源IP和目的IP��,
[0030] 所述合并生成合并消息包括:將進行合并的第一個歸一化消息中的事件發(fā)生時間 確定為合并消息中的事件發(fā)生時間,將進行合并的最后一個歸一化消息中的事件結(jié)束時間 確定為合并消息中的事件結(jié)束時間��,將合并的所有歸一化消息中的事件發(fā)生次數(shù)相加得到 的和確定為合并消息中的事件發(fā)生次數(shù)����。
[0031] 本發(fā)明所提供的收集器,能夠接收局域網(wǎng)中不同設(shè)備發(fā)送的系統(tǒng)消息�����,將系統(tǒng)消 息按照預(yù)設(shè)的處理規(guī)則進行匹配���,匹配成功的需要進一步處理的系統(tǒng)消息����,收集器按照統(tǒng) 一的歸一化消息的屬性要求����,提取系統(tǒng)消息中的相應(yīng)屬性����,并回填部分屬性�����,生成與所述系 統(tǒng)消息一一對應(yīng)的歸一化消息����,輸出所述歸一化消息后,局域網(wǎng)便可以通過管理這些具有 統(tǒng)一屬性的歸一化消息����,實現(xiàn)對系統(tǒng)消息的統(tǒng)一管理。本發(fā)明所提供的收集器還具有字符 轉(zhuǎn)換和合并發(fā)送的功能模塊�,所述字符轉(zhuǎn)換功能將采用不同字符編碼方式的系統(tǒng)消息在進 行規(guī)則匹配前統(tǒng)一轉(zhuǎn)換為相同的字符編碼方式,便于進一步的后續(xù)處理����,所述的合并功能, 能夠?qū)⑾嗤录|發(fā)的系統(tǒng)消息進行合并后發(fā)送��,節(jié)省了網(wǎng)絡(luò)資源的同時����,也方便了后續(xù) 的監(jiān)控管理工作����。
【附圖說明】
[0032]為了更清楚的說明本發(fā)明實施例中的技術(shù)方案��,下面將對實施例描述中所需要使 用的附圖做簡單地介紹�����,顯而易見地�,下面描述中的附圖是本發(fā)明的一些實施例��,對于本領(lǐng) 域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下����,還可以根據(jù)這些附圖獲得其他附圖。
[0033]圖1為本發(fā)明提供的系統(tǒng)消息處理方法第一實施例的流程示意圖�;
[0034] 圖2為本發(fā)明提供的系統(tǒng)消息處理方法第二實施例的流程示意圖;
[0035] 圖3為本發(fā)明提供的應(yīng)用于第二實施例的收集器的結(jié)構(gòu)示意圖��。
【具體實施方式】
[0036] 為使本領(lǐng)域技術(shù)人員更好地理解本發(fā)明的技術(shù)方案,下面結(jié)合附圖和實施例對本 發(fā)明作進一步詳細(xì)描述����。顯然,所描述的實施例是本發(fā)明一部分實施例��,而不是全部的實施 例���?����;诒景l(fā)明中的實施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的 所有其他實施例����,都屬于本發(fā)明保護的范圍��。
[0037]在局域網(wǎng)中�,需要進行管理的設(shè)備,包括交換機�����,路由器,防火墻���,服務(wù)器等設(shè)備�����, 均能夠發(fā)送系統(tǒng)消息���,為更好的說明本發(fā)明的方法,將發(fā)送系統(tǒng)消息的設(shè)備統(tǒng)稱為傳感器��, 而本發(fā)明提供的系統(tǒng)消息處理方法�,應(yīng)用于對這些系統(tǒng)消息進行管理的設(shè)備,統(tǒng)稱為收集 器����,一個局域網(wǎng)中包括多個傳感器���,并根據(jù)需要�����,設(shè)置一個或多個收集器�,一個收集器連接 多個傳感器,收集器負(fù)責(zé)接收傳感器發(fā)送的系統(tǒng)消息����,對系統(tǒng)消息規(guī)則匹配和歸一化處理 后輸出。
[0038]本領(lǐng)域技術(shù)人員很容易理解的是��,根據(jù)局域網(wǎng)的實際配置情況或管理的需求�,收 集器輸出的歸一化消息,可以由收集器負(fù)責(zé)顯示或連接至其他系統(tǒng)進行管理��,也可以在收 集器之上再設(shè)置一個代理中心�,用于綜合管理局域網(wǎng)中多個收集器輸出的歸一化消息,使 系統(tǒng)消息的管理更加集中化�����,本發(fā)明不再對此設(shè)置進行詳述�。
[0039] 圖1為本發(fā)明提供的系統(tǒng)消息處理方法第一實施例的流程示意圖,圖1所示的系統(tǒng) 消息處理方法第一實施例的流程包括:
[0040] 步驟S101����,收集器接收傳感器發(fā)送的系統(tǒng)消息。
[0041] 具體的���,在一個局域網(wǎng)中�����,一個收集器連接多個傳感器����,收集器接收到的系統(tǒng)消息 記錄了發(fā)送此系統(tǒng)消息的傳感器的所有事件信息。
[0042]步驟S102,收集器將所述系統(tǒng)消息和與預(yù)存的與所述傳感器一一對應(yīng)的規(guī)則文件 進行匹配����。
[0043]在傳感器發(fā)送的系統(tǒng)消息中,有些系統(tǒng)消息記錄的事件是集中管理及監(jiān)控需要 的���,有些系統(tǒng)消息記錄的事件則是不需要的����,收集器首先將需要的系統(tǒng)消息篩選出來�����,不需 要的系統(tǒng)消息進行丟棄���,其中,丟棄系統(tǒng)消息包括按照傳感器的IP地址進行篩選后將某傳 感器的的系統(tǒng)消息全部丟棄��,和按照一定的規(guī)則進行匹配后,將不需要進行后續(xù)分析整理 的系統(tǒng)消息進行丟棄�����。
[0044]在收集器中�����,預(yù)存有與收集器相連的各個傳感器一一對應(yīng)的規(guī)則文件���,每個所述 規(guī)則文件包括至少一個規(guī)則條目�,所述規(guī)則條目為系統(tǒng)消息與相應(yīng)的處理規(guī)則之間的對應(yīng) 關(guān)系�,即,每個傳感器發(fā)送出來的系統(tǒng)消息�,根據(jù)預(yù)先設(shè)置好的處理規(guī)則進行篩選,有用的 系統(tǒng)消息需要進行進一步歸一化處理�����,而一些管理員進行配置類的系統(tǒng)消息在局域網(wǎng)監(jiān)控 中可能不需要�����,則此類的系統(tǒng)消息需要進行丟棄處理���。
[0045]步驟S103,收集器將匹配的系統(tǒng)消息進行歸一化處理�,生成與所述系統(tǒng)消息一一 對應(yīng)的歸一化消息。
[0046]具體的�����,收集器將匹配成功需要進一步處理的系統(tǒng)消息�����,進行進一步的歸一化處 理�����,按照全網(wǎng)統(tǒng)一的歸一化消息的屬性要求��,生成具有統(tǒng)一的歸一化屬性的事件記錄�����。
[0047]所述歸一化屬性包括收集器在匹配成功的系統(tǒng)消息中直接提取的提取屬性��,和收 集器根據(jù)所述匹配成功的系統(tǒng)消息進行回填的回填屬性�����,其中����,所述提取屬性包括:帳號, 源IP����,源端口,目的IP�����,目的端口����,協(xié)議類型,事件發(fā)生時間���,事件結(jié)束時間�����,事件發(fā)生次數(shù)�, 事件摘要����,訪問的網(wǎng)站�����,訪問的DNS�,整形保留屬性��,字符串類型保留屬性�����,所述回填屬性包 括:歸一化事件級別�,客戶ID,自定義事件ID���,自定義事件類型�,傳感器ID���,傳感器IP�����,傳感器 掩碼��,傳感器類型�����,收集器ID��,收集器IP�����,系統(tǒng)消息接收時間���,原始日志。
[0048]以上屬性中�����,客戶ID用于根據(jù)需要上報給不同的系統(tǒng)時����,用于區(qū)分事件歸屬的信 息屬性,自定義事件類型為收集器自定義的歸一化消息的事件類型�����,自定義事件ID為收集 器自定義的事件ID。
[0049] 歸一化事件級別為根據(jù)匹配成功的系統(tǒng)消息中自定義的事件類型和預(yù)設(shè)的歸一 化事件級別對應(yīng)關(guān)系��,確定歸一化事件級別�,所述預(yù)設(shè)的歸一化事件級別對應(yīng)關(guān)系,為匹配 成功的系統(tǒng)消息中的自定義的事件類型和歸一化事件級別之間一一對應(yīng)的關(guān)系���。
[0050] 本發(fā)明所提供的系統(tǒng)消息的處理方法�,在對系統(tǒng)消息進行歸一化處理的同時��,對 遵循不同企業(yè)標(biāo)準(zhǔn)的系統(tǒng)消息��,也進行系統(tǒng)消息級別的統(tǒng)一���,方便管理�,本發(fā)明提供的系統(tǒng) 消息級別的統(tǒng)一格式如下:
[0052]舉例來說�����,Sysl〇g�����,SNMP Trap消息級別與歸一化后系統(tǒng)消息級別對應(yīng)關(guān)系如下:
[0054] 對于沒有采用統(tǒng)一消息級別的廠家自定義的系統(tǒng)消息,根據(jù)具體消息級別情況�, 進行級別映射,轉(zhuǎn)換成1~5級�,參照上述消息級別進行對應(yīng)。
[0055] 步驟S104��,收集器輸出所述歸一化消息���。
[0056] 具體的,收集器根據(jù)相應(yīng)的規(guī)則輸出所述歸一化消息�,如按照時間順序輸出,或根 據(jù)歸一化消息的事件級別分類輸出等����,不再詳述。
[0057] 本實施例所提供的系統(tǒng)消息處理方法���,能夠?qū)⒕钟蚓W(wǎng)中不同設(shè)備發(fā)送的系統(tǒng)消 息�,按照預(yù)設(shè)的規(guī)則進行匹配�,篩選出需要進一步處理的系統(tǒng)消息進行歸一化的處理,生成 具有統(tǒng)一的歸一化屬性的歸一化消息�,并對系統(tǒng)消息的級別進行了歸一化處理,實現(xiàn)了不 同設(shè)備間�,不同生產(chǎn)廠商間的系統(tǒng)消息的集中監(jiān)控和管理�。
[0058]圖2為本發(fā)明提供的系統(tǒng)消息處理方法第二實施例的流程示意圖�����,如圖2所示的本 發(fā)明提供的系統(tǒng)消息處理方法第二實施例包括如下步驟:
[0059] S201�,接收傳感器發(fā)送的系統(tǒng)消息。
[0060]同第一實施例的步驟S101����。
[00611 S202,統(tǒng)一系統(tǒng)消息的字符編碼。
[0062] 具體的����,由于系統(tǒng)消息來自不同的傳感器,其使用的字符編碼方式也互不相同��,包 括UTF-8��,GB2312��,GBK等����,本發(fā)明將系統(tǒng)消息統(tǒng)一為一種字符編碼方式以使后續(xù)的規(guī)則文件 的匹配和規(guī)劃化的處理的過程更加規(guī)范。
[0063] S203,判斷和預(yù)存的與所述傳感器對應(yīng)的規(guī)則文件是否匹配���,如是�����,跳至步驟 S206,如否����,接步驟S204。
[0064] 具體的�,收集器將收到的系