中,主動元件可以包括位于一處的處理元件和存儲器資源�。
[0045]日志分析代碼可以被編譯用以運行在特定架構上。例如��,代碼可以被編譯�����,以使得它適用于運行在主動設備的架構(例如,如圖1所示的架構100)上��。在主動設備上運行的代碼可以在其他地方(例如�����,在主機系統(tǒng)或其他系統(tǒng)上)進行編譯并被轉移到主動設備上運行����。
[0046]日志分析的結果可以包括日志的預處理(例如����,初始的預處理),并且預處理的結果可以被發(fā)送到用于日志處理的專用服務器(例如�����,單獨的專用服務器)��。在許多示例中�����,日志分析的結果可以被寫入到被動存儲元件����,其可以與主動設備上的主動元件位于一處�。
[0047]在341��,在主動元件執(zhí)行轉移的日志分析代碼���,以及在342�����,在轉移的日志分析代碼上執(zhí)行日志分析��。日志分析可以在主動設備內來執(zhí)行(例如���,在主動設備中可執(zhí)行)O在許多示例中,日志分析在主動設備中通過主動設備上的主機(例如����,主機CPU)或獨立操作系統(tǒng)是可執(zhí)行的。
[0048]圖3B圖示出了根據(jù)本公開的用于日志分析的方法343的與方法341相比更詳細的示例����。在344,日志分析代碼可以被編譯�����、轉移,并且所述代碼可以在主動設備上被執(zhí)行���。如前所述���,日志分析代碼可以被編譯并轉移到主動設備��,并且可以以多種方式發(fā)生���。
[0049]例如�����,移動日志分析代碼(例如�����,二進制日志分析代碼)可以包括控制移動的主機CPU�����。例如����,主機操作系統(tǒng)可以啟動移動和分析主動設備上的日志分析代碼的過程。這可能是對于主機CPU和主動設備二者而言存在單一操作系統(tǒng)時的情況�����。
[0050]在一個示例(其包括主機上的操作系統(tǒng)以及主動設備上的單獨操作系統(tǒng)(例如在主動設備上))中����,一個和/或兩個操作系統(tǒng)都可以啟動移動和分析主動設備上的日志分析代碼的過程。
[0051 ]在一個示例(其中主動設備充當用于整個系統(tǒng)的主設備)中�����,系統(tǒng)內的驅動器可以負責啟動移動和分析主動設備上的日志分析代碼的過程�。其他轉移方法也可以用來將代碼從主動元件或其他位置轉移到主動設備。一旦被轉移�,代碼就可以在主動設備上被執(zhí)行和分析。
[0052]在346����,可以動態(tài)地分配資源并且可以(例如,基于日志分析)在主動設備上訪問日志數(shù)據(jù)���。主機和/或主動設備內的文件系統(tǒng)和存儲器數(shù)據(jù)結構可以在主動設備處允許訪問可以被存儲在主動元件中(例如���,在存儲器資源中)的日志數(shù)據(jù)��。例如�����,這就是日志分析代碼如何可以訪問日志數(shù)據(jù)�����。
[0053]在348,主動設備可以被聯(lián)合用于分布式日志分析���。如前所述�,當存在一個以上的主動設備時�,主動設備之間的聯(lián)合和協(xié)作可被用于分布式日志分析。每個主機的多個主動設備例如可以被用于數(shù)據(jù)并行��。
[0054]例如��,如果在模式(例如��,分布式異常檢測�����、分布式模式挖掘)中要運行日志分析代碼,那么架構可以包括單一系統(tǒng)上的多個主動設備���,在這種情況下��,并行代碼正運行在所述多個主動設備上����。邏輯(例如�����,應用程序邏輯)可以被用來協(xié)調并行�����。在另一個示例中��,不同的機器和主動設備可以經由通信通道(例如����,以太網)一起工作。邏輯(例如�����,應用程序邏輯)可以被用來協(xié)調和管理通信。
[0055]在350����,可以把日志分析的結果轉移到主機(例如,主機CPU)����,并且可以執(zhí)行后分析動作。當日志分析執(zhí)行完成時�,數(shù)據(jù)就可以被轉移到主機處理器和/或它可以通過網絡被設置到另一個系統(tǒng)(例如,系統(tǒng)管理器控制臺)�����。另外或可替代地��,被動存儲元件可以存儲日志數(shù)據(jù)用于由主機或其他服務器以后消耗���。數(shù)據(jù)還可以被轉移前過濾或轉移后過濾,并且可以把所述數(shù)據(jù)轉移到主機或其他系統(tǒng)�。這樣的轉移可以以與相對于元件344所討論的那些轉移類似的方式發(fā)生。
[0056]可以響應于日志分析和/或資源分配來執(zhí)行動作�����。例如,除其他的之外��,作為日志分析的結果可以執(zhí)行所需的適當?shù)膭幼?����,諸如像提高警報����、提出建議、分析硬件���、調諧硬件��、調諧系統(tǒng)參數(shù)�����、負載平衡以及跨存儲器和/或存儲設備迀移數(shù)據(jù)�����。
[0057]在許多示例中����,響應于日志分析執(zhí)行的動作可以包括對事件檢測的響應。例如��,如果事件(例如���,除其他的之外的指示病毒樣活動的訪問模式和/或頻繁的規(guī)則/閾值違背)被檢測作為日志分析的一部分���,那么主機(例如,主機CPU)可以被標識�。例如,可以發(fā)送警報消息和/或可以把硬件中斷從被動存儲元件發(fā)送到主機�����。另外或可替代地��,可以由主動設備來部署網絡服務呼叫和/或簡單的網絡管理協(xié)議警報�。例如����,可以在日志分析過程中檢測事件(諸如,指示病毒樣活動的訪問模式或頻繁的規(guī)則/閾值違背)����,并且可以由主動設備把這一信息傳遞到主機�����。
[0058]本說明書的示例提供了本公開的系統(tǒng)和方法的使用和應用程序的描述���。因為在不脫離本公開的方法和系統(tǒng)的范圍和精神的情況下可以作出許多示例,所以本說明書闡述了許多可能示例配置和實現(xiàn)方式中的一些�����。
【主權項】
1.一種用于日志分析的方法�����,其包括: 將編譯的日志分析代碼從主機系統(tǒng)轉移到主動設備的主動元件的存儲器資源�����, 其中�,所述主動元件包括與存儲器資源位于一處的處理元件; 在主動元件處執(zhí)行轉移的日志分析代碼����;以及 在主動設備內���,在所執(zhí)行的日志分析代碼上執(zhí)行日志分析。2.如權利要求1所述的方法��,其中���,日志分析的結果包括日志的預處理�。3.如權利要求2所述的方法��,其中�,日志的預處理的結果被發(fā)送到用于日志處理的專用服務器。4.如權利要求1所述的方法���,包括把日志分析的結果寫入到被動存儲元件����。5.如權利要求4所述的方法�����,其中��,所述被動存儲元件與主動設備上的主動元件位于一處����。6.一種日志分析設備,其包括: 處理資源���; 通信地耦合到所述處理資源的主動設備�,并且包括: 包括位于一處的處理元件和存儲器資源的主動元件�;以及 通信地親合到所述主動元件的被動存儲元件;以及 存儲一組指令的非暫時性計算機可讀介質���,所述指令可由處理資源執(zhí)行用來: 通過執(zhí)行第一組轉移的日志分析代碼而在處理資源處執(zhí)行日志分析的第一部分����; 通過在主動元件處執(zhí)行第二組轉移的日志分析代碼而在主動設備處執(zhí)行日志分析的第二部分���; 基于第一日志分析和第二日志分析而在主動設備處分配日志分析設備的資源��;以及 基于資源分配以及日志分析的第一部分和第二部分采取動作���。7.如權利要求6所述的設備,其中�,所述用以采取動作的可執(zhí)行指令可執(zhí)行用以響應于在日志分析的第一部分和第二部分中的至少一個的過程中檢測到的異常而提高警報。8.如權利要求6所述的設備,其中���,所述用以分配日志分析設備的資源的可執(zhí)行指令可執(zhí)行用以執(zhí)行日志分析設備的存儲器管理����。9.如權利要求6所述的設備��,其中����,所述用以分配日志分析設備的資源的可執(zhí)行指令可執(zhí)行用以調度在主動設備處執(zhí)行的多個日志分析功能。10.如權利要求6所述的設備�����,其中��,所述處理元件包括可編程邏輯設備�����、現(xiàn)場可編程門陣列(FPGA)���、中央處理單元(CPU)和低功率CPU中的至少一個���。11.如權利要求6所述的設備���,其中���,所述被動存儲元件包括:憶阻器���、非易失性存儲器、固態(tài)驅動器��、動態(tài)隨機存取存儲器����、相變隨機存取存儲器、閃速存儲器和自旋矩轉移隨機存取存儲器中的至少一個��。12.—種用于日志分析的系統(tǒng)�����,其包括: 處理資源�;以及 通信地耦合到所述處理資源的存儲器資源,所述處理資源包含指令����,該指令可由處理資源執(zhí)行以實現(xiàn)分析引擎���、分配引擎、聯(lián)合引擎和轉移引擎�,其中: 所述分析引擎在多個主動設備內的多個主動元件中執(zhí)行可執(zhí)行的日志分析; 所述分配引擎基于日志分析在多個主動設備上執(zhí)行動態(tài)資源分配���; 所述聯(lián)合引擎基于動態(tài)資源分配和日志分析聯(lián)合多個主動設備�����;以及 所述轉移引擎把日志分析�����、動態(tài)資源分配和聯(lián)合的結果轉移到主機中央處理單元�。13.如權利要求12所述的系統(tǒng)�,其中,所述聯(lián)合引擎把多個主動設備分組���,并且在聯(lián)合過程中協(xié)調主動設備的資源�。14.如權利要求12所述的系統(tǒng)�,包括訪問引擎�,用以訪問系統(tǒng)的多個主動設備內的日志數(shù)據(jù)�。15.如權利要求12所述的系統(tǒng),包括管理引擎�,用以處理和管理與主動設備相關的日V 1、1��、O
【專利摘要】日志分析可以包括轉移編譯的日志分析代碼���、執(zhí)行日志分析代碼,以及在所執(zhí)行的日志分析代碼上執(zhí)行日志分析���。
【IPC分類】G06F17/00, G06F13/14, G06F11/34
【公開號】CN105579999
【申請?zhí)枴緾N201380078604
【發(fā)明人】V.塔爾瓦, I.羅伊, K.T.林, J.常, P.蘭加納桑
【申請人】慧與發(fā)展有限責任合伙企業(yè)
【公開日】2016年5月11日
【申請日】2013年7月31日
【公告號】EP3028175A1, US20160117196, WO2015016920A1