提高系统日志匹配分析的效率。
[0064]
在本发明实施例中，按照匹配方法对系统日志规则进行分类，将匹配方法相同的系统日志规则归为一类，进而生成每类系统日志规则对应的匹配函数。因此，在对系统日志进行匹配分析时，能够自适应地动态调整待匹配的系统日志规则对应的匹配函数，同时仅需对待匹配的系统日志规则对应的匹配函数所包含的匹配方法进行匹配即可，无需对待匹配的系统日志规则对应的匹配函数之外的其他匹配方法进行匹配，能够大大提高系统日志匹配分析的效率。
[0065]
图2示出了本发明实施例提供的系统日志分析方法中步骤101的实现流程，为便于描述，仅示出了与本发明实施例相关的部分，详述如下：
[0066]
在本发明的一实施例中，为了提高系统日志分析的灵活性，实现系统日志规则集的动态加载，如图2所示，步骤101，在满足规则加载的触发条件时，加载预先配置的系统日志规则集，包括：
[0067]
步骤201，在接收到系统的挂起信号时，动态加载预先配置的系统日志规则集。
[0068]
在本发明实施例中，规则加载的触发条件可以包括系统的挂起信号(hup信号)，即在接收到系统的hup信号后，对预先配置的系统日志规则集进行动态加载。
[0069]
在本发明实施例中，在接收到系统的挂起信号时，动态加载预先配置的系统日志规则集，能够提高系统日志分析的灵活性，实现系统日志规则集的动态加载。
[0070]
图3示出了本发明实施例提供的系统日志分析方法步骤101的另一实现流程，为便于描述，仅示出了与本发明实施例相关的部分，详述如下：
[0071]
在本发明的一实施例中，为了提高系统日志分析的灵活性，实现系统日志规则集的动态加载，如图3所示，步骤101，在满足规则加载的触发条件时，加载预先配置的系统日志规则集，包括：
[0072]
步骤301，在根据接收到的规则集配置指令对系统日志规则集进行配置后，动态加载配置后的系统日志规则集。
[0073]
在本发明实施例中，可以根据接收到的规则集配置指令对系统日志规则集进行配置，以实现对系统日志规则集的配置更新。在基于规则集配置指令对系统日志规则集进行
rulematchcheck_all的匹配函数文件rulematchcheckdynamic.pl进行备份，例如备份后的匹配函数文件可以命名为rulematchcheckdynamic_backup.pl。进而从原始匹配函数 rulematchcheck_all中删除与该类系统日志规则不相关的匹配方法，生成每类系统日志规则对应的匹配函数rulematchcheck_typex。
[0083]
同样，以上述类别序号为1的该类系统日志规则为例进行说明，在生生成类别序号为 1的该类系统日志规则对应的匹配函数rulematchcheck_type1时，从原始匹配函数 rulematchcheck_all中删除与类别序号为1的该类系统日志规则不相关的匹配方法，仅保留类别序号为1的该类系统日志规则包含的匹配方法！＝和regmatch，即可生成类别序号为 1的该类系统日志规则对应的匹配函数rulematchcheck_type1。此时，匹配函数文件 rulematchcheckdynamic.pl中的匹配函数由原始匹配函数rulematchcheck_all更新为匹配函数rulematchcheck_type1。
[0084]
鉴于系统日志规则集中包含多个系统日志规则，为了唯一标识和区分系统日志规则集中不同的系统日志规则，可以分别对系统日志规则集中的每个系统日志规则添加标识。系统日志规则集中的每个系统日志规则添加有且仅有唯一的一个标识，即系统日志规则集中不同的系统日志规则具有不同的标识。
[0085]
具体的，系统日志规则集中系统日志规则的标识可以是系统日志规则的编号，本领域技术人员可以理解的是，系统日志规则集中系统日志规则的标识还可以是除上述系统日志规则的编号之外的其它标识，只要能够唯一区分和标识系统日志规则集中不同的系统日志规则即可，本发明实施例对此不作特别的限制。
[0086]
进而，在确定每类系统日志规则对应的匹配函数时，基于每类系统日志规则中每个系统日志规则的标识与匹配函数的对应关系，确定每个系统日志规则与匹配函数的对应关系，即确定每个系统日志规则的标识与匹配函数的对应关系。
[0087]
在本发明实施例中，保留原始匹配函数中每类系统日志规则包含的匹配方法，删除其它类系统日志规则包含的匹配方法，生成并加载每类系统日志规则对应的匹配函数，然后根据每类系统日志规则对应的匹配函数，确定每类系统日志规则中每个系统日志规则的标识与匹配函数的对应关系，能够提高生成匹配函数的效率，进一步提高系统日志匹配分析的效率。
[0088]
图5示出了本发明实施例提供的系统日志分析方法步骤104的实现流程，为便于描述，仅示出了与本发明实施例相关的部分，详述如下：
[0089]
在本发明的一实施例中，为了自适应地动态调整匹配函数，进而提高系统日志匹配分析的效率，如图5所示，步骤104，利用待匹配的系统日志规则对应的匹配函数对系统日志进行匹配分析，包括：
[0090]
步骤501，根据每类系统日志规则中每个系统日志规则的标识与匹配函数的对应关系，通过待匹配的系统日志规则的标识确定待匹配的系统日志规则对应的匹配函数；
[0091]
步骤502，根据待匹配的系统日志规则对应的匹配函数对系统日志进行匹配分析。
[0092]
在确定了每个系统日志规则的标识与匹配函数的对应关系后，在将系统日志与待匹配的系统日志规则进行匹配分析时，基于待匹配的系统日志规则的编号，即可确定待匹配的系统日志规则对应的匹配函数，即基于待匹配的系统日志规则自适应的动态调整对应的匹配函数，提高系统日志匹配分析的效率。
[0093]
在确定待匹配的系统日志规则对应的匹配函数后，利用perl的do语句加载包含待待匹配的系统日志规则对应的匹配函数的匹配函数文件rulematchcheckdynamic.pl，实现对系统日志的匹配分析。
[0094]
具体的，假设待匹配的系统日志规则的编号(标识)为209，则编号为209的系统日志规则所属的系统日志规则类的类别序号为1，则类别序号为1的该类系统日志规则对应的匹配函数为rulematchcheck_type1，编号为209的系统日志规则对应的匹配函数为 rulematchcheck_type1。利用perl的do语句加载包含待编号为209的系统日志规则对应的匹配函数rulematchcheck_type1的匹配函数文件rulematchcheckdynamic.pl，即可实现利用编号为209的系统日志规则对应的匹配函数rulematchcheck_type1对系统日志的匹配分析。
[0095]
在本发明实施例中，根据每类系统日志规则中每个系统日志规则的标识与匹配函数的对应关系，通过待匹配的系统日志规则的标识确定待匹配的系统日志规则对应的匹配函数，根据待匹配的系统日志规则对应的匹配函数对系统日志进行匹配分析，能够自适应地动态调整匹配函数，进而提高系统日志匹配分析的效率。
[0096]
本发明实施例还提供一种系统日志分析装置，如下面的实施例所述。由于这些装置解决问题的原理与系统日志分析方法相似，因此这些装置的实施可以参见方法的实施，重复之处不再赘述。可以理解的是，该系统日志分析方法或系统日志分析装置可以是包括网管 syslog采集探针程序在内的系统日志采集工具的部分或全部，或该系统日志分析方法或系统日志分析装置也可以是网管syslog采集探针程序的部分或全部。
[0097]
图6示出了本发明实施例提供的系统日志分析装置的功能模块，为便于说明，仅示出了与本发明实施例相关的部分，详述如下：
[0098]
参考图6，所述系统日志分析装置所包含的各个模块用于执行图1对应实施例中的各个步骤，具体请参阅图1以及图1对应实施例中的相关描述，此处不再赘述。本发明实施例中，所述系统日志分析装置包括规则集加载模块601、规则分类模块602、匹配函数生成模块603及匹配分析模块604。
[0099]
规则集加载模块601，用于在满足规则加载的触发条件时，加载预先配置的系统日志规则集；系统日志规则集包括多个系统日志规则。
[0100]
规则分类模块602，用于按照匹配方法对系统日志规则集中的系统日志规则进行分类，将匹配方法相同的系统日志规则归为一类。
[0101]
匹配函数生成模块603，用于生成并加载每类系统日志规则对应的匹配函数，根据每类系统日志规则对应的匹配函数确定每个系统日志规则与匹配函数的对应关系；每类系统日志规则对应的匹配函数包括该类系统日志规则包含的匹配方法，不包括其它类系统日志规则包含的匹配方法。
[0102]
匹配分析模块604，用于利用待匹配的系统日志规则对应的匹配函数对系统日志进行匹配分析。
[0103]
在本发明实施例中，规则分类模块602按照匹配方法对系统日志规则进行分类，将匹配方法相同的系统日志规则归为一类，进而匹配函数生成模块603生成每类系统日志规则对应的匹配函数。因此，在匹配分析模块604对系统日志进行匹配分析时，能够自适应地动态调整待匹配的系统日志规则对应的匹配函数，同时仅需对待匹配的系统日志规则对应
的匹配函数所包含的匹配方法进行匹配即可，无需对待匹配的系统日志规则对应的匹配函数之外的其他匹配方法进行匹配，能够大大提高系统日志匹配分析的效率。
[0104]
图7示出了本发明实施例提供的系统日志分析装置中规则集加载模块601的结构示意，为便于说明，仅示出了与本发明实施例相关的部分，详述如下：
[0105]
在本发明的一实施例中，为了提高系统日志分析的灵活性，实现动态加载系统日志规则集，参考图7，所述规则集加载模块601所包含的各个单元用于执行图2对应实施例中的各个步骤，具体请参阅图2以及图2对应实施例中的相关描述，此处不再赘述。本发明实施例中，所述规则集加载模块601包括挂起加载单元701。
[0106]
挂起加载单元701，用于在接收到系统的挂起信号时，动态加载预先配置的系统日志规则集。
[0107]
在本发明实施例中，挂起加载单元701在接收到系统的挂起信号时，动态加载预先配置的系统日志规则集，能够提高系统日志分析的灵活性，实现系统日志规则集的动态加载。
[0108]
图8示出了本发明实施例提供的系统日志分析装置中规则集加载模块601的另一的结构示意，为便于说明，仅示出了与本发明实施例相关的部分，详述如下：
[0109]
在本发明的一实施例中，为了高系统日志分析的灵活性，实现动态加载系统日志规则集，参考图8，所述规则集加载模块601所包含的各个单元用于执行图3对应实施例中的各个步骤，具体请参阅图3以及图3对应实施例中的相关描述，此处不再赘述。本发明实施例中，所述规则集加载模块601包括配置加载单元801。
[0110]
配置加载单元801，用于在根据接收到的规则集配置指令对系统日志规则集进行配置后，动态加载配置后的系统日志规则集。
[0111]
在本发明实施例中，配置加载单元801在根据接收到的规则集配置指令对系统日志规则集进行配置后，动态加载配置后的系统日志规则集，能够提高系统日志分析的灵活性，实现系统日志规则集的动态加载。
[0112]
图9示出了本发明实施例提供的系统日志分析装置中匹配函数生成模块603的结构示意，为便于说明，仅示出了与本发明实施例相关的部分，详述如下：
[0113]
在本发明的一实施例中，为了提高生成匹配函数的效率，进一步提高系统日志匹配分析的效率，参考图9，所述匹配函数生成模块603所包含的各个单元用于执行图4对应实施例中的各个步骤，具体请参阅图4以及图4对应实施例中的相关描述，此处不再赘述。本发明实施例中，所述匹配函数生成模块603包括匹配函数生成单元901和对应关系确定单元902。
[0114]
匹配函数生成单元901，用于保留原始匹配函数中每类系统日志规则包含的匹配方法，删除其它类系统日志规则包含的匹配方法，生成并加载每类系统日志规则对应的匹配函数。
[0115]
对应关系确定单元902，用于根据每类系统日志规则对应的匹配函数，确定每类系统日志规则中每个系统日志规则的标识与匹配函数的对应关系。
[0116]
在本发明实施例中，匹配函数生成单元901保留原始匹配函数中每类系统日志规则包含的匹配方法，删除其它类系统日志规则包含的匹配方法，生成并加载每类系统日志规则对应的匹配函数，然后对应关系确定单元902根据每类系统日志规则对应的匹配函数，
确定每类系统日志规则中每个系统日志规则的标识与匹配函数的对应关系，能够提高生成匹配函数的效率，进一步提高系统日志匹配分析的效率。
[0117]
图10示出了本发明实施例提供的系统日志分析装置中匹配分析模块604的结构示意，为便于说明，仅示出了与本发明实施例相关的部分，详述如下：
[0118]
在本发明的一实施例中，为了自适应地动态调整匹配函数，进而提高系统日志匹配分析的效率，参考图10，所述匹配分析模块604所包含的各个单元用于执行图5对应实施例中的各个步骤，具体请参阅图5以及图5对应实施例中的相关描述，此处不再赘述。本发明实施例中，所述匹配分析模块604包括匹配函数确定模块1001和匹配分析单元1002。
[0119]
匹配函数确定模块1001，用于根据每类系统日志规则中每个系统日志规则的标识与匹配函数的对应关系，通过待匹配的系统日志规则的标识确定待匹配的系统日志规则对应的匹配函数。
[0120]
匹配分析单元1002，用于根据待匹配的系统日志规则对应的匹配函数对系统日志进行匹配分析。
[0121]
在本发明实施例中，匹配函数确定模块1001根据每类系统日志规则中每个系统日志规则的标识与匹配函数的对应关系，通过待匹配的系统日志规则的标识确定待匹配的系统日志规则对应的匹配函数，匹配分析单元1002根据待匹配的系统日志规则对应的匹配函数对系统日志进行匹配分析，能够自适应地动态调整匹配函数，进而提高系统日志匹配分析的效率。
[0122]
本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述系统日志分析方法。
[0123]
本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述系统日志分析方法的计算机程序。
[0124]
综上所述，本发明实施例中，按照匹配方法对系统日志规则进行分类，将匹配方法相同的系统日志规则归为一类，进而生成每类系统日志规则对应的匹配函数。因此，在对系统日志进行匹配分析时，能够自适应地动态调整待匹配的系统日志规则对应的匹配函数，同时仅需对待匹配的系统日志规则对应的匹配函数所包含的匹配方法进行匹配即可，无需对待匹配的系统日志规则对应的匹配函数之外的其他匹配方法进行匹配，能够大大提高系统日志匹配分析的效率。
[0125]
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0126]
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实
现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0127]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0128]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0129]
以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。