一种审计日志配置和解析方法、存储介质及处理器与流程

1.本发明属于审计日志技术领域，具体涉及一种审计日志配置和解析方法、存储介质及处理器。


背景技术：

2.随着网路和计算机技术的快速发展，企业和组织在it信息安全领域面临比以往更为复杂的局面。当今的组织和企业更注重网路环境和工作环境的信息安全，安全防火墙、抗ddos等安全防护的出现，网路和办公环境加大了防护力度，需要对输出的安全警告和危险日志进行审计和本地化的处理，全面的安全防护，更需要完善的日志审计，才能更高效的发现处理危险和警告。
3.随着日志种类的不断增多，审计平台需要不断的增加对需要审计的日志的格式，现有技术中在日志审计过程中，在遇到新的日志时，需要开发新的接口，导致工作量大，不够灵活。


技术实现要素：

4.本发明的目的在于提供一种审计日志配置和解析方法、存储介质及处理器，解决现有技术中随着日志种类的不断增多，审计平台需要不断的增加对需要审计的日志的格式，导致工作量大，不够灵活的技术问题。
5.为了解决上述技术问题，本发明采用技术方案实现：一种审计日志配置和解析方法，包括如下步骤：s1：创建日志本地化配置文件，添加配置文件中不同平台的用于本地化与日志字段的对应关系，以及日志每种日志对应的解析方式，以json格式存储；s2：进程启动时加载配置文件，通过socket的方式接受各平台日志，获取日志服务器的ip，收到日志后以遍历的方式从配置文件中获取space字段，对日志解析，提取各个字段，通过解析匹配配置文件中的字段，获取对应的解析列表，日志解析成功后发送到审计平台，由于是本地化后的日志，审计平台不用做二次开发。
6.采用本发明所述的审计日志配置和解析方法，可以增加审计平台的灵活性，不用在遇到新的日志时，开发新的接口。
7.进一步改进，所述步骤s1中，以key:value格式配置的基础设置包括：日志接收端口、自动匹配开关、socket缓存大小和日志服务器的ip的删除周期；当某个日志服务器ip长期未发送日志，则会删除自动添加的该ip字段；以在list中添加key:value的方式添加space指定日志的解析方式，ip未匹配默认从0开始；以及按照审计日志的字段顺序，添加需要换的本地化字段，根据单个字段类型设置，设置字段格式，增加容错率；在list中可以根据不同平台，添加不同的sapce字段，以及解析字段，ip字段依次递增。
8.进一步改进，如果需要本地化，以key:value的形式配置对应的本地化；如果审计平台有对应的解析，无需本地化，根据审计平台与日志字段的对应关系进行配置。
9.进一步改进，所述步骤s2中，将通过socket接口获取的日志服务器ip写入到配置文件中，后续收到的日志首先会通过日志服务器ip确定解析的字段块，然后直接解析并本地化日志，并判断日志服务器ip和对应的日志格式是否发生变化。
10.进一步改进，进程启动时加载配置，根据配置文件中的基础配置，设置进程的基础参数；读取日志解析的部分，生成树结构，把日志服务器ip转成数值做为节点，对应的日志块挂在节点上；方便后续以ip查找解析字段，提高效率。
11.收到日志后，首先查询节点获取ip，如果和发送端ip对应则直接解析，如果space解析失败，字段顺序、字段类型不匹配，则删除此节点；如果没有查询到对应ip，遍历树节点，根据space字段解析，并根据字段类型和解析后的日志判断是否匹配，如果匹配，把此ip加入到配置文件中，并更新树，把ip和对应的解析字段挂到树上。日志解析成功后发送到审计平台。
12.一种计算机可读存储介质，所述计算机可读存储介质包括存储的程序，其中，在程序运行时控制所述计算机可读存储介质所在设备执行上述的审计日志配置和解析。
13.一种审计日志配置和解析的处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述的审计日志配置和解析的方法。
14.与现有技术相比，本发明技术方案具有如下有益效果： 采用本发明所述的审计日志配置和解析方法，可以增加审计平台的灵活性，不用在遇到新的日志时，开发新的接口。
附图说明
15.图1为本发明所述的审计日志配置和解析方法的示意图；图2为本发明所述的审计日志配置和解析方法的流程图。
具体实施方式
16.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。
17.实施例一：如图1、2所示，一种审计日志配置和解析方法，包括如下步骤：s1：创建日志本地化配置文件，添加配置文件中不同平台的用于本地化与日志字段的对应关系，以及日志每种日志对应的解析方式，以json格式存储。
18.以key:value格式配置的基础设置包括：日志接收端口、自动匹配开关、socket缓存大小和日志服务器的ip的删除周期；当某个日志服务器ip长期未发送日志，则会删除自动添加的该ip字段；以在list中添加key:value的方式添加space指定日志的解析方式，ip未匹配默认从0开始；当ip字段的值不是“xxx.xxx.xxx.xxx”格式时，不会根据周期删除ip字段。以及按照审计日志的字段顺序，添加需要换的本地化字段，根据单个字段类型设置，设置字段格式，增加容错率；在list中可以根据不同平台，添加不同的sapce字段，以及解析字段，ip字段依次递增。
19.在本实施例中，如果需要本地化，以key:value的形式配置对应的本地化；如果审计平台有对应的解析，无需本地化，根据审计平台与日志字段的对应关系进行配置。
20.s2：进程启动时加载配置文件，通过socket的方式接受各平台日志，获取日志服务
器的ip，收到日志后以遍历的方式从配置文件中获取space字段，对日志解析，提取各个字段，通过解析匹配配置文件中的字段，获取对应的解析列表，日志解析成功后发送到审计平台。
21.在本实施例中，进程启动时加载配置，根据配置文件中的基础配置，设置进程的基础参数；读取日志解析的部分，生成树结构，把日志服务器ip转成数值做为节点，对应的日志块挂在节点上；方便后续以ip查找解析字段，提高效率。
22.收到日志后，首先查询节点获取ip，如果和发送端ip对应则直接解析，如果space解析失败，字段顺序、字段类型不匹配，则删除此节点；如果没有查询到对应ip，遍历树节点，根据space字段解析，并根据字段类型和解析后的日志判断是否匹配，如果匹配，把此ip加入到配置文件中，并更新树，把ip和对应的解析字段挂到树上。日志解析成功后发送到审计平台。
23.采用本发明所述的审计日志配置和解析方法，可以增加审计平台的灵活性，不用在遇到新的日志时，开发新的接口。
24.实施例二：一种计算机可读存储介质，所述计算机可读存储介质包括存储的程序，其中，在程序运行时控制所述计算机可读存储介质所在设备执行上述的审计日志配置和解析。
25.实施例三：一种审计日志配置和解析的处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述的审计日志配置和解析的方法。
26.上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。