连通的采集器发送PING的反馈报文。
[0140] 由于该PING的反馈报文用于证明该网络设备和采集器是连通的,因此,反馈报文 中无需携带过多用于标识该网络设备的属性。因此,此处的PING的反馈报文可W是属性信 息中的一种属性即可。 阳141] 步骤205、连通的采集器向采集器管理器上报指示该采集器与待采集设备连通的 连通信息。
[0142] 步骤206、采集器管理器从连通的采集器获取已采集日志的网络设备的标识。 阳143] 步骤207、采集器管理器根据该网络设备的标识,确定出每个采集器的负荷率。 [0144] W-个连通的采集器为例,采集器管理器获取该采集器采集网络设备的最大容 量。采集器管理器根据网络设备的标识统计出该采集器已采集日志的网络设备的数量,将 采集器已采集日志的网络设备的数量除W采集器采集网络设备的最大容量,得到静态负荷 率。
[0145] 步骤208、采集器管理器确定出负荷率最小的采集器。 阳146] 若选出的采集器已采集日志的网络设备的数量都小于最大容量,则从中选择出负 荷率最小的采集器。若只有一个负荷率最小的采集器,则将负荷率最小的采集器作为可用 采集器;若存在多个负荷率相同且最小的采集器,则执行步骤209。 阳147] 步骤209、采集器管理器从负荷率最小的采集器中选出已采集日志的网络设备个 数最少的采集器作为可用采集器。
[0148] 示例的,若采集器1和采集器2的负荷率都为0. 78,且运两个采集器是连通的采集 器中负荷率最小的采集器,采集器1已采集日志的网络设备个数是8个,采集器2已采集日 志的网络设备个数是10个,则1〇〉8,采集器管理器将采集器1作为可用采集器。
[0149] 步骤210、采集器管理器向可用采集器发送待采集设备的属性信息。 阳150] 该属性信息是网络设备发送至采集器管理器的信息。 阳151] 步骤211、可用采集器向待采集网络设备发送日志采集指令,该日志采集器指令用 于采集指定业务类型的日志。
[0152] 具体的,可用采集器获取待采集设备的指定采集方式;根据预设的采集方式和发 送端口的对应关系,确定出指定采集方式对应的发送端口;根据预设的网络设备的业务类 型和日志格式的对应关系,确定指定业务类型对应的指定日志格式;根据预设的网络设备 的日志格式和接收端口的对应关系,确定出指定日志格式对应的接收端口。从而采集器通 过指定采集方式对应的发送端口向待采集设备发送日志采集指令,与此同时,监听指定日 志格式对应的接收端口。 阳153] 具体的,由于不同网络设备可W支持多种业务,不同业务产生的日志也不尽相同, 且日志也具有不同的格式,因此,采集器需要根据待采集设备的业务类型和日志格式来确 定接收端口,该接收端口接收待采集设备发送的日志;采集器还需要根据自身的采集方式 确定出对应的发送端口,该发送端口用于发送该指令。值得说明的是,采集方式是用户根据 网络设备、采集器所支持的协议和发送的内容预先设定。如表4包括了设备类型为USG5500 的网络设备的业务类型和日志格式的对应关系。该待采集设备的业务类型是策略命中,对 应的日志格式是SY化OG (系统日志),业务类型是IPS (Intrusion PreventionSystem,入侵 防御系统),对应的日志格式是DATAFLOW(数据流)等等。 阳154] 表4
阳156] 不同采集方式对应的发送端口不同,不同日志格式对应的接收端口也是不同的, 具体的对应关系如表5所示,采集方式对应的发送端口和日志格式对应的接收端口都是预 设的,其中,syslog对应的接收端口号是514, SNMP对应的发送端口号是161、Stelnet对 应的发送端口号是22, telnet (远程登录)对应的发送端口号是23, SFTP (Se州re File Transfer Protocol,安全文件传送协议)对应的发送端口号是22, FTP(File Transfer Protocol,文件传送协议)对应的发送端口号是21,二进制对应的接收端口号是9002等等。 阳157] 表5
[0159] 相应的,日志采集系统可W预先存储所有的日志采集指令的程序代码。当要对某 个网络设备进行采集日志时,从存储的指令库中调用该指令的程序代码,日志采集指令的 程序代码如下所示:
[0160] <sysname〉system_view
[0161] <sysname>info-center enable
[0162] [sysname]info-center source default channel 21og level informational 阳 16引 [sysname]info-center Io曲ost 192.168.I.I
[0164] [sysname]info-center Ioghost source GigabitEthernet 0/0/2
[0165] [sysname]firewall log stream enable 阳 166] [sysname]firewall log host I 192. 168. I. I 9002(c)// 日志采集 阳167] 步骤212、网络设备根据日志采集指令向可用采集器发送指定业务类型的日志。
[0168] 当采集器监听到接收端口有日志发送过来,接收该日志,该日志为指定业务类型 的日志。
[0169] 相较于现有技术,无需工作人员一个个检测采集器来确定出适合采集新接入的网 络设备日志的采集器,而是能够在新接入网络设备接入之后,自动确定出有新接入的网络 设备接入,再自动确定出连通的至少一个采集器,从中选择出一个可用采集器与新接入的 网络设备关联。因此,能够无需工作人员参与,自动为新接入的网络设备选择出一个可用采 集器,使得采集器与新接入的网络设备相关联,达到了采集器与网络设备自动关联的目的, 相应的,也就解决了人工操作效率低的问题。 阳170] 实施例S 阳171] 本发明实施例提供一种采集器管理器30,如图3所示,可W包括:
[0172] 确定网络设备单元301,用于确定新接入的网络设备。 阳173] 确定采集器单元302,用于确定出与所述网络设备连通的至少一个采集器。
[0174] 选择单元303,用于从所述至少一个采集器中选择一个采集器作为可用采集器,W 使得所述可用采集器和所述网络设备关联。
[01巧]相较于现有技术,无需工作人员一个个检测采集器来确定出适合采集新接入的网 络设备日志的采集器,而是能够在新接入网络设备接入之后,自动确定出有新接入的网络 设备接入,再自动确定出连通的至少一个采集器,从中选择出一个可用采集器与新接入的 网络设备关联。因此,能够无需工作人员参与,自动为新接入的网络设备选择出一个可用采 集器,使得采集器与新接入的网络设备相关联,达到了采集器与网络设备自动关联的目的, 相应的,也就解决了人工操作效率低的问题。
[0176] 进一步的,所述确定网络设备单元301具体用于:
[0177] 接收所述网络设备发送的用户数据报协议UDP报文,所述UDP报文携带有所述网 络设备的属性信息; 阳17引 或,
[0179] 导入所述网络设备的设备列表,所述设备列表包括所述网络设备的属性信息; 阳180] 或, 阳1W] 向所述网络设备发送因特网包探索器PING报文或者简单网络管理协议SNMP密 钥,接收所述网络设备发送的反馈信息,所述反馈信息包括所述网络设备的属性信息。 阳182] 进一步的,如图4所示,所述选择单元303可W包括: 阳183] 获取属性子单元3031,用于获取所述至少一个采集器已采集日志的网络设备的属 性信息。
[0184] 确定负荷率子单元3032,用于根据每个采集器已采集日志的网络设备的属性信 息,确定出每个采集器的负荷率。 阳化日]确定子单元3033,用于确定出负荷率最小的采集器。 阳186] 选择子单元3034,用于从所述负荷率最小的采集器中选择出已采集日志的网络设 备个数最少的采集器。 阳187] 由于应用场景不同,负荷率可W分为多种,示例的,静态负荷率、动态负荷率。
[0188] 可选的,当所述采集器的负荷率为静态负荷率,所述属性信息包括网络设备的标 识时,所述确定负荷率子单元3032具体用于: 阳189] 根据所述采集器已采集日志网络设备的标识,计算所述采集器已采集日志的网络 设备的数量;
[0190] 获取所述采集器采集网络设备的最大容量; 阳191] 将所述采集器已采集日志的网络设备的数量除W所述采集器采集网络设备的最 大容量,得到静态负荷率。 阳192] 可选的,当所述采集器的负荷率为动态负荷率,所述属性信息包括设备类型时,所 述确定负荷率子单元303具体用于:
[0193] 根据预设的设备类型和业务种类的对应关系,获取所述采集器已采集日志的网络 设备的设备类型对应的业务种类作为第一业务种类;
[0194] 获取所述采集器的设备类型;
[0195] 根据所述设备类型和支持业务的种类的对应关系,获取所述采集器的设备类型对 应的业务种类作为第二业务种类; 阳196] 获取所述采集器的平均收包率和收包率性能基线;
[0197] 将所述第一业务种类的数量除W所述第二业务种类的数量,得到所述采集器已采 集日志的网络设备的业务复杂度;
[0198] 根据所述采集器已采集日志的网络设备的业务复杂度、所述采集器的平均收包率 和收包率性能基线,计算出动态负荷率,所述动态负荷率满足W下公式;
阳199] 其中,所述R表示动态负荷率,所述表示所述采集器已采集的第i个网络设备 的业务复杂度,所述^戸.表示所述采集器的平均收包率,所述¥。1。表示所述采集器收包率性 能基线,所述i是正整数。 悦00] 实施例四 阳201] 本发明实施例提供一种采集器40,可W包括: 阳202] 连通单元401,用于与新接入的网络设备连通。 阳203] 发送单元402,用于与所述网络设备连通后,将所述采集器与所述网络设备连通的 信息发送给采集器管理器。 阳204] 接收单元403,用于接收所述采集器管理器发送的选择所述采集器作为可用采集 器的信息。 阳205] 关联单元404,用于与所述网络设备关联。 阳206] 相较于现有技术,无需工作人员一个个检测采集器来确定出适合采集新接入的网 络设备日志的采集器,而是能够在新接入网络设备接入之后,自动确定出有新接入的网络 设备接入,再自动确定出连通的至少一个采集器,从中选择出一个可用采集器与新接入的 网络设备关联。因此,能够无需工作人员参与,自动为新接入的网络设备选择出一个可用采 集器,使得采集器与新接入的网络设备相关联,达到了采集器与网络设备自动关联的目的, 相应的,也就解决了人工操作效率低的问题。 阳207] 进一步的,如图6所示,所述关联单元404具体包括: 阳20引第一接收子单元4041,用于接收所述采集器管理器发送的所述网络设备的属性信 息。 阳209] 发送子单元4042,用于向所述网络设备发送日志采集指令,所述日志采集指令指 示所述网络设备采集指定业务类型的日志。
[0210] 第二接收子单元4043,用于接收所述网络设备发送的所述指定业务类型的日志。 阳211] 进一步的,如图7所示