統(tǒng)消息與收集器中預(yù)存的與發(fā)送此系統(tǒng)消息的傳感器 所對(duì)應(yīng)的規(guī)則文件進(jìn)行匹配,匹配結(jié)果包括匹配成功和匹配失敗����,如匹配成功進(jìn)行進(jìn)一步 的歸一化處理,如匹配失敗��,即���,收集器中預(yù)存的規(guī)則文件中�����,沒(méi)有與之對(duì)應(yīng)的規(guī)則條目����,可 能是一個(gè)沒(méi)有被規(guī)則文件預(yù)先定義的系統(tǒng)消息���,也可能是一個(gè)傳感器發(fā)送的錯(cuò)誤代碼信 息����。
[0065] S204,判斷和預(yù)存的與其他傳感器對(duì)應(yīng)的規(guī)則文件是否匹配,如是����,跳至步驟 S206,如否,接步驟205���。
[0066] 具體的��,當(dāng)收集器將系統(tǒng)消息與收集器中預(yù)存的與發(fā)送此系統(tǒng)消息的傳感器所對(duì) 應(yīng)的規(guī)則文件進(jìn)行匹配���,匹配失敗后,收集器將系統(tǒng)消息進(jìn)一步與預(yù)存的其他傳感器對(duì)應(yīng) 的規(guī)則文件進(jìn)行匹配���,進(jìn)而提高系統(tǒng)消息匹配成功率�����。
[0067] S205,放入不匹配系統(tǒng)消息記錄。
[0068]具體的����,如系統(tǒng)消息與預(yù)存的其他傳感器對(duì)應(yīng)的規(guī)則文件匹配也不成功時(shí),收集 器將此系統(tǒng)消息放入不匹配系統(tǒng)消息記錄中���,以便后續(xù)進(jìn)行相應(yīng)規(guī)則文件的完善��,或者用 于發(fā)現(xiàn)傳感器的隱藏故障等�����。
[0069] S206����,進(jìn)行歸一化處理生成歸一化消息。
[0070] 具體的����,當(dāng)系統(tǒng)消息與規(guī)則文件匹配成功時(shí),收集器將系統(tǒng)消息進(jìn)行進(jìn)一步的歸 一化處理��。
[0071] 可以理解的是�����,所述的匹配成功進(jìn)行處理�,包括匹配成功,進(jìn)一步進(jìn)行歸一化處理 生成歸一化消息�����,還包括匹配成功,此系統(tǒng)消息不需要進(jìn)一步處理�,可以丟棄。
[0072] 歸一化消息的生成同第一實(shí)施例的步驟S103,不再詳述�。
[0073] 優(yōu)選的,對(duì)系統(tǒng)消息進(jìn)行規(guī)則文件匹配時(shí)��,根據(jù)系統(tǒng)消息內(nèi)事件的級(jí)別���,事件類型 和事件的具體內(nèi)容���,對(duì)不同的規(guī)則條目進(jìn)行不同級(jí)別的劃分,以便對(duì)規(guī)則文件進(jìn)行更好的 管理���。
[0074]舉例說(shuō)明�����,本發(fā)明提供使用class(類別)�,subclass(子類別)�����,fami ly(特性)三個(gè) 事件級(jí)別屬性代表歸一化事件的三級(jí)分類����,系統(tǒng)消息與規(guī)則條目進(jìn)行逐級(jí)匹配,方便進(jìn)一 步的監(jiān)控和管理�����。
[0075]優(yōu)選的����,本發(fā)明還提供對(duì)系統(tǒng)消息中不同的時(shí)間格式進(jìn)行歸一化處理的方法,在 系統(tǒng)消息中���,事件格式包括數(shù)字格式和字符串格式����,其中數(shù)字格式的時(shí)間包括:毫秒形式時(shí) 間��,秒形式時(shí)間���,負(fù)數(shù)格式時(shí)間����,字符串格式的時(shí)間包括:年月日,月日年���,另外��,也包括數(shù)字 或字符串格式的縮寫形式�,在進(jìn)行系統(tǒng)消息歸一化處理的過(guò)程中����,需要對(duì)不同的時(shí)間格式 進(jìn)行歸一化處理為一種統(tǒng)一的時(shí)間格式。
[0076] S207,判斷是否滿足合并條件��。
[0077] 具體的����,收集器生成歸一化消息后,本發(fā)明還提供合并歸一化消息的功能����。由于系 統(tǒng)消息由不同的事件觸發(fā),相同事件在一定時(shí)間范圍內(nèi)發(fā)生���,導(dǎo)致相同的歸一化消息頻繁 產(chǎn)生����,如果不進(jìn)行進(jìn)一步的合并處理,會(huì)導(dǎo)致局域網(wǎng)內(nèi)網(wǎng)絡(luò)資源的浪費(fèi)�����,也不利于問(wèn)題的分 析和監(jiān)控管理的需要��。
[0078] 可以理解的是���,合并歸一化消息需要設(shè)定一定的時(shí)間范圍,超出預(yù)設(shè)時(shí)間范圍內(nèi) 的歸一化消息沒(méi)有合并的價(jià)值��,可以通過(guò)預(yù)設(shè)一定的時(shí)間范圍�,將在此時(shí)間范圍內(nèi)滿足合 并條件的歸一化消息進(jìn)行合并,本發(fā)明還提供的一種更優(yōu)選的方法是��,在收集器生成了歸 一化消息并且進(jìn)行輸出后�,會(huì)將發(fā)送的歸一化消息進(jìn)行緩存,在一定的時(shí)間段內(nèi)��,如120秒 內(nèi)�,新產(chǎn)生的歸一化消息會(huì)首先與已經(jīng)發(fā)送的歸一化消息進(jìn)行比較,如滿足一定的合并條 件��,則等待下一條相同歸一化消息的產(chǎn)生并進(jìn)行合并��。
[0079] 本發(fā)明提供的合并的條件為,包括至少一個(gè)歸一化屬性����,如包括自定義事件類型, 傳感器類型��,傳感器IP�,源IP和目的IP,當(dāng)所述的五個(gè)歸一化屬性均相同時(shí)��,收集器將兩個(gè) 歸一化消息進(jìn)行合并���。
[0080] S208,合并處理生成合并消息��。
[0081] 具體的��,將進(jìn)行合并的第一個(gè)歸一化消息中的事件發(fā)生時(shí)間確定為合并消息中的 事件發(fā)生時(shí)間����,
[0082] 將進(jìn)行合并的最后一個(gè)歸一化消息中的事件結(jié)束時(shí)間確定為合并消息中的事件 結(jié)束時(shí)間�����,
[0083] 將合并的所有歸一化消息中的事件發(fā)生次數(shù)相加得到的和確定為合并消息中的 事件發(fā)生次數(shù)�。
[0084] 合并相同的歸一化消息����,大大減少了收集器需要輸出的歸一化消息的個(gè)數(shù)��。
[0085] S209��,輸出歸一化消息或合并消息�����。
[0086]具體的����,收集器按照預(yù)設(shè)的一定的輸出規(guī)則輸出歸一化消息或合并消息���,進(jìn)行后 續(xù)的處理和顯示��,此處不再詳述����。
[0087]本實(shí)施例所提供的系統(tǒng)消息的處理方法�,在第一實(shí)施例的基礎(chǔ)上,進(jìn)一步提供了 統(tǒng)一系統(tǒng)消息的字符編碼���,以及將歸一化消息進(jìn)行合并的功能�,使得系統(tǒng)消息的管理更加 規(guī)范和完善,提高了網(wǎng)絡(luò)資源利用率����,并方便后續(xù)的進(jìn)一步監(jiān)控和管理。
[0088]圖3為本發(fā)明提供的應(yīng)用于第二實(shí)施例的收集器的結(jié)構(gòu)示意圖����,圖3所示的本發(fā)明 提供的應(yīng)用于第二實(shí)施例的收集器包括:
[0089]接收模塊301,用于接收傳感器發(fā)送的系統(tǒng)消息���。
[0090] 編碼統(tǒng)一模塊302,用于將具有不同的字符編碼方式的系統(tǒng)消息轉(zhuǎn)換為具有統(tǒng)一 的字符編碼方式的系統(tǒng)消息�����。
[0091] 匹配模塊303,用于將所述系統(tǒng)消息和與預(yù)存的與所述傳感器一一對(duì)應(yīng)的規(guī)則文 件進(jìn)行匹配�����,所述規(guī)則文件包括至少一個(gè)規(guī)則條目����,所述規(guī)則條目為系統(tǒng)消息與相應(yīng)的處 理規(guī)則之間的對(duì)應(yīng)關(guān)系,具體用于在匹配成功的系統(tǒng)消息中直接提取的提取屬性���,和收集 器根據(jù)所述匹配成功的系統(tǒng)消息進(jìn)行回填的回填屬性��,所述系統(tǒng)消息為傳感器根據(jù)不同的 系統(tǒng)事件生成的自定義的事件記錄消息�,所述提取屬性包括:帳號(hào)�����,源IP��,源端口��,目的IP�����, 目的端口��,協(xié)議類型��,事件發(fā)生時(shí)間�,事件結(jié)束時(shí)間�����,事件發(fā)生次數(shù),事件摘要��,訪問(wèn)的網(wǎng)站��, 訪問(wèn)的DNS����,整形保留屬性,字符串類型保留屬性�,所述回填屬性包括:歸一化事件級(jí)別,客 戶ID�,自定義事件ID,自定義事件類型���,傳感器ID����,傳感器IP����,傳感器掩碼,傳感器類型���,收集 器ID�����,收集器IP����,系統(tǒng)消息接收時(shí)間,原始日志���。具體用于根據(jù)匹配成功的系統(tǒng)消息中自定 義的事件類型和預(yù)設(shè)的歸一化事件級(jí)別對(duì)應(yīng)關(guān)系���,確定歸一化事件級(jí)別,所述預(yù)設(shè)的歸一 化事件級(jí)別對(duì)應(yīng)關(guān)系�����,為匹配成功的系統(tǒng)消息中的自定義的事件類型和歸一化事件級(jí)別之 間一一對(duì)應(yīng)的關(guān)系��。具體用于當(dāng)收集器接收到的系統(tǒng)消息與預(yù)存的與所述傳感器一一對(duì)應(yīng) 的規(guī)則文件不匹配時(shí)��,收集器將接收到的系統(tǒng)消息與預(yù)存的其他傳感器對(duì)應(yīng)的規(guī)則文件進(jìn) 行匹配����。
[0092]歸一化模塊304,用于將匹配的系統(tǒng)消息進(jìn)行歸一化處理,生成與所述系統(tǒng)消息一 一對(duì)應(yīng)的歸一化消息����,所述歸一化消息為具有統(tǒng)一的歸一化屬性的事件記錄。
[0093]合并模塊305,用于在預(yù)設(shè)時(shí)間范圍內(nèi)將具有至少一個(gè)歸一化屬性內(nèi)容相同的多 個(gè)歸一化消息合并�����,生成合并消息��,所述合并消息為與歸一化消息具有統(tǒng)一的歸一化屬性 的事件記錄�����,所述合并消息為與歸一化消息具有統(tǒng)一的歸一化屬性的記錄����。具體用于所述 至少一個(gè)歸一化屬性包括自定義事件類型,傳感器類型�,傳感器IP,源IP和目的IP��,所述合 并生成合并消息包括:將進(jìn)行合并的第一個(gè)歸一化消息中的事件發(fā)生時(shí)間確定為合并消息 中的事件發(fā)生時(shí)間�����,將進(jìn)行合并的最后一個(gè)歸一化消息中的事件結(jié)束時(shí)間確定為合并消息 中的事件結(jié)束時(shí)間,將合并的所有歸一化消息中的事件發(fā)生次數(shù)相加得到的和確定為合并 消息中的事件發(fā)生次數(shù)��。
[0094]輸出模塊306,具體用于輸出所述歸一化消息和合并消息�����。
[0095]本實(shí)施例所提供的收集器����,能夠?qū)⒕钟蚓W(wǎng)中不同設(shè)備發(fā)送的系統(tǒng)消息,按照預(yù)設(shè) 的規(guī)則進(jìn)行匹配�����,并生成具有統(tǒng)一的歸一化屬性的歸一化消息�����,還提供統(tǒng)一系統(tǒng)消息的字 符編碼����,以及將歸一化消息進(jìn)行合并的功能���,實(shí)現(xiàn)了不同設(shè)備間����,不同生產(chǎn)廠商間的系統(tǒng)消 息的集中監(jiān)控和管理,使得系統(tǒng)消息的管理更加規(guī)范和完善����,提高了網(wǎng)絡(luò)資源利用率,并方 便后續(xù)的進(jìn)一步監(jiān)控和管理�。
[0096]在本申請(qǐng)所提供的實(shí)施例中,應(yīng)該理解到�,所揭露的