專利名稱:一種系統(tǒng)日志的處理方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉及一種系統(tǒng)日志的處理方法和裝置����。
背景技術(shù):
在現(xiàn)有的IT系統(tǒng)中, 一般都會有Syslog (系統(tǒng)日志)�����,通過使用該Syslog���,可以記
錄系統(tǒng)的運行情況,對于系統(tǒng)的維護起著重要的作用����。其中,Syslog可以記錄系統(tǒng)中硬件����、
軟件和系統(tǒng)問題的信息,并監(jiān)視系統(tǒng)中發(fā)生的各類事件��,用戶可以通過使用Syslog來尋找
問題發(fā)生的原因�,從而使得Syslog在網(wǎng)絡(luò)管理系統(tǒng)中受到了越來越多的關(guān)注。 然而�����,由于Syslog需要記錄系統(tǒng)中發(fā)生的各類事件,導(dǎo)致記錄的內(nèi)容非?���,嵥椋?br>
在網(wǎng)絡(luò)管理系統(tǒng)中���,網(wǎng)管人員只是在發(fā)現(xiàn)問題后��,才會分析Syslog��,并根據(jù)Syslog尋找出
現(xiàn)問題的原因��。 對于復(fù)雜的網(wǎng)絡(luò)環(huán)境來說���,由于存在大量設(shè)備,產(chǎn)生Syslog的數(shù)量也很大��,而且 由于Syslog被保存的時間有限�����,從而會導(dǎo)致關(guān)鍵事件被其他事件自動覆蓋掉�����。因此,在網(wǎng) 絡(luò)管理系統(tǒng)中����,Syslog并不能有效的輔助網(wǎng)管人員對系統(tǒng)進行Trap (告警),并節(jié)約網(wǎng)管人 員定位問題所使用的時間���。 此外,由于IT系統(tǒng)中不同設(shè)備之間的Syslog形式差異很大�,當(dāng)前分析系統(tǒng)不能適 應(yīng)Syslog形式差異的復(fù)雜性,只能處理特定的Syslog���,而且該處理過程只是簡單的檢測特 征文本����,即當(dāng)前分析系統(tǒng)處理結(jié)果的準確性較低且缺乏靈活性��,不能發(fā)揮Syslog強大的分 析作用�,當(dāng)發(fā)生故障時,也不能有效的利用Syslog來分析問題的原因��。
為了解決上述問題��,分析系統(tǒng)需要能夠深度分析Syslog,并從大量的Syslog中提 取自身關(guān)心的特征值���。而對于提取后的特征值���,分析系統(tǒng)還需要能夠根據(jù)自身需要進行統(tǒng) 計分析,自動產(chǎn)生Tr即���,并將產(chǎn)生的Tr即反饋給網(wǎng)絡(luò)管理系統(tǒng)中的其它組件(例如����,告警組 件��、安全組件等)����,由各個組件進行聯(lián)動,從而實現(xiàn)網(wǎng)絡(luò)管理系統(tǒng)中的告警���、防御等過程���,并 達到實現(xiàn)主動管理的目的。 現(xiàn)有技術(shù)中���,對syslog進行深度分析�����,從大量的Syslog中提取特征值��,并根據(jù)特 征值產(chǎn)生Trap的方式包括 (1)通過Syslog的摘要(Digest)來區(qū)分Syslog�����,統(tǒng)計Syslog的發(fā)生次數(shù)�,并由 網(wǎng)管人員根據(jù)Syslog的發(fā)生次數(shù)來決定是否產(chǎn)生Tr即。 但是����,對于大多數(shù)Syslog來說���,并沒有摘要信息���,只有少數(shù)設(shè)備上的Syslog具有 摘要信息,因此��,通過使用Syslog的摘要來區(qū)分Syslog���,只能適用于少數(shù)的設(shè)備�����,使用范圍 具有很大的局限性���。 (2)通過使用正則表達式對Syslog進行匹配���,并根據(jù)匹配結(jié)果從大量的Syslog 中提取出關(guān)鍵數(shù)據(jù)。例如��,用戶可以通過設(shè)置正則匹配表達式為"(���? = .*SeSSion) (= *root)"���,來匹配與"系統(tǒng)登錄"對應(yīng)的Syslog。 但是���,在使用正則表達式對Syslog進行匹配時�����,同樣具有很大的局限性��。首先�����,不 能準確的過濾出自身需要的Syslog�,例如,如果Syslog不是用戶關(guān)心的��,而該Syslog中同時存在了 "session"和"root"字符串時�����,同樣會發(fā)生匹配���,而此時的匹配結(jié)果并不是用戶 所需要的�����。其次,可能會無法從Syslog中提取到特征值��,例如����,Syslog的文本為"session opened by root fromlO. 153. 89. 1"����,如果用戶需要得到的特征值為發(fā)起session的IP地 址時���,則不能通過使用正則表達式獲得特征值��。 此外����,在無法通過使用正則表達式提取到特征值時����,產(chǎn)生Trap的統(tǒng)計算法只是對 符合條件的Syslog進行累加,當(dāng)累加的數(shù)量達到設(shè)定的閾值時��,則發(fā)送Trap,此時�,該Trap 中不能攜帶具體的細節(jié),對于Trap的接收者來說����,該Trap的可用性非常低。
發(fā)明內(nèi)容
本發(fā)明提供一種系統(tǒng)日志的處理方法和裝置���,以提高IT系統(tǒng)中Syslog的使用效 率和分析能力����。 為了達到上述目的,本發(fā)明提出了一種系統(tǒng)日志的處理方法����,應(yīng)用于預(yù)先設(shè)置了
Syslog升級為Trap的各項規(guī)則的網(wǎng)絡(luò)設(shè)備中,所述方法包括以下步驟 當(dāng)需要分析的系統(tǒng)日志輸入后�,根據(jù)所述Syslog升級為Trap的匹配規(guī)則對所述
系統(tǒng)日志進行匹配,并在匹配成功后�����,從所述系統(tǒng)日志中提取參數(shù)值�; 對所述參數(shù)值進行統(tǒng)計,并根據(jù)統(tǒng)計結(jié)果判斷是否需要產(chǎn)生Trap ; 當(dāng)判斷結(jié)果為需要產(chǎn)生Tr即時��,根據(jù)所述系統(tǒng)日志生成Tr即�,并將所述生成的
Trap發(fā)送給對應(yīng)的組件。 所述預(yù)先設(shè)置的Syslog升級為Trap的各項規(guī)則中包括以下內(nèi)容中的一種或幾 種 匹配規(guī)則����,時間窗�,是否進行參數(shù)值匹配,統(tǒng)計方式�,Trap閾值���,是否全網(wǎng)分析,是 否產(chǎn)生恢復(fù)Tr即����。 所述匹配規(guī)則中包含了前導(dǎo)字符串、后導(dǎo)字符串���、參數(shù)名稱和參數(shù)值的四元組�,
對所述系統(tǒng)日志進行匹配具體包括 解析所述匹配規(guī)則���,并從所述匹配規(guī)則中獲取前導(dǎo)字符串���、后導(dǎo)字符串和參數(shù)名 稱; 通過使用所述前導(dǎo)字符串�、后導(dǎo)字符串和參數(shù)名稱對所述系統(tǒng)日志進行匹配。
從所述系統(tǒng)日志中提取參數(shù)值之后���,還包括 存儲所述從系統(tǒng)日志中提取的參數(shù)值�����,為所述參數(shù)值設(shè)置時間窗�����;并在所述參數(shù) 值超出所述時間窗的范圍時�����,刪除所述參數(shù)值����。 對所述參數(shù)值進行統(tǒng)計,并根據(jù)統(tǒng)計結(jié)果判斷是否需要產(chǎn)生Trap具體包括
對位于所述時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計�����,并在所述參數(shù)值中某個值的發(fā)生次 數(shù)累計達到預(yù)設(shè)的第一Tr即閾值時�����,判斷需要產(chǎn)生Tr即����;否則,判斷不需要產(chǎn)生Trap ;或 者�����, 對位于所述時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計�����,并在所述參數(shù)值中所有值的發(fā)生次 數(shù)累計達到預(yù)設(shè)的第二 Tr即閾值時�,判斷需要產(chǎn)生Tr即;否則���,判斷不需要產(chǎn)生Tr即��。
當(dāng)需要產(chǎn)生恢復(fù)Trap時�,將所述生成的Trap發(fā)送給對應(yīng)的組件之后���,還包括
在對位于時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計時�����,如果根據(jù)統(tǒng)計結(jié)果判斷出不需要產(chǎn) 生Tr即����,生成恢復(fù)Tr即��,并將所述恢復(fù)Trap發(fā)送給所述對應(yīng)的組件。
—種應(yīng)用于上述方法的裝置�����,應(yīng)用于預(yù)先設(shè)置了 Syslog升級為Trap的各項規(guī)則 的網(wǎng)絡(luò)設(shè)備中�����,所述裝置包括 設(shè)置模塊����,用于設(shè)置所述Syslog升級為Trap的各項規(guī)則; 匹配提取模塊�,與所述設(shè)置模塊連接,用于當(dāng)需要分析的系統(tǒng)日志輸入后���,根據(jù)所 述設(shè)置模塊設(shè)置的Syslog升級為Trap的匹配規(guī)則對所述系統(tǒng)日志進行匹配����;并在匹配成 功后��,從所述系統(tǒng)日志中提取參數(shù)值�; 統(tǒng)計模塊,與所述設(shè)置模塊和所述匹配提取模塊分別連接��,用于根據(jù)所述設(shè)置 模塊設(shè)置的統(tǒng)計方式,對所述參數(shù)值進行統(tǒng)計�,并根據(jù)所述統(tǒng)計結(jié)果判斷是否需要產(chǎn)生 Tr即^ 處理模塊,與所述設(shè)置模塊和統(tǒng)計模塊分別連接�,用于在判斷結(jié)果為需要產(chǎn)生
Trap時,根據(jù)所述系統(tǒng)日志生成Tr即�,將所述生成的Trap發(fā)送給對應(yīng)的組件�����。 所述Syslog升級為Trap的各項規(guī)則中包括以下內(nèi)容中的一種或幾種 匹配規(guī)則�,時間窗,是否進行參數(shù)值匹配��,統(tǒng)計方式����,Trap閾值,是否全網(wǎng)分析�,是
否產(chǎn)生恢復(fù)Tr即;其中���, 所述匹配規(guī)則中包含了前導(dǎo)字符串��、后導(dǎo)字符串�、參數(shù)名稱和參數(shù)值的四元組。
所述匹配提取模塊具體包括 解析子模塊���,用于解析所述匹配規(guī)則����,并從所述匹配規(guī)則中獲取前導(dǎo)字符串�����、后導(dǎo) 字符串和參數(shù)名稱�����; 匹配子模塊����,與所述解析子模塊連接,用于通過使用所述前導(dǎo)字符串�����、后導(dǎo)字符串 和參數(shù)名稱對所述系統(tǒng)日志進行匹配�����; 提取子模塊,與所述匹配子模塊連接��,用于在匹配成功后��,從所述系統(tǒng)日志中提取 參數(shù)值����。 所述統(tǒng)計模塊具體包括 存儲子模塊,用于存儲所述匹配提取模塊從所述系統(tǒng)日志中提取的參數(shù)值�����;
刪除子模塊����,與所述存儲子模塊連接�����,用于在所述參數(shù)值超出所述時間窗的范圍 時����,從所述存儲子模塊中刪除所述參數(shù)值; 統(tǒng)計子模塊�,與所述存儲子模塊和處理子模塊分別連接����,用于對所述存儲子模塊 中位于所述時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計��, 在所述參數(shù)值中某個值的發(fā)生次數(shù)累計達到預(yù)設(shè)的第一 Trap閾值時�����,判斷需要 產(chǎn)生Tr即�;否則,判斷不需要產(chǎn)生Tr即���;或者���, 在所述參數(shù)值中所有值的發(fā)生次數(shù)累計達到預(yù)設(shè)的第二 Trap閾值時,判斷需要 產(chǎn)生Tr即�;否則,判斷不需要產(chǎn)生Tr即�����。
當(dāng)需要產(chǎn)生恢復(fù)Tr即時���, 所述處理模塊還用于�,在對位于時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計時,如果根據(jù)統(tǒng) 計結(jié)果判斷出不需要產(chǎn)生Tr即����,生成恢復(fù)Tr即,并將所述恢復(fù)Tr即發(fā)送給所述對應(yīng)的組 件���。 與現(xiàn)有技術(shù)相比�����,本發(fā)明具有以下優(yōu)點通過使用網(wǎng)管根據(jù)自身需要設(shè)置的匹配 模板提取參數(shù)值����,并根據(jù)該參數(shù)值進行統(tǒng)計��,從而提高了 IT系統(tǒng)中Syslog的使用效率和分 析能力��,并且通過Trap和其它組件進行聯(lián)動����,實現(xiàn)了主動管理的目的���。
圖1為本發(fā)明提出的一種系統(tǒng)日志的處理方法流程圖���; 圖2為本發(fā)明一種具體應(yīng)用場景下提出的系統(tǒng)日志的處理方法流程圖�; 圖3為本發(fā)明提出的一種系統(tǒng)日志的處理裝置結(jié)構(gòu)圖�����。
具體實施例方式
本發(fā)明的核心思想是由網(wǎng)管根據(jù)自身的實際需要設(shè)置匹配模板�����,并使用該匹配模
板對需要分析的系統(tǒng)日志進行匹配�����,在匹配成功后���,提取系統(tǒng)日志中的參數(shù)值�。 進一步的���,通過對提取到的參數(shù)值進行統(tǒng)計���,并根據(jù)統(tǒng)計結(jié)果判斷是否需要產(chǎn)生
Tr即,從而使得設(shè)備可以使用根據(jù)實際需要所設(shè)置的匹配模板來產(chǎn)生Tr即,提高了 IT系統(tǒng)
中Syslog的使用效率和分析能力�,并且通過Trap和其它組件進行聯(lián)動,實現(xiàn)了主動管理的目的��。 如圖l所示�����,為本發(fā)明提出的一種系統(tǒng)日志的處理方法��,應(yīng)用于預(yù)先設(shè)置了
Syslog升級為Trap的各項規(guī)則的網(wǎng)絡(luò)設(shè)備中�,所述方法包括以下步驟 步驟101,當(dāng)需要分析的系統(tǒng)日志輸入后��,根據(jù)所述Syslog升級為Trap的匹配規(guī)
則對所述系統(tǒng)日志進行匹配���,并在匹配成功后����,從所述系統(tǒng)日志中提取參數(shù)值����。 其中����,所述預(yù)先設(shè)置的Syslog升級為Trap的各項規(guī)則中包括以下內(nèi)容中的一種
或幾種匹配規(guī)則��,時間窗�����,是否進行參數(shù)值匹配�,統(tǒng)計方式���,Trap閾值����,是否全網(wǎng)分析���,是
否產(chǎn)生恢復(fù)Tr即�。 步驟102�,對所述參數(shù)值進行統(tǒng)計,并根據(jù)統(tǒng)計結(jié)果判斷是否需要產(chǎn)生Trap�。
步驟103,當(dāng)判斷結(jié)果為需要產(chǎn)生Trap時����,根據(jù)所述系統(tǒng)日志生成Trap,并將所述 生成的Trap發(fā)送給對應(yīng)的組件。 為了更加清楚的說明本發(fā)明所提供的系統(tǒng)日志的處理方法,以下結(jié)合一種具體的
應(yīng)用場景對本發(fā)明進行詳細贅述�����。 如圖2所示�����,該方法包括以下步驟 步驟201�����,設(shè)置Syslog升級為Trap的各項規(guī)則��。其中�,Syslog升級為Trap的各 項規(guī)則中包括但不限于匹配模板(或者稱為匹配規(guī)則),時間窗�,是否進行參數(shù)值匹配,統(tǒng) 計方式����,Trap閾值,是否全網(wǎng)分析�,是否產(chǎn)生恢復(fù)Tr即等信息�。 具體的,以下對該匹配模板,時間窗��,是否進行參數(shù)值匹配����,統(tǒng)計方式,Trap閾值��, 是否全網(wǎng)分析����,是否產(chǎn)生恢復(fù)Trap進行詳細說明。 (1)匹配模板��。匹配模板是網(wǎng)管人員根據(jù)實際需要任意設(shè)置的���,通過使用該匹配模 板��,可以判斷出要處理的Syslog是否能夠和Syslog升級為Tr即的規(guī)則相匹配���,如果匹配 時,則可以從Syslog中提取出匹配模板中所指定的參數(shù)值�����。其中,網(wǎng)管人員可以根據(jù)現(xiàn)有 的日志和自身需要的參數(shù)值設(shè)置匹配模板�����。
例如��,對于Arp 0verspeed類的日志 〈182>0ct 1211:02:5219. 82. 2. 20Arp 300 : 56 : 152000Monza_IRF % % 10DHCP_SNP/5/arp_overspeed(1) :_8_PacketLimit :ARP packet rate(35pps)exceeded on interface Ethernet8/0/18.The port will be down !
當(dāng)網(wǎng)管人員需要的參數(shù)值為packet rate的值和inputDevicelfDesc (即 interface)的值時��,網(wǎng)管人員可以將 PacketLimit :ARP packet rate ($ (Packet Rate) ) exceeded on interface$ (inputDevicelfDesc). The port will be down ! 定義為匹配模板����,在該匹配模板中,需要提取的參數(shù)值為Packet Rate的值和 inputDevicelfDesc的值����。 綜上可以看出,上述的匹配模板對網(wǎng)絡(luò)設(shè)備(例如�,交換機設(shè)備等)上產(chǎn)生的Arp Overspeed類的日志進行了匹配,而且該匹配模板中定義了兩個參數(shù)值����,分別為$ (Packet Rate)和$ (inputDevicelfDesc),當(dāng)Arp Overspeed類的日志完全可以和該匹配模板進行 匹配時�����,則可以提取出Arp Overspeed類的日志中的關(guān)鍵字35pps和Ethernet8/0/18。
可見�,本發(fā)明中����,網(wǎng)管人員根據(jù)實際需要定義匹配模板,通過使用該匹配模板���,可 以精確的過濾出符合條件的Syslog��,而且由于匹配模板中定義了需要提取的參數(shù)值�,繼而 可以通過使用匹配模板提取出網(wǎng)管人員所需要的參數(shù)值��。
(2)時間窗���。在網(wǎng)絡(luò)設(shè)備上��,匹配模板處理syslog時一般都具有時效性�����,即通常需
要對一段時間內(nèi)的Syslog進行分析�����,本發(fā)明中�����,通過為Syslog設(shè)置時間窗�����,由時間窗來指
定被處理syslog的有效時間����,使得可以在該時間窗的范圍內(nèi)對Syslog進行分析,并提取出
相應(yīng)的參數(shù)值���;而當(dāng)超過時間窗后����,該Syslog不再參與相應(yīng)的處理過程����。 (3)是否進行參數(shù)值匹配。在設(shè)置匹配模板的過程中����,如果指定需要進行參數(shù)值匹
配時�,則從Syslog中提取的參數(shù)值還需要和對應(yīng)的參數(shù)值匹配參數(shù)進行匹配�,其中,該是
否進行參數(shù)值匹配為可選的����。 (4)統(tǒng)計方式�。統(tǒng)計方式是指各參數(shù)值的統(tǒng)計方法,包括但不限于Topl統(tǒng)計方式�����, 或匯總統(tǒng)計方式等����;其中,當(dāng)參數(shù)值的發(fā)生次數(shù)達到Trap的閾值后�����,則產(chǎn)生Trap,并發(fā)送給 指定的接收者����,該接收者可以為告警組件、安全組件等�����。 具體的,在使用Topi統(tǒng)計方式進行統(tǒng)計的過程中�,對于某個參數(shù)值,可以指定該 參數(shù)值的統(tǒng)計方式為Topl方式��,即在預(yù)設(shè)的時間范圍內(nèi)��,當(dāng)參數(shù)值中某個值的發(fā)生次數(shù)累 計達到預(yù)設(shè)的Tr即閾值門限后����,則需要產(chǎn)生Tr即。 例如��,對于上述的Arp Overspeed類的日志����,Packet Rate為參數(shù)值,而對于該 Packet Rate,有5pps�、 15pps、25pps�、和35pps等數(shù)值,如果選擇該數(shù)值35pps為上述的參數(shù) 值中某個值����,此時��,需要對數(shù)值35pps的發(fā)生次數(shù)進行累加��,假設(shè)預(yù)設(shè)的Trap閾值門限為大 于50%�,則統(tǒng)計過程中�����,在時間窗的范圍內(nèi)��,如果獲取到了 100個參數(shù)值為Packet Rate的 值��,在100個Packet Rate中�,只需要關(guān)心數(shù)值為35pps的數(shù)量(而不需要關(guān)心數(shù)值為5卯s���、 15pps等的數(shù)量)�,如果數(shù)值為35pps的數(shù)量超過50個(Tr即閾值門限大于50X)時���,則需 要產(chǎn)生Tr即����,否則,不需要產(chǎn)生Tr即�����。 當(dāng)然��,在實際應(yīng)用中���,還可以對參數(shù)值中某段數(shù)值進行累加并判斷是否到達Trap 閾值門限���,例如,將Packet Rate分段為0-5pps��、5pps-15pps��、 15pps_25pps����、25pps_35pps、 以及大于35pps等幾段�;如果選擇15pps-25pps為上述的參數(shù)值中某段數(shù)值,此時���,需要對 位于15pps-25pps之間的數(shù)值的發(fā)生次數(shù)進行累加�����,假設(shè)預(yù)設(shè)的Trap閾值門限仍然為大于 50%�����,則統(tǒng)計過程中����,在時間窗的范圍內(nèi),如果獲取到了 100個參數(shù)值為Packet Rate的值����, 在100個Packet Rate中,只需要關(guān)心數(shù)值在15pps-25pps之間的數(shù)量(而不需要關(guān)心數(shù)值在0-5pps等時的數(shù)量)�����,如果數(shù)值在15pps-25pps之間的數(shù)量超過50個時�,則需要產(chǎn)生 Tr即���,否則��,不需要產(chǎn)生Tr即����。 另外,在使用匯總統(tǒng)計方式進行統(tǒng)計的過程中�,對于某個參數(shù)值,可以指定該參數(shù) 值的統(tǒng)計方式為匯總統(tǒng)計方式���,即在預(yù)設(shè)的時間范圍內(nèi)�,當(dāng)參數(shù)值中所有值的發(fā)生次數(shù)累 計達到預(yù)設(shè)的Tr即閾值門限后����,則需要產(chǎn)生Tr即。 例如�����,對于上述的Arp Overspeed類的日志�,Packet Rate為參數(shù)值,預(yù)設(shè)的Tr即 閾值門限為IOO�,則統(tǒng)計過程中,在時間窗的范圍內(nèi)���,如果獲取到了 100個參數(shù)值為Packet Rate的值時�,則需要產(chǎn)生Trap ;否則��,當(dāng)在時間窗的范圍內(nèi),沒有獲取到100個參數(shù)值為 Packet Rate的值時����,則不需要產(chǎn)生Tr即。與Topi統(tǒng)計方式不同的是�,在使用匯總統(tǒng)計方 式進行統(tǒng)計時,當(dāng)獲得PacketRate后����,并不需要關(guān)心Packet Rate的值是多少,即不需要知 道Packet Rate的值是5pps���、還是15卯s等�����,采用匯總統(tǒng)計方式時只需要知道一共獲得了多 少Packet Rate ;而采用Topi統(tǒng)計方式時���,還需要關(guān)心Packet Rate中某個值的信息。
當(dāng)然�����,在實際應(yīng)用中���,并不局限于使用上述的TOPI統(tǒng)計方式和匯總統(tǒng)計方式進行 統(tǒng)計�����,還可以使用的其他的方式進行統(tǒng)計���,本發(fā)明中不在詳加贅述。 (5)Tr即閾值����。Trap閾值為產(chǎn)生Tr即時所使用的閾值,是根據(jù)實際需要任意設(shè)置 的��,例如�����,上述使用匯總統(tǒng)計方式進行統(tǒng)計時�,Packet Rate對應(yīng)的閾值門限100即該Trap 閾值。 需要說明的是���,在對參數(shù)值進行統(tǒng)計的過程中�����,為了能夠區(qū)分Topl統(tǒng)計方式和匯 總統(tǒng)計方式所使用的Trap閾值�����,本發(fā)明中�,將Topi統(tǒng)計方式所使用的Trap閾值稱為第一 Trap閾值,將匯總統(tǒng)計方式使用的Trap閾值稱為第二 Trap閾值��。例如����,上述預(yù)設(shè)的Trap 閾值門限為大于50%將對應(yīng)于第一 Trap閾值,而Trap閾值門限為100將對應(yīng)于第二 Trap 閾值��。 (6)是否全網(wǎng)分析���。當(dāng)需要全網(wǎng)分析時���,需要綜合考慮網(wǎng)絡(luò)中所有設(shè)備,并進行分 析��;當(dāng)不需要全網(wǎng)分析時���,只需要對單獨的網(wǎng)絡(luò)設(shè)備進行分析�。其中��,該是否全網(wǎng)分析是可 選的�,本發(fā)明中以不需要全網(wǎng)分析為例進行說明。 (7)是否產(chǎn)生恢復(fù)Tr即���。當(dāng)網(wǎng)絡(luò)設(shè)備恢復(fù)時��,需要產(chǎn)生恢復(fù)Trap時����,即統(tǒng)計過程 中獲知需要產(chǎn)生Tr即(在已經(jīng)產(chǎn)生了 Trap的基礎(chǔ)上)����,則需要產(chǎn)生恢復(fù)Trap ;而不需要產(chǎn) 生恢復(fù)Tr即時,當(dāng)網(wǎng)絡(luò)設(shè)備恢復(fù)時�����,不需要產(chǎn)生恢復(fù)Tr即��。其中,該是否產(chǎn)生恢復(fù)Trap是 可選的��。本發(fā)明中���,以需要產(chǎn)生恢復(fù)Trap為例進行說明�。 步驟202�����,解析Syslog升級為Trap的各項規(guī)則中的匹配模板���,并分離出匹配模板 中的組成元素���。其中,通過使用網(wǎng)管人員預(yù)先設(shè)置的模板解析程序��,即可以從匹配模板中分 離出匹配模板中的組成元素�。 具體的,一個匹配模板是由多個組成元素組成的�����,而每個元素都由一個四元組組 成����,其中,可以將該四元組定義為{前導(dǎo)字符串;后導(dǎo)字符串�;參數(shù)名稱;參數(shù)值K
例如���,對于上述的匹配模板 PacketLimit :ARP packet rate ($ (Packet Rate) ) exceeded on interface$ (inputDevicelfDesc). The port will be down ! 對于元素Packet Rate來說,對應(yīng)的前導(dǎo)字符串為ARP packet rate���,后導(dǎo)字符串 為exceeded on interface,參數(shù)名稱為Packet Rate,參數(shù)值為具體的數(shù)值(例如����,35pps等)����。 步驟203,當(dāng)需要分析的Syslog輸入后����,根據(jù)匹配模板中的元素進行匹配,并在匹配成功后�����,提取參數(shù)值����。 具體的���,當(dāng)獲知需要分析的Syslog后,需要使用該匹配模板中的四元組對Syslog進行匹配��,即通過使用匹配模板中的前導(dǎo)字符串��、后導(dǎo)字符串和參數(shù)名稱匹配Syslog中是否相同的記錄��,當(dāng)有相同的記錄時��,則說明匹配成功�,此時,可以從Syslog中提取出參數(shù)值��,該參數(shù)值的位置可以由前導(dǎo)字符串���、后導(dǎo)字符串和參數(shù)名稱的位置確定�����。當(dāng)匹配不成功時�,則說明該Syslog不是網(wǎng)管人員所關(guān)心的Syslog�����,可以不對該Syslog進行分析處理。
步驟204����,當(dāng)參數(shù)值提取成功后,將Syslog存儲到緩存列表中����,記錄Syslog的時間����,并存儲從Syslog中提取的參數(shù)值。 具體的��,本發(fā)明中����,通過為每個參數(shù)建立哈希緩存,繼而可以使用該哈希緩存存儲從匹配成功的Syslog中所提取的參數(shù)值�����。例如����,對于上述的參數(shù)Packet Rate,當(dāng)Syslog與前導(dǎo)字符串ARP packet rate,后導(dǎo)字符串exceeded oninterface��,和參數(shù)名稱PacketRate匹配成功后�����,則需要在Packet Rate對應(yīng)的哈希緩存中記錄對應(yīng)的參數(shù)值(例如�,35卯s等)�����。 步驟205�����,對參數(shù)值進行統(tǒng)計�,并根據(jù)統(tǒng)計結(jié)果判斷是否需要產(chǎn)生Trap。其中�,對參數(shù)值進行統(tǒng)計的方式可以為Topi統(tǒng)計方式,或者����,匯總統(tǒng)計方式;該統(tǒng)計方式在上面的步驟中已經(jīng)詳細說明��,本步驟中不再贅述。當(dāng)判斷結(jié)果為需要產(chǎn)生Trap時���,轉(zhuǎn)到步驟206�,當(dāng)判斷結(jié)果為不需要產(chǎn)生Trap時����,轉(zhuǎn)到步驟207。 另外���,在本步驟中����,一并為Syslog設(shè)置了時間窗�����,如果Syslog記錄的時間超出了
時間窗時��,則直接從緩存列表中刪除該Syslog�,對相應(yīng)的參數(shù)值不進行統(tǒng)計����。 步驟206����,生成Tr即�����,并將生成的Trap發(fā)送給對應(yīng)的組件���。其中����,該組件可以為告
警組件�、安全組件等。 具體的���,在生成Trap的過程中��,為了使生成的Trap能夠被其他組件有效的利用�����,在生成的Trap中需要充分體現(xiàn)Syslog的信息和Syslog升級為Trap的規(guī)則信息等����。
本發(fā)明中,Tr即中的字段包括規(guī)則名稱���,描述信息�����,嚴重級別����,分類�����,Syslog參數(shù)等信息�;當(dāng)然,實際應(yīng)用中��,Trap中的字段并不局限于此�����,可以根據(jù)實際的需要進行添加和調(diào)整�,該Tr即中的字段也可以是上述字段中的任意組合�����。 規(guī)則名稱是現(xiàn)有Syslog的分類名稱,例如�,對于上述的Arp 0verspeed類的日志,可知����,Syslog的分類名稱對應(yīng)的數(shù)值為182,將182/8所得的商為Syslog的分類名稱所對應(yīng)的類型�����。其中�,現(xiàn)有協(xié)議中,對Syslog共分成了 22個類別���,上述的Arp Overspeed類的日志對應(yīng)著第22個類別����;例如��,Syslog的分類名稱包括告警類別�����、故障類別等,本發(fā)明實施例中不再詳加贅述���。 描述信息是上述Syslog的分類所對應(yīng)的信息�����,例如���,當(dāng)獲知Syslog的分類名稱為
告警類別時,對應(yīng)的描述信息為產(chǎn)生該告警類別的原因�����,在此不再詳加贅述�����。 嚴重級別為網(wǎng)管人員根據(jù)參數(shù)值等信息進行設(shè)置的�����,可以根據(jù)自身的需要進行調(diào)
整����,例如,在使用T0P1統(tǒng)計方式時����,對于Arp Overspeed類日志,當(dāng)獲取到了 100個參數(shù)值
為Packet Rate的值后���,如果Packet Rate的值為35pps的數(shù)量超過50個��,則嚴重級別為
1級�;當(dāng)超過60個�����,則嚴重級別為2級�;當(dāng)超過70個,則嚴重級別為3級等�。
分類是該Syslog所對應(yīng)的類別信息,包括但不限于系統(tǒng)信息�、磁盤信息、調(diào)度信息等����,例如,當(dāng)獲知Syslog是系統(tǒng)類的日志時,則分類為系統(tǒng)信息�。 Syslog參數(shù)為匹配模板中設(shè)置的參數(shù)名稱和參數(shù)值,通過使用該Syslog參數(shù)�,告警組件、安全組件等可以獲知該Trap的詳細信息�����,繼而可以根據(jù)該Trap進行相應(yīng)的處理����,該處理過程本發(fā)明中不再贅述。其中���,該Syslog參數(shù)的字段格式為(參數(shù)l)=(值)&(參數(shù)2)=(值)…&(參數(shù)n)=(值)��。 需要說明的是�����,本發(fā)明中��,在需要產(chǎn)生恢復(fù)Trap的情況下�����,如果對參數(shù)值進行統(tǒng)
計的過程中����,根據(jù)統(tǒng)計結(jié)果獲知參數(shù)值沒有達到預(yù)設(shè)的Trap閾值門限�����,此時�,不需要產(chǎn)生
Tr即,但是���,還需要產(chǎn)生恢復(fù)Tr即�����,并將該恢復(fù)Trap通知給對應(yīng)的組件���。其中,該恢復(fù)Trap
與Trap類似���,只是二者的Trap標(biāo)識不同��,繼而使得對應(yīng)的組件可以區(qū)分該恢復(fù)Tr即����,并進
行相應(yīng)的處理,在此不再詳加贅述�����。 步驟207���,不產(chǎn)生Tr即�,并繼續(xù)等待����。 其中,本發(fā)明中的步驟還可以根據(jù)實際的需要進行調(diào)整���。 如圖3所示���,為本發(fā)明所提出的應(yīng)用上述方法的裝置,應(yīng)用于預(yù)先設(shè)置了匹配模板的網(wǎng)絡(luò)設(shè)備中�,所述裝置包括設(shè)置模塊31 、匹配提取模塊32�、統(tǒng)計模塊33和處理模塊34,其中�����,設(shè)置模塊31和匹配提取模塊32、統(tǒng)計模塊33���、處理模塊34分別連接,該匹配提取模塊32與統(tǒng)計模塊33連接���,該統(tǒng)計模塊33與處理模塊34連接���。在該裝置中,
設(shè)置模塊31�,用于設(shè)置Syslog升級為Tr即的各項規(guī)則,其中����,該Syslog升級為Trap的各項規(guī)則中的內(nèi)容包括但不限于匹配規(guī)則,時間窗����,是否進行參數(shù)值匹配,統(tǒng)計方式��,Trap閾值�,是否全網(wǎng)分析��,是否產(chǎn)生恢復(fù)Trap等���。 具體的,該設(shè)置模塊31用于設(shè)置匹配規(guī)則����,時間窗,是否進行參數(shù)值匹配�,統(tǒng)計方式,Trap閾值�����,是否全網(wǎng)分析�����,是否產(chǎn)生恢復(fù)Trap等信息�。其中,在設(shè)置模塊31設(shè)置匹配規(guī)則的過程中����,匹配規(guī)則在實際應(yīng)用中,可以根據(jù)實際的需要由網(wǎng)絡(luò)管理員任意進行設(shè)置��,例如,可以根據(jù)現(xiàn)有的日志和需要的參數(shù)值設(shè)置匹配模板�����。在設(shè)置模塊31設(shè)置時間窗的過程中���,可以根據(jù)實際的需要為syslog設(shè)置時間窗的范圍�,以通過使用時間窗來指定被處理syslog的有效時間���,使得可以在該時間窗的范圍內(nèi)對Syslog進行分析。在設(shè)置模塊31設(shè)置統(tǒng)計方式的過程中���,該設(shè)置模塊31可以根據(jù)實際需要為Syslog設(shè)置Topi統(tǒng)計方式�����,或匯總統(tǒng)計方式�����;同樣的�����,在設(shè)置統(tǒng)計方式時����,設(shè)置模塊31還需要為統(tǒng)計方式設(shè)置Trap閾值,例如�����,為Topi統(tǒng)計方式設(shè)置第一 Trap閾值��,為匯總統(tǒng)計方式設(shè)置第二 Trap閾值����。此外,該設(shè)置模塊31還可以根據(jù)實際的需要設(shè)置是否進行參數(shù)值匹配��、是否全網(wǎng)分析以及是否產(chǎn)生恢復(fù)Trap等信息�,例如,當(dāng)網(wǎng)絡(luò)中的設(shè)備相關(guān)性很大時�����,該設(shè)置模塊31可以設(shè)置全網(wǎng)分析的規(guī)則���,繼而可以綜合考慮網(wǎng)絡(luò)中的所有設(shè)備�����,并進行分析��,以滿足網(wǎng)管的需求���。
匹配提取模塊32����,用于當(dāng)需要分析的系統(tǒng)日志輸入后��,根據(jù)所述設(shè)置模塊31設(shè)置的Syslog升級為Trap的匹配規(guī)則對所述系統(tǒng)日志進行匹配�����;并在匹配成功后�,從所述系統(tǒng)日志中提取參數(shù)值�。 本發(fā)明中,該匹配提取模塊32進一步包括 解析子模塊321�����,用于解析設(shè)置模塊31設(shè)置的匹配規(guī)則,由于匹配規(guī)則是由多個組成元素組成的����,而每個組成元素都由一個四元組組成,該四元組定義為{前導(dǎo)字符串�����;后導(dǎo)字符串����;參數(shù)名稱;參數(shù)值K可以看出����,該 析子模塊321可以從匹配規(guī)則中獲取到四元組中的前導(dǎo)字符串;后導(dǎo)字符串����;參數(shù)名稱等信息。具體地�,該解析子模塊321可以通過使用預(yù)設(shè)的模板解析程序從匹配模板中獲取到對應(yīng)的組成元素。 匹配子模塊322��,與該解析子模塊321連接���,用于通過使用解析子模塊321從匹配
模板中獲取的前導(dǎo)字符串����、后導(dǎo)字符串和參數(shù)名稱對所述需要分析的系統(tǒng)日志進行匹配。 具體的��,當(dāng)需要分析的系統(tǒng)日志輸入后����,該匹配子模塊322需要使用上述解析子
模塊321獲得的前導(dǎo)字符串、后導(dǎo)字符串和參數(shù)名稱對該系統(tǒng)日志進行匹配���;當(dāng)系統(tǒng)日志
與前導(dǎo)字符串�、后導(dǎo)字符串和參數(shù)名稱有相同的記錄時����,則說明匹配成功;而當(dāng)系統(tǒng)日志與
前導(dǎo)字符串���、后導(dǎo)字符串和參數(shù)名稱沒有相同的記錄時,則說明匹配不成功���。 提取子模塊323�,與該匹配子模塊322連接,用于在匹配成功后��,從所述系統(tǒng)日志
中提取參數(shù)值����。其中,當(dāng)匹配子模塊322匹配成功時��,該提取子模塊323可以從系統(tǒng)日志中
提取參數(shù)值�,該參數(shù)值的位置可以由前導(dǎo)字符串、后導(dǎo)字符串和參數(shù)名稱的位置確定�。而當(dāng)
匹配子模塊322匹配不成功時,則說明該系統(tǒng)日志不是網(wǎng)管人員所關(guān)心的系統(tǒng)日志�,可以
不對該系統(tǒng)日志進行分析處理,提取子模塊323不需要提取任何信息����。 統(tǒng)計模塊33,用于根據(jù)設(shè)置模塊31設(shè)置的統(tǒng)計方式��,對在時間窗內(nèi)的所述參數(shù)值
進行統(tǒng)計���,并根據(jù)所述統(tǒng)計結(jié)果判斷是否需要產(chǎn)生Trap�。其中�,設(shè)置模塊31設(shè)置的統(tǒng)計方
式包括但不限于Topl統(tǒng)計或者匯總統(tǒng)計�。 本發(fā)明中�����,該統(tǒng)計模塊33進一步包括 存儲子模塊331����,用于存儲所述匹配提取模塊32從所述系統(tǒng)日志中提取的參數(shù)值。 具體的��,該存儲子模塊331中為每個參數(shù)建立了哈希緩存�,當(dāng)匹配提取模塊32從
系統(tǒng)日志中提取到參數(shù)值后,需要將該參數(shù)值存儲到該存儲子模塊331中����。 刪除子模塊332,與所述存儲子模塊331連接���,用于在所述參數(shù)值超出所述時間窗
的范圍時�,從所述存儲子模塊331中刪除所述參數(shù)值�。其中,該時間窗的范圍是由設(shè)置模塊
31設(shè)置的���。 統(tǒng)計子模塊333��,與所述存儲子模塊331和處理子模塊332分別連接���,用于對所述存儲子模塊331中位于所述時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計,在采用Topl對所述參數(shù)值進行統(tǒng)計的過程中���,所述統(tǒng)計子模塊333對所述參數(shù)值中某個值發(fā)生次數(shù)進行統(tǒng)計���,當(dāng)累計達到預(yù)設(shè)的第一Tr即閾值時,判斷需要產(chǎn)生Tr即�;否則,判斷不需要產(chǎn)生Tr即��。在采用匯總方式對所述參數(shù)值進行統(tǒng)計的過程中����,所述統(tǒng)計子模塊333對所述參數(shù)值中的所有值發(fā)生次數(shù)進行統(tǒng)計,當(dāng)累計達到預(yù)設(shè)的第二 Tr即閾值時����,判斷需要產(chǎn)生Tr即;否則�,判斷不需要產(chǎn)生Tr即。 需要說明的是��,所述統(tǒng)計方式、所述時間窗以及Tr即閾值(第一Tr即閾值和第二Tr即閾值)都是通過設(shè)置模塊31進行設(shè)置的�����。 處理模塊34�,用于在判斷結(jié)果為需要產(chǎn)生Tr即時,根據(jù)所述系統(tǒng)日志生成Tr即���,將所述生成的Trap發(fā)送給對應(yīng)的組件�。其中���,該Tr即中的字段包括以下內(nèi)容中的一種或幾種���;規(guī)則名稱;描述信息���;嚴重級別���;分類;系統(tǒng)日志參數(shù)�����。 進一步的,當(dāng)設(shè)置模塊31設(shè)置了需要產(chǎn)生恢復(fù)Trap時��,在將所述生成的Trap發(fā)送給對應(yīng)的組件的基礎(chǔ)上�����,在對位于時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計時�����,如果根據(jù)統(tǒng)計結(jié)果判斷出不需要產(chǎn)生Tr即����,所述處理模塊34還需要生成恢復(fù)Tr即�,并將所述恢復(fù)Trap發(fā)送給所述對應(yīng)的組件。 其中�,本發(fā)明裝置的各個模塊可以集成于一體,也可以分離部署�����。上述模塊可以合 并為一個模塊�,也可以進一步拆分成多個子模塊。 通過以上的實施方式的描述�����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通 過硬件實現(xiàn),也可以可借助軟件加必要的通用硬件平臺的方式來實現(xiàn)��?���;谶@樣的理解, 本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來�����,該軟件產(chǎn)品可以存儲在一個非易失性 存儲介質(zhì)(可以是CD-R0M�, U盤,移動硬盤等)中����,包括若干指令用以使得一臺計算機設(shè)備 (可以是個人計算機,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明所述的方法�����。
以上所述僅是本發(fā)明的優(yōu)選實施方式�,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人 員來說���,在不脫離本發(fā)明原理的前提下����,還可以做出若干改進和潤飾����,這些改進和潤飾也應(yīng) 視本發(fā)明的保護范圍�����。 本領(lǐng)域技術(shù)人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分 布于實施例的裝置中����,也可以進行相應(yīng)變化位于不同于本實施例的一個或多個裝置中。上 述實施例的模塊可以合并為一個模塊��,也可以進一步拆分成多個子模塊���。
上述本發(fā)明序號僅僅為了描述���,不代表實施例的優(yōu)劣����。 以上公開的僅為本發(fā)明的幾個具體實施例�����,但是����,本發(fā)明并非局限于此,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護范圍����。
權(quán)利要求
一種系統(tǒng)日志的處理方法,其特征在于�����,應(yīng)用于預(yù)先設(shè)置了Syslog升級為Trap的各項規(guī)則的網(wǎng)絡(luò)設(shè)備中��,所述方法包括以下步驟當(dāng)需要分析的系統(tǒng)日志輸入后����,根據(jù)所述Syslog升級為Trap的匹配規(guī)則對所述系統(tǒng)日志進行匹配�,并在匹配成功后�����,從所述系統(tǒng)日志中提取參數(shù)值���;對所述參數(shù)值進行統(tǒng)計�,并根據(jù)統(tǒng)計結(jié)果判斷是否需要產(chǎn)生Trap�;當(dāng)判斷結(jié)果為需要產(chǎn)生Trap時,根據(jù)所述系統(tǒng)日志生成Trap��,并將所述生成的Trap發(fā)送給對應(yīng)的組件��。
2. 如權(quán)利要求1所述的方法����,其特征在于�,所述預(yù)先設(shè)置的Syslog升級為Trap的各項 規(guī)則中包括以下內(nèi)容中的一種或幾種匹配規(guī)則,時間窗�����,是否進行參數(shù)值匹配���,統(tǒng)計方式��,Trap閾值����,是否全網(wǎng)分析,是否產(chǎn) 生恢復(fù)Tr即��。
3. 如權(quán)利要求2所述的方法����,其特征在于,所述匹配規(guī)則中包含了前導(dǎo)字符串����、后導(dǎo)字 符串、參數(shù)名稱和參數(shù)值的四元組���,對所述系統(tǒng)日志進行匹配具體包括解析所述匹配規(guī)則���,并從所述匹配規(guī)則中獲取前導(dǎo)字符串、后導(dǎo)字符串和參數(shù)名稱�����; 通過使用所述前導(dǎo)字符串、后導(dǎo)字符串和參數(shù)名稱對所述系統(tǒng)日志進行匹配�。
4. 如權(quán)利要求2所述的方法,其特征在于�,從所述系統(tǒng)日志中提取參數(shù)值之后,還包括存儲所述從系統(tǒng)日志中提取的參數(shù)值���,為所述參數(shù)值設(shè)置時間窗���;并在所述參數(shù)值超 出所述時間窗的范圍時,刪除所述參數(shù)值��。
5. 如權(quán)利要求4所述的方法�����,其特征在于�,對所述參數(shù)值進行統(tǒng)計����,并根據(jù)統(tǒng)計結(jié)果判 斷是否需要產(chǎn)生Tr即具體包括對位于所述時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計,并在所述參數(shù)值中某個值的發(fā)生次數(shù)累 計達到預(yù)設(shè)的第一Tr即閾值時�����,判斷需要產(chǎn)生Tr即;否則����,判斷不需要產(chǎn)生Tr即;或者���,對位于所述時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計��,并在所述參數(shù)值中所有值的發(fā)生次數(shù)累 計達到預(yù)設(shè)的第二Tr即閾值時����,判斷需要產(chǎn)生Tr即��;否則��,判斷不需要產(chǎn)生Tr即�����。
6. 如權(quán)利要求1-5任一項所述的方法���,其特征在于����,當(dāng)需要產(chǎn)生恢復(fù)Trap時,將所述生 成的Trap發(fā)送給對應(yīng)的組件之后��,還包括在對位于時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計時���,如果根據(jù)統(tǒng)計結(jié)果判斷出不需要產(chǎn)生 Trap,生成恢復(fù)Trap,并將所述恢復(fù)Trap發(fā)送給所述對應(yīng)的組件����。
7. —種應(yīng)用于權(quán)利要求1所述的裝置���,其特征在于�,應(yīng)用于預(yù)先設(shè)置了 Syslog升級為 Trap的各項規(guī)則的網(wǎng)絡(luò)設(shè)備中�����,所述裝置包括設(shè)置模塊�����,用于設(shè)置所述Syslog升級為Trap的各項規(guī)則�;匹配提取模塊��,與所述設(shè)置模塊連接��,用于當(dāng)需要分析的系統(tǒng)日志輸入后,根據(jù)所述設(shè) 置模塊設(shè)置的Syslog升級為Tr即的匹配規(guī)則對所述系統(tǒng)日志進行匹配�����;并在匹配成功后���, 從所述系統(tǒng)日志中提取參數(shù)值�����;統(tǒng)計模塊����,與所述設(shè)置模塊和所述匹配提取模塊分別連接����,用于根據(jù)所述設(shè)置模塊設(shè) 置的統(tǒng)計方式,對所述參數(shù)值進行統(tǒng)計�����,并根據(jù)所述統(tǒng)計結(jié)果判斷是否需要產(chǎn)生Trap ;處理模塊��,與所述設(shè)置模塊和統(tǒng)計模塊分別連接,用于在判斷結(jié)果為需要產(chǎn)生Trap時��,根據(jù)所述系統(tǒng)日志生成Tr即���,將所述生成的Trap發(fā)送給對應(yīng)的組件�。
8. 如權(quán)利要求7所述的裝置����,其特征在于,所述Syslog升級為Trap的各項規(guī)則中包括 以下內(nèi)容中的一種或幾種匹配規(guī)則��,時間窗��,是否進行參數(shù)值匹配�����,統(tǒng)計方式�����,Trap閾值��,是否全網(wǎng)分析��,是否產(chǎn) 生恢復(fù)Tr即�����;其中����,所述匹配規(guī)則中包含了前導(dǎo)字符串、后導(dǎo)字符串���、參數(shù)名稱和參數(shù)值的四元組��。
9. 如權(quán)利要求8所述的裝置�,其特征在于��,所述匹配提取模塊具體包括 解析子模塊��,用于解析所述匹配規(guī)則�,并從所述匹配規(guī)則中獲取前導(dǎo)字符串、后導(dǎo)字符串和參數(shù)名稱��;匹配子模塊��,與所述解析子模塊連接�,用于通過使用所述前導(dǎo)字符串、后導(dǎo)字符串和參 數(shù)名稱對所述系統(tǒng)日志進行匹配;提取子模塊���,與所述匹配子模塊連接����,用于在匹配成功后����,從所述系統(tǒng)日志中提取參數(shù)值。
10. 如權(quán)利要求8所述的裝置���,其特征在于��,所述統(tǒng)計模塊具體包括 存儲子模塊�����,用于存儲所述匹配提取模塊從所述系統(tǒng)日志中提取的參數(shù)值�����; 刪除子模塊�����,與所述存儲子模塊連接����,用于在所述參數(shù)值超出所述時間窗的范圍時�,從所述存儲子模塊中刪除所述參數(shù)值;統(tǒng)計子模塊���,與所述存儲子模塊和處理子模塊分別連接���,用于對所述存儲子模塊中位 于所述時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計,在所述參數(shù)值中某個值的發(fā)生次數(shù)累計達到預(yù)設(shè)的第一 Trap閾值時�����,判斷需要產(chǎn)生 Tr即���;否則��,判斷不需要產(chǎn)生Tr即�;或者�,在所述參數(shù)值中所有值的發(fā)生次數(shù)累計達到預(yù)設(shè)的第二Trap閾值時,判斷需要產(chǎn)生 Tr即��;否則,判斷不需要產(chǎn)生Tr即��。
11. 如權(quán)利要求7-10任一項所述的裝置�����,其特征在于��,當(dāng)需要產(chǎn)生恢復(fù)Trap時�����, 所述處理模塊還用于��,在對位于時間窗范圍內(nèi)的參數(shù)值進行統(tǒng)計時����,如果根據(jù)統(tǒng)計結(jié)果判斷出不需要產(chǎn)生Tr即,生成恢復(fù)Tr即����,并將所述恢復(fù)Tr即發(fā)送給所述對應(yīng)的組件。
全文摘要
本發(fā)明公開了一種系統(tǒng)日志的處理方法��,包括當(dāng)需要分析的系統(tǒng)日志輸入后�,根據(jù)匹配規(guī)則對所述系統(tǒng)日志進行匹配��,并在匹配成功后���,從所述系統(tǒng)日志中提取參數(shù)值;對所述參數(shù)值進行統(tǒng)計�����,并根據(jù)統(tǒng)計結(jié)果判斷是否需要產(chǎn)生Trap�;當(dāng)判斷結(jié)果為需要產(chǎn)生Trap時�����,根據(jù)所述系統(tǒng)日志生成Trap����,并將所述生成的Trap發(fā)送給對應(yīng)的組件。本發(fā)明中���,提高了Syslog的使用效率和分析能力����,并且通過將Trap和其它組件進行聯(lián)動�����,實現(xiàn)了主動管理的目的。本發(fā)明中同樣提供了一種對應(yīng)于上述方法的裝置�����。
文檔編號G06F17/30GK101697520SQ20091021093
公開日2010年4月21日 申請日期2009年11月12日 優(yōu)先權(quán)日2009年11月12日
發(fā)明者盧有文, 張學(xué)明 申請人:杭州華三通信技術(shù)有限公司;