系統日誌的處理方法和系統日誌的處理平臺的製作方法

2023-07-27 19:23:01

系統日誌的處理方法和系統日誌的處理平臺的製作方法
【專利摘要】本發明公開了一種系統日誌的處理方法和系統日誌的處理平臺。本發明實施例提供的一種系統日誌的處理方法包括：訪問生成系統日誌的設備，從該設備採集系統日誌；將採集到的系統日誌的格式與指定的設備模板進行匹配，確認各系統日誌對應的設備類型；根據各系統日誌的設備類型，利用指定的關鍵字模板對系統日誌進行過濾；將過濾結果發送至伺服器側，由伺服器側對系統日誌進行報警處理。
【專利說明】系統日誌的處理方法和系統日誌的處理平臺

【技術領域】
[0001] 本發明涉及網際網路通信【技術領域】，特別涉及一種系統日誌的處理方法和系統日誌 的處理平臺。

【背景技術】
[0002] 在現代運維體系中，規模化的應用系統與網絡設備需要自動化的監管系統進行管 理，對系統日誌（syslog)信息的監管就是其中重要一環。然而在實際中，由於不同的應用 系統、網絡設備對應的日誌格式各不相同，這給標準化的syslog分析帶來了巨大難度。
[0003] 現有系統日誌的處理方案主要是將各種設備的系統日誌集中存儲到一個指定服 務器，通過系統的看門狗（watchdog)服務過濾和抓取日誌，並對滿足看門狗服務設定條件 的記錄進行報警。
[0004] 然而，看門狗服務僅能實現一些比較簡單的操作，使用的過濾條件較單一，無法全 面準確地區分出危險的日誌，過濾效果差；並且，看門狗服務將各種類型的日誌混雜在一起 進行處理，各條日誌存儲的格式和內容差異較大，導致後續操作中對系統日誌的利用和開 發難度較大，資源利用率較低。目前亟待一種針對日誌挖掘、分析和監控報警等於一體的綜 合服務平臺。


【發明內容】

[0005] 鑑於上述問題，本發明實施例提供了一種系統日誌的處理方法和系統日誌的處理 平臺。
[0006] 為達到上述目的，本發明實施例採用了如下技術方案：
[0007] 本發明一個實施例提供了一種系統日誌的處理方法，該方法包括：
[0008] 訪問生成系統日誌的設備，從設備採集系統日誌；
[0009] 將採集到的系統日誌的格式與指定的設備模板進行匹配，確認各系統日誌對應的 設備類型；
[0010] 根據各系統日誌的設備類型，利用指定的關鍵字模板對系統日誌進行過濾；
[0011] 將過濾結果發送至伺服器側，由伺服器側對系統日誌進行報警處理；
[0012] 其中，每種設備類型的所述設備模板由能夠匹配該設備類型下的所有系統日誌格 式的條件表達式生成；
[0013] 每種設備類型的所述關鍵字模板由該設備類型下系統日誌中允許包括的關鍵字 或者禁止包括的關鍵字生成。
[0014] 本發明又一個實施例提供了一種系統日誌的處理方法，包括：接收客戶端側上報 的系統日誌的過濾結果並按照預定的統一格式將過濾結果存儲至資料庫，該過濾結果包括 系統日誌和該系統日誌對應的標誌位，該標誌位包括第一標誌位、第二標誌位和第三標誌 位，該方法還包括：
[0015] 當根據過濾結果獲知系統日誌具有第一標誌位時，採用簡訊方式和郵件方式發送 報警消息；
[0016] 當根據過濾結果獲知系統日誌具有第二標誌位時，不執行報警操作；
[0017] 當根據過濾結果獲知系統日誌具有第三標誌位時，採用郵件方式發送報警消息。
[0018] 本發明又一個實施例提供了一種系統日誌的處理平臺，該平臺包括系統日誌採集 系統和系統日誌管理系統，
[0019] 系統日誌採集系統包括消息隊列模塊、模板選擇器、關鍵字過濾器以及守護任務 和調度器DTS ;
[0020] 消息隊列模塊，用於訪問生成系統日誌的設備，從設備採集系統日誌；
[0021] 模板選擇器，用於將採集到的系統日誌的格式與指定的設備模板進行匹配，確認 各系統日誌對應的設備類型；
[0022] 關鍵字過濾器，用於根據各系統日誌的設備類型，利用指定的關鍵字模板對系統 日誌進行過濾，並將過濾結果發送至系統日誌管理系統；
[0023] DTS，用於對消息隊列模塊、模板選擇器和關鍵字過濾器進行預定與調度；
[0024] 系統日誌管理系統包括資料庫、數據生成器、報警模塊和數據訪問和控制中心 DACC ；
[0025] 資料庫，用於存儲平臺中的數據；
[0026] 數據生成器，用於接收來自系統日誌採集系統的過濾結果，並按照預定的統一格 式將過濾結果存儲至資料庫；
[0027] 報警模塊，用於根據數據生成器中的數據進行報警；
[0028] DACC，用於對資料庫、數據生成器和報警模塊進行管理；
[0029] 其中，每種設備類型的所述設備模板由能夠匹配該設備類型下的所有系統日誌格 式的條件表達式生成；
[0030] 每種設備類型的所述關鍵字模板由該設備類型下系統日誌中允許包括的關鍵字 或者禁止包括的關鍵字生成。
[0031] 本發明實施例通過將系統日誌與所建立的設備模板相匹配的技術手段，能夠區分 出不同設備的系統日誌，對不同設備的系統日誌進行不同處理，以及通過設備類型結合指 定的關鍵字模板對系統日誌進行過濾的手段，提高了過濾方式的靈活性，能夠全面、準確地 對日誌進行過濾。
[0032] 由上，本發明實施例提供的系統日誌處理方案，不但能夠對不同類型的系統日誌 進行區分處理和存儲，極大便利了後續對系統日誌的利用，滿足對系統日誌二次開發的需 求，提高資源利用率；而且能夠提高日誌過濾的精準度和靈活性，實現問題的精準定位、精 確報警和問題預警，提高系統的運維質量。

【專利附圖】

【附圖說明】
[0033] 圖1為根據本發明一個實施例的一種系統日誌的處理平臺結構示意圖；
[0034] 圖2為根據本發明一個實施例的系統日誌採集系統的工作流程示意圖；
[0035] 圖3為根據本發明一個實施例的另一種系統日誌的處理平臺的結構示意圖；
[0036] 圖4為根據本發明又一個實施例的系統日誌的處理方法流程示意圖；
[0037] 圖5為根據本發明又一個實施例的系統日誌的處理方法流程示意圖。

【具體實施方式】
[0038] 為使本發明的目的、技術方案和優點更加清楚，下面將結合附圖對本發明實施方 式作進一步地詳細描述。
[0039] 本發明實施例實現了一種集中分析、精準定位、實時報警、面向多用戶、便於查詢 與深入分析的系統日誌的處理平臺，既可以滿足不同應用、不同設備的日誌分析需求，又是 一套完整的監控與報警綜合服務平臺。
[0040] 本發明一個實施例提供的一種系統日誌的處理平臺，參見圖1，該平臺包括系統 日誌採集系統和系統日誌管理系統。本實施例不對平臺及其各器件的名稱進行嚴格限定， 如系統日誌的處理平臺可以稱之為系統日誌信息採集與管理系統（Syslog Information Collection And Management System，SICMS)，SICMS 包括系統日誌採集系統 100 和系統日 志管理系統200。
[0041] 系統日誌米集系統100包括守護任務和調度器（Daemon Task and Scheduler, DTS)、系統日誌信息採集（Syslog Information Collection, SIC)功能和系統日誌信息 管理（Syslog Information Analyse，SIA)功能。SIC 中包括消息隊列（Message Queue) 模塊112和心跳檢測（Heartbeat Monitor)模塊113 ;SIA中包括模板選擇器（Template Selector) 114 和關鍵字過濾器（Keywords Filter) 115。
[0042] 系統日誌管理系統200包括資料庫（Data Center) 214、數據生成器212、報警模塊 213、數據訪問和控制中心（Data Access&Control Centre，DACC)211。其中報警模塊213可 以設置在監控中心（Monitor Center)中，並且系統日誌管理系統200中還可以設置有控制 中心（Logzilia Expand) 〇
[0043] 其中，SIC功能主要用於對syslog進行檢查與索引，並生成消息隊列輸送給SIA。
[0044] 消息隊列模塊112隸屬於SIC,用於生成實時消息隊列。
[0045] 心跳檢測模塊113隸屬於SIC，用於檢測報警那些不能正常投遞日誌的被採集設 備。
[0046] SIA功能主要用於處理消息隊列並生成所需數據。
[0047] 模板選擇器114隸屬於SIA，使用相對應的設備模板對來自被米集設備的系統日 志進行匹配。
[0048] 關鍵字過濾器115隸屬於SIA，通過多級過濾條件（如多級關鍵字模板）過濾數 據。
[0049] DTS111負責系統日誌採集系統100中SIC和SIA功能的運行與調度。
[0050] DACC211主要對系統日誌管理系統200中的器件進行管理，其功能包括等級關鍵 字的設置、資料庫及其管理、統計與檢索、監控報警等。
[0051] 資料庫214隸屬於DACC，用於記錄格式化後的syslog、配置信息與管理日誌等。
[0052] 控制中心隸屬於DACC，是DACC的網絡（web)控制臺。
[0053] 監控中心隸屬於DACC，由分級報警模塊213和平臺展現模塊兩部分組成。
[0054] 下面結合附圖分別對上述各功能和單元進行具體說明。
[0055] 參見圖2,顯示了本發明一個實施例的系統日誌採集系統的工作流程示意圖。
[0056] 在開始執行對系統日誌的處理操作時，消息隊列模塊112訪問生成系統日誌的設 備，從設備採集系統日誌。這些設備主要為一些可能產生系統日誌的進程，如防火牆設備、 路由器設備、交換機設備和負載均衡設備中的一種或多種等。
[0057] 具體地，消息隊列模塊112利用日誌工具logtail訪問需要執行日誌採集的設備， 當該設備中存在系統日誌時，採集該系統日誌並生成消息隊列形式的系統日誌消息流，然 後將消息流送入模板選擇器114。即本實施例採用消息隊列的數據形式，以便於對系統日誌 進行處理。logtail工具是部署在客戶端側（如syslog-ng日誌工具）上的一個客戶端腳 本，它為每個日誌文件設置檢測點（checkpoint)，以向SIC提供最新的syslog記錄，是消息 隊列模塊112所使用的獲取數據流的工具。本方案將系統日誌採集系統設置在客戶端側， 進行系統日誌的採集、過濾等操作，將系統日誌管理系統設置在伺服器側，進行系統日誌的 報警、二次開發等操作。
[0058] 當消息隊列模塊112沒有從設備中採集到系統日誌時，DTS111調度心跳檢測模塊 113向設備發送心跳消息，即心跳檢測模塊113會根據DTS111的調度向設備發送心跳消息， 從而觸發該設備發送任意系統日誌，以確定該設備的存活狀態，即該設備是否處於正常工 作狀態。當心跳檢測模塊113接收到該設備根據心跳消息返回系統日誌時，將該系統日誌 發送至模板選擇器114,由模板選擇器114進行處理。
[0059] 當心跳檢測模塊113接收到該設備根據心跳消息返回指示發生故障的應答，則將 該設備的信息發送至DTS111並記錄，由DTS111將該設備的信息發送至系統日誌管理系統 進行報警。當心跳檢測模塊113接收到該設備根據心跳消息返回指示正常的應答時，即該 設備正常工作但該設備不生成系統日誌，則結束對該設備的操作。
[0060] DTS111對消息隊列模塊、模板選擇器和關鍵字過濾器進行運行與調度。
[0061] 模板選擇器114將採集到的系統日誌與指定的設備模板進行匹配，確認各系統日 志對應的設備類型。系統日誌經過消息隊列模塊112的處理後形成系統日誌消息流，模板 選擇器114將設備模板與消息流進行匹配。設備類型可以指示生成系統日誌的設備的名 稱、設備的型號等。在執行匹配操作時，模板選擇器114會遍歷各設備模板，將各設備模板 逐一對消息流中的系統日誌（如系統日誌的格式）進行匹配，當出現匹配成功的設備模板 時，終止匹配操作，將與系統日誌匹配成功的設備模板對應的設備類型作為該系統日誌的 設備類型。
[0062] 模板選擇器114可以從系統日誌管理系統獲取使用的設備模板，例如，由系統日 志採集系統中的DTS向系統日誌管理系統中的DACC發送請求獲取設備模板的請求，DTS接 收DACC根據該請求下發的設備模板，DTS將該設備模板發送至模板選擇器114。
[0063] 本實施例中，對每一種設備類型，將能夠匹配該設備類型下的所有系統日誌格式 的條件表達式選取為該設備類型的設備模板，則在進行設備模板與系統日誌的匹配操作 時，將採集到的系統日誌的格式與下述指定的設備模板進行匹配。本實施例通過對各設備 的系統日誌的統計和分析，提供的指定的設備模板的示例如下：
[0064] 防火牆（FireWall)的設備模板為：
[0065] (·*? )\s ? (\w+(-\w+) {1,4}) ? \s ? \ %? \ %? (\w+[- V ] ([0-7])
[-V ]\w+(\(\w+\)) ? ): ? \s ? (. *)
[0066] 路由器與交換機（Switch and Router)的設備模板為：
[0067] (·*? )\s ? (\w+(-\w+) {1,4}) ? \s ? \ %? \ %? (\w+[- V ] ([0-7])
[-V ]\w+(\(\w+\)) ? ): ? \s ? (. *)
[0068] F5負載均衡設備的設備模板為：
[0069] (. * ? ) \s ? \w+(-\w+) {1,4} \s+(. * ? ):\s+(. *)
[0070] A10負載均衡設備的設備模板為：
[0071] (· * ? ) \s ? (alOlogd:\s+\ [\w+\])〈（ [0-7]) >\s+(· *)
[0072] Alteon負載均衡設備的設備模板為：
[0073] (\w+) \s+ (AlteonOS\s+〈\w+>) : \s+ (· *)
[0074] Juniper防火牆或路由器設備的設備模板為：
[0075] (· * ? ) \s ? [Jnpr I Juniper: ]\s+(· *)
[0076] 由上，本實施例不同設備的系統日誌格式，制定的與之相符合的條件表達式，作為 設備模板。設備模板由DTS進行調度，用於在系統日誌採集系統中與消息流進行匹配比對， 來確定日誌來源屬於何種設備，以及解析各欄位含義，為後續數據生成器的格式標準化輸 出所用。
[0077] 關鍵字過濾器115根據各系統日誌的設備類型，利用指定的關鍵字模板對系統日 志進行過濾，並將過濾結果發送至系統日誌管理系統。關鍵字過濾器115對系統日誌的過 濾操作主要起到了將系統日誌進行分類的作用，本實施例中過濾後的系統日誌被分為三大 類，一類為危險的系統日誌（可為其設置第一標誌位），再一類為安全的系統日誌（可為其 設置第二標誌位），又一類為未知的系統日誌（可為其設置第三標誌位），按照類別將系統 日誌的相關信息上報至伺服器側（如系統日誌管理系統），從而使系統日誌管理系統能夠 對不同類別的系統日誌進行不同的操作。
[0078] 圖2所示的實施例中關鍵字過濾器115包括一級關鍵字過濾器和二級關鍵字過濾 器。關鍵字過濾器115使用的關鍵字模板包括一級關鍵字模板和二級關鍵字模板，不同設 備類型的系統日誌對應的二級關鍵字模板不同，而所有設備類型的系統日誌都可以使用相 同的一級關鍵字模板。
[0079] 關鍵字過濾器115可以從系統日誌管理系統獲取使用的關鍵字模板，例如，由系 統日誌採集系統中的DTS向系統日誌管理系統中的DACC發送請求獲取關鍵字模板的請求， DTS接收DACC根據該請求下發的關鍵字模板，DTS將該關鍵字模板發送至關鍵字過濾器 115。
[0080] 關鍵字過濾器115中的一級關鍵字過濾器利用一級關鍵字模板對所有設備類型 的系統日誌進行匹配，為一級關鍵字模板匹配成功的系統日誌設置第一標誌位，將匹配成 功的系統日誌、該系統日誌的第一標誌位及設備類型上報至系統日誌管理系統。本實施例 中設置的標誌位為一種報警級別標記，如第一標誌位可以設置為1，表示報警級別為一級。 對第一標誌位的系統日誌，認定為危險日誌，需要報警。
[0081] 對一級關鍵字模板匹配失敗的系統日誌，二級關鍵字過濾器利用該系統日誌的設 備類型對應的二級關鍵字模板對該系統日誌進行匹配，為二級關鍵字模板匹配成功的系統 日誌設置第二標誌位，將匹配成功的系統日誌、該系統日誌的設備類型上報至系統日誌管 理系統。如第二標誌位可以設置為2,表示報警級別為二級。對第二標誌位的系統日誌，認 定為排除對象，即該類型系統日誌為安全日誌，不需要報警。
[0082] 關鍵字過濾器115為一級關鍵字模板和二級關鍵字模板都匹配失敗的系統日誌 設置第三標誌位，將該系統日誌、該系統日誌的第三標誌位及設備類型上報至系統日誌管 理系統。如第三標誌位可以設置為-1，表示未定義。通過第三標誌位的系統日誌可以發現 過濾條件之外未被發掘的、具有潛在價值的日誌，增強系統的發現與學習能力。
[0083] 由上，考慮到具有第二標誌位的系統日誌不需要報警，本實施例中採用僅將設置 的第一標誌位、第三標誌位上報至伺服器側，而不將設置的第二標誌位上報至伺服器側的 處理方式，則在伺服器側將具有第一標誌位或第三標誌位之外的系統日誌視為具有第二標 志為的系統日誌。
[0084] 又一種方式下，客戶端可以將設置的第一標誌位、第二標誌位和第三標誌位都上 報至伺服器側，便於伺服器側對不同的系統日誌進行區分和操作。
[0085] 本實施例使用的一級關鍵字模板，參見下表1 :
[0086] 表 1
[0087]

【權利要求】
1. 一種系統日誌的處理方法，其特徵在於，所述方法包括： 訪問生成系統日誌的設備，從所述設備採集系統日誌； 將採集到的系統日誌的格式與指定的設備模板進行匹配，確認各系統日誌對應的設備 類型； 根據各系統日誌的設備類型，利用指定的關鍵字模板對系統日誌進行過濾； 將所述過濾結果發送至伺服器側，由伺服器側對所述系統日誌進行報警處理； 其中，每種設備類型的所述設備模板由能夠匹配該設備類型下的所有系統日誌格式的 條件表達式生成； 每種設備類型的所述關鍵字模板由該設備類型下系統日誌中允許包括的關鍵字或者 禁止包括的關鍵字生成。
2. 根據權利要求1所述的方法，其特徵在於，所述訪問生成系統日誌的設備，從所述設 備米集系統日誌包括： 利用日誌工具logtail訪問所述設備，當該設備中存在系統日誌時，採集該系統日誌 並生成消息隊列形式的系統日誌消息流；當該設備中不存在系統日誌時，通過建立的守護 任務和調度器DTS向該設備發送心跳消息，若該設備根據心跳消息返回系統日誌，則採集 該系統日誌並生成消息隊列形式的系統日誌消息流，若該設備根據心跳消息返回指示發生 故障的應答，則將相應設備的信息記錄在DTS中，由DTS發送至伺服器側進行報警。
3. 根據權利要求1所述的方法，其特徵在於，所述方法還包括： 向伺服器側發送請求獲取所述設備模板和/或關鍵字模板的請求； 接收伺服器側根據所述請求下發的設備模板和/或關鍵字模板。
4. 根據權利要求1所述的方法，其特徵在於，所述指定的關鍵字模板包括一級關鍵字 模板和二級關鍵字模板，為不同設備類型的系統日誌設置的二級關鍵字模板不同，所述一 級關鍵字模板由該設備類型下系統日誌中禁止包括的關鍵字生成，所述二級關鍵字模板由 該設備類型下系統日誌中允許包括的關鍵字生成， 所述根據各系統日誌的設備類型，利用指定的關鍵字模板對系統日誌進行過濾包括： 利用一級關鍵字模板對所有設備類型的系統日誌進行匹配，為一級關鍵字模板匹配成 功的系統日誌設置第一標誌位，將匹配成功的系統日誌、該系統日誌的第一標誌位及設備 類型上報至伺服器側； 對一級關鍵字模板匹配失敗的系統日誌，利用該系統日誌的設備類型對應的二級關鍵 字模板對該系統日誌進行匹配，為二級關鍵字模板匹配成功的系統日誌設置第二標誌位， 將匹配成功的系統日誌、該系統日誌的設備類型上報至伺服器側；以及， 為一級關鍵字模板和二級關鍵字模板都匹配失敗的系統日誌設置第三標誌位，將該系 統日誌、該系統日誌的第三標誌位及設備類型上報至伺服器側。
5. 根據權利要求4所述的方法，其特徵在於，所述方法還包括：當採集到的系統日誌沒 有匹配的設備模板時，將該系統日誌的設備類型設置為未定義設備類型； 所述利用指定的關鍵字模板對系統日誌進行過濾包括： 僅利用一級關鍵字模板對該系統日誌進行匹配，將匹配成功的系統日誌、該系統日誌 的第一標誌位及設備類型上報至伺服器側，將匹配失敗的系統日誌記錄在臨時文件中。
6. -種系統日誌的處理方法，其特徵在於，所述方法包括： 接收客戶端側上報的系統日誌的過濾結果並按照預定的統一格式將過濾結果存儲至 資料庫，所述過濾結果包括系統日誌和該系統日誌對應的標誌位，所述標誌位包括第一標 志位和第二標誌位； 當根據所述過濾結果獲知系統日誌具有第一標誌位時，採用簡訊方式和郵件方式發送 報警消息； 當根據所述過濾結果獲知系統日誌具有第三標誌位時，採用郵件方式發送報警消息； 當根據所述過濾結果獲知系統日誌不具有第一標誌位或第三標誌位時，不執行報警操 作。
7. 根據權利要求6所述的方法，其特徵在於， 所述過濾結果中還包括系統日誌的設備類型，所述方法還包括： 根據接收到的日誌處理指令，按照所述預定的統一格式從所述資料庫中提取出指定設 備類型的系統日誌，並按照所述日誌處理指令進行處理。
8. -種系統日誌的處理平臺，其特徵在於，所述平臺包括系統日誌採集系統和系統日 志管理系統， 所述系統日誌採集系統包括消息隊列模塊、模板選擇器、關鍵字過濾器以及守護任務 和調度器DTS ; 所述消息隊列模塊，用於訪問生成系統日誌的設備，從所述設備採集系統日誌； 所述模板選擇器，用於將採集到的系統日誌的格式與指定的設備模板進行匹配，確認 各系統日誌對應的設備類型； 所述關鍵字過濾器，用於根據各系統日誌的設備類型，利用指定的關鍵字模板對系統 日誌進行過濾，並將所述過濾結果發送至系統日誌管理系統； 所述DTS，用於對所述消息隊列模塊、所述模板選擇器和所述關鍵字過濾器進行預定與 調度； 所述系統日誌管理系統包括資料庫、數據生成器、報警模塊和數據訪問和控制中心 DACC ； 所述資料庫，用於存儲平臺中的數據； 所述數據生成器，用於接收來自系統日誌採集系統的過濾結果，並按照預定的統一格 式將過濾結果存儲至所述資料庫； 所述報警模塊，用於根據所述數據生成器中的數據進行報警； 所述DACC，用於對所述資料庫、數據生成器和報警模塊進行管理； 其中，每種設備類型的所述設備模板由能夠匹配該設備類型下的所有系統日誌格式的 條件表達式生成； 每種設備類型的所述關鍵字模板由該設備類型下系統日誌中允許包括的關鍵字或者 禁止包括的關鍵字生成。
9. 根據權利要求8所述的平臺，其特徵在於，所述系統日誌採集系統還包括心跳檢測 模塊， 所述消息隊列模塊，還用於利用日誌工具logtail訪問所述設備，當該設備中存在系 統日誌時，採集該系統日誌並生成消息隊列形式的系統日誌消息流； 所述DTS，還用於當所述消息隊列模塊沒有從所述設備中採集到系統日誌時，調度所述 心跳檢測模塊向所述設備發送心跳消息； 所述心跳檢測模塊，用於根據所述DTS的調度向設備發送心跳消息，當接收到該設備 根據心跳消息返回系統日誌時，將該系統日誌發送至所述模板選擇器，當接收到該設備根 據心跳消息返回指示發生故障的應答，則將該設備的信息發送至所述DTS並記錄，由DTS將 該設備的信息發送至系統日誌管理系統進行報警。
10.根據權利要求8或9所述的平臺，其特徵在於，所述關鍵字過濾器使用的關鍵字模 板包括一級關鍵字模板和二級關鍵字模板，不同設備類型的系統日誌對應的二級關鍵字模 板不同，所述一級關鍵字模板由該設備類型下系統日誌中禁止包括的關鍵字生成，所述二 級關鍵字模板由該設備類型下系統日誌中允許包括的關鍵字生成， 所述關鍵字過濾器，具體用於利用一級關鍵字模板對所有設備類型的系統日誌進行匹 配，為一級關鍵字模板匹配成功的系統日誌設置第一標誌位，將匹配成功的系統日誌、該系 統日誌的第一標誌位及設備類型上報至系統日誌管理系統；對一級關鍵字模板匹配失敗的 系統日誌，利用該系統日誌的設備類型對應的二級關鍵字模板對該系統日誌進行匹配，為 二級關鍵字模板匹配成功的系統日誌設置第二標誌位，將匹配成功的系統日誌、該系統日 志的設備類型上報至系統日誌管理系統；以及，為一級關鍵字模板和二級關鍵字模板都匹 配失敗的系統日誌設置第三標誌位，將該系統日誌、該系統日誌的第三標誌位及設備類型 上報至系統日誌管理系統； 所述報警模塊，具體用於當根據所述數據生成器中的過濾結果獲知系統日誌具有第一 標誌位時，採用簡訊方式和郵件方式發送報警消息；當根據所述過濾結果獲知系統日誌具 有第三標誌位時，採用郵件方式發送報警消息；當根據所述過濾結果獲知系統日誌不具有 第一標誌位或第三標誌位時，不執行報警操作。
【文檔編號】H04L12/24GK104144071SQ201310172737
【公開日】2014年11月12日 申請日期:2013年5月10日 優先權日:2013年5月10日
【發明者】常福剛, 戴相龍 申請人:北京新媒傳信科技有限公司