技術(shù)特征:1.一種日志審計(jì)方法�,其特征在于�,包括:
審計(jì)平臺(tái)從云端的各類平臺(tái)分別采集相應(yīng)的系統(tǒng)日志,并將獲得的系統(tǒng)日志緩存至分布式異步隊(duì)列中�;
審計(jì)平臺(tái)確定滿足預(yù)計(jì)的觸發(fā)條件時(shí),從所述分布式異步隊(duì)列中讀取符合所述觸發(fā)條件的系統(tǒng)日志����;
審計(jì)平臺(tái)基于規(guī)則模型對(duì)獲得的系統(tǒng)日志進(jìn)行審計(jì),其中��,所述規(guī)則模型是基于歷史審計(jì)數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)訓(xùn)練后生成的��。
2.如權(quán)利要求1所述的方法��,其特征在于,審計(jì)平臺(tái)從云端的任意一平臺(tái)采集相應(yīng)的系統(tǒng)日志��,包括:
基于設(shè)定的篩選條件�,實(shí)時(shí)從所述任意一平臺(tái)采集符合所述篩選條件的系統(tǒng)日志���。
3.如權(quán)利要求1所述的方法�,其特征在于�,所述審計(jì)平臺(tái)確定滿足預(yù)計(jì)的觸發(fā)條件時(shí),從所述分布式異步隊(duì)列中讀取符合所述觸發(fā)條件的系統(tǒng)日志�,包括:
從所述分布式異步隊(duì)列中讀取滿足第一訂閱內(nèi)容的系統(tǒng)日志;或者�����,
從所述分布式異步隊(duì)列中讀取緩存時(shí)長(zhǎng)滿足第一設(shè)定閾值的系統(tǒng)日志���;或者����,
從所述分布式異步隊(duì)列中讀取緩存數(shù)據(jù)量滿足第二設(shè)定閾值的系統(tǒng)日志�����。
4.如權(quán)利要求1、2或3所述的方法��,其特征在于��,所述審計(jì)平臺(tái)基于規(guī)則模型對(duì)獲得的任意一條系統(tǒng)日志進(jìn)行審計(jì)���,包括:
讀取所述任意一條系統(tǒng)日志后�,基于所述任意一條日志包含的主機(jī)字段�、路徑字段和參數(shù)字段獲取相匹配的規(guī)則模型;
采用獲得的規(guī)則模型對(duì)所述任意一條系統(tǒng)日志進(jìn)行檢測(cè)�����,計(jì)算所述任意一條系統(tǒng)日志基于所述規(guī)則模型輸出的概率�;
將所述概率與預(yù)設(shè)的門限值進(jìn)行比較,確定所述概率低于所述門限值時(shí)�����, 確定所述任意一條系統(tǒng)日志為異常日志����,確定所述概率不低于所述門限值時(shí),確定所述任意一條日志為正常日志�。
5.如權(quán)利要求4所述的方法�,其特征在于��,進(jìn)一步包括:
審計(jì)平臺(tái)對(duì)應(yīng)符合事件特征的系統(tǒng)日志及相應(yīng)的審計(jì)結(jié)果進(jìn)行索引構(gòu)建�����。
6.如權(quán)利要求1�����、2或3所述的方法�,其特征在于�����,進(jìn)一步包括:
審計(jì)平臺(tái)對(duì)應(yīng)滿足第二訂閱內(nèi)容的系統(tǒng)日志進(jìn)行系統(tǒng)日志初始索引構(gòu)建�����;或/和���,
審計(jì)平臺(tái)對(duì)應(yīng)滿足第三訂閱內(nèi)容的系統(tǒng)日志進(jìn)行保存�����。
7.一種日志審計(jì)平臺(tái)����,其特征在于,包括:
采集模塊�����,用于從云端的各類平臺(tái)分別采集相應(yīng)的系統(tǒng)日志�,并將獲得的系統(tǒng)日志緩存至分布式異步隊(duì)列中;
分發(fā)模塊���,用于確定滿足預(yù)計(jì)的觸發(fā)條件時(shí)�,從所述分布式異步隊(duì)列中讀取符合所述觸發(fā)條件的系統(tǒng)日志���;
審計(jì)模塊��,用于基于規(guī)則模型對(duì)獲得的系統(tǒng)日志進(jìn)行審計(jì)����,其中�����,所述規(guī)則模型是基于歷史審計(jì)數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)訓(xùn)練后生成的。
8.如權(quán)利要求7所述的平臺(tái)�,其特征在于,從云端的任意一平臺(tái)采集相應(yīng)的系統(tǒng)日志時(shí)�,所述采集模塊具體用于:
基于設(shè)定的篩選條件,實(shí)時(shí)從所述任意一平臺(tái)采集符合所述篩選條件的系統(tǒng)日志����。
9.如權(quán)利要求7所述的平臺(tái),其特征在于���,基于確定滿足預(yù)計(jì)的觸發(fā)條件時(shí),從所述分布式異步隊(duì)列中讀取符合所述觸發(fā)條件的系統(tǒng)日志時(shí)���,所述分發(fā)模塊具體用于:
從所述分布式異步隊(duì)列中讀取滿足第一訂閱內(nèi)容的系統(tǒng)日志�;或者�,
從所述分布式異步隊(duì)列中讀取緩存時(shí)長(zhǎng)滿足第一設(shè)定閾值的系統(tǒng)日志;或者����,
從所述分布式異步隊(duì)列中讀取緩存數(shù)據(jù)量滿足第二設(shè)定閾值的系統(tǒng)日志。
10.如權(quán)利要求7�����、8或9所述的平臺(tái),其特征在于�,基于規(guī)則模型對(duì)獲得的系統(tǒng)日志進(jìn)行審計(jì)時(shí),所述審計(jì)模塊具體用于:
讀取所述任意一條系統(tǒng)日志后��,基于所述任意一條日志包含的主機(jī)字段����、路徑字段和參數(shù)字段獲取相匹配的規(guī)則模型;
采用獲得的規(guī)則模型對(duì)所述任意一條系統(tǒng)日志進(jìn)行檢測(cè)����,計(jì)算所述任意一條系統(tǒng)日志基于所述規(guī)則模型輸出的概率;
將所述概率與預(yù)設(shè)的門限值進(jìn)行比較��,確定所述概率低于所述門限值時(shí)���,確定所述任意一條系統(tǒng)日志為異常日志�,確定所述概率不低于所述門限值時(shí)����,確定所述任意一條日志為正常日志。
11.如權(quán)利要求10所述的平臺(tái)����,其特征在于����,進(jìn)一步包括:
構(gòu)建模塊��,用于對(duì)應(yīng)符合事件特征的系統(tǒng)日志及相應(yīng)的審計(jì)結(jié)果進(jìn)行索引構(gòu)建�����。
12.如權(quán)利要求7�����、8或9所述的平臺(tái)�����,其特征在于�����,進(jìn)一步包括:
構(gòu)建模塊�����,用于對(duì)應(yīng)滿足第二訂閱內(nèi)容的系統(tǒng)日志進(jìn)行系統(tǒng)日志初始索引構(gòu)建�����;或/和��,
存儲(chǔ)模塊���,用于保存滿足第三訂閱內(nèi)容的系統(tǒng)日志�。