專利名稱:一種系統(tǒng)日志的處理方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域����,特別是涉及一種系統(tǒng)日志的處理方法和裝置。
背景技術(shù):
在現(xiàn)有的IT系統(tǒng)中���, 一般都會(huì)有Syslog (系統(tǒng)日志)�����,通過(guò)使用該Syslog,可以記
錄系統(tǒng)的運(yùn)行情況��,對(duì)于系統(tǒng)的維護(hù)起著重要的作用�����。其中���,Syslog可以記錄系統(tǒng)中硬件���、
軟件和系統(tǒng)問(wèn)題的信息�����,并監(jiān)視系統(tǒng)中發(fā)生的各類事件�,用戶可以通過(guò)使用Syslog來(lái)尋找
問(wèn)題發(fā)生的原因�����,從而使得Syslog在網(wǎng)絡(luò)管理系統(tǒng)中受到了越來(lái)越多的關(guān)注�。 然而,由于Syslog需要記錄系統(tǒng)中發(fā)生的各類事件����,導(dǎo)致記錄的內(nèi)容非常瑣碎����,
在網(wǎng)絡(luò)管理系統(tǒng)中,網(wǎng)管人員只是在發(fā)現(xiàn)問(wèn)題后��,才會(huì)分析Syslog�,并根據(jù)Syslog尋找出
現(xiàn)問(wèn)題的原因。 對(duì)于復(fù)雜的網(wǎng)絡(luò)環(huán)境來(lái)說(shuō)�,由于存在大量設(shè)備,產(chǎn)生Syslog的數(shù)量也很大�,而且 由于Syslog被保存的時(shí)間有限��,從而會(huì)導(dǎo)致關(guān)鍵事件被其他事件自動(dòng)覆蓋掉�����。因此�,在網(wǎng) 絡(luò)管理系統(tǒng)中����,Syslog并不能有效的輔助網(wǎng)管人員對(duì)系統(tǒng)進(jìn)行Trap (告警),并節(jié)約網(wǎng)管人 員定位問(wèn)題所使用的時(shí)間���。 此外����,由于IT系統(tǒng)中不同設(shè)備之間的Syslog形式差異很大���,當(dāng)前分析系統(tǒng)不能適 應(yīng)Syslog形式差異的復(fù)雜性,只能處理特定的Syslog��,而且該處理過(guò)程只是簡(jiǎn)單的檢測(cè)特 征文本�,即當(dāng)前分析系統(tǒng)處理結(jié)果的準(zhǔn)確性較低且缺乏靈活性,不能發(fā)揮Syslog強(qiáng)大的分 析作用���,當(dāng)發(fā)生故障時(shí)�����,也不能有效的利用Syslog來(lái)分析問(wèn)題的原因����。
為了解決上述問(wèn)題,分析系統(tǒng)需要能夠深度分析Syslog�,并從大量的Syslog中提 取自身關(guān)心的特征值。而對(duì)于提取后的特征值�,分析系統(tǒng)還需要能夠根據(jù)自身需要進(jìn)行統(tǒng) 計(jì)分析,自動(dòng)產(chǎn)生Tr即����,并將產(chǎn)生的Tr即反饋給網(wǎng)絡(luò)管理系統(tǒng)中的其它組件(例如,告警組 件�����、安全組件等)����,由各個(gè)組件進(jìn)行聯(lián)動(dòng),從而實(shí)現(xiàn)網(wǎng)絡(luò)管理系統(tǒng)中的告警����、防御等過(guò)程��,并 達(dá)到實(shí)現(xiàn)主動(dòng)管理的目的�。 現(xiàn)有技術(shù)中�����,對(duì)syslog進(jìn)行深度分析����,從大量的Syslog中提取特征值,并根據(jù)特 征值產(chǎn)生Trap的方式包括 (1)通過(guò)Syslog的摘要(Digest)來(lái)區(qū)分Syslog�����,統(tǒng)計(jì)Syslog的發(fā)生次數(shù)��,并由 網(wǎng)管人員根據(jù)Syslog的發(fā)生次數(shù)來(lái)決定是否產(chǎn)生Tr即�����。 但是��,對(duì)于大多數(shù)Syslog來(lái)說(shuō)�,并沒(méi)有摘要信息,只有少數(shù)設(shè)備上的Syslog具有 摘要信息����,因此,通過(guò)使用Syslog的摘要來(lái)區(qū)分Syslog����,只能適用于少數(shù)的設(shè)備,使用范圍 具有很大的局限性�����。 (2)通過(guò)使用正則表達(dá)式對(duì)Syslog進(jìn)行匹配����,并根據(jù)匹配結(jié)果從大量的Syslog 中提取出關(guān)鍵數(shù)據(jù)。例如��,用戶可以通過(guò)設(shè)置正則匹配表達(dá)式為"(��? = .*SeSSion) (= *root)"����,來(lái)匹配與"系統(tǒng)登錄"對(duì)應(yīng)的Syslog。 但是,在使用正則表達(dá)式對(duì)Syslog進(jìn)行匹配時(shí)���,同樣具有很大的局限性��。首先���,不 能準(zhǔn)確的過(guò)濾出自身需要的Syslog,例如�����,如果Syslog不是用戶關(guān)心的����,而該Syslog中同時(shí)存在了 "session"和"root"字符串時(shí),同樣會(huì)發(fā)生匹配����,而此時(shí)的匹配結(jié)果并不是用戶 所需要的。其次�,可能會(huì)無(wú)法從Syslog中提取到特征值,例如���,Syslog的文本為"session opened by root fromlO. 153. 89. 1"���,如果用戶需要得到的特征值為發(fā)起session的IP地 址時(shí),則不能通過(guò)使用正則表達(dá)式獲得特征值�。 此外,在無(wú)法通過(guò)使用正則表達(dá)式提取到特征值時(shí)����,產(chǎn)生Trap的統(tǒng)計(jì)算法只是對(duì) 符合條件的Syslog進(jìn)行累加,當(dāng)累加的數(shù)量達(dá)到設(shè)定的閾值時(shí)�����,則發(fā)送Trap,此時(shí)��,該Trap 中不能攜帶具體的細(xì)節(jié)�,對(duì)于Trap的接收者來(lái)說(shuō),該Trap的可用性非常低��。
發(fā)明內(nèi)容
本發(fā)明提供一種系統(tǒng)日志的處理方法和裝置�,以提高IT系統(tǒng)中Syslog的使用效 率和分析能力。 為了達(dá)到上述目的�����,本發(fā)明提出了一種系統(tǒng)日志的處理方法���,應(yīng)用于預(yù)先設(shè)置了
Syslog升級(jí)為Trap的各項(xiàng)規(guī)則的網(wǎng)絡(luò)設(shè)備中���,所述方法包括以下步驟 當(dāng)需要分析的系統(tǒng)日志輸入后�����,根據(jù)所述Syslog升級(jí)為Trap的匹配規(guī)則對(duì)所述
系統(tǒng)日志進(jìn)行匹配�����,并在匹配成功后���,從所述系統(tǒng)日志中提取參數(shù)值; 對(duì)所述參數(shù)值進(jìn)行統(tǒng)計(jì)�,并根據(jù)統(tǒng)計(jì)結(jié)果判斷是否需要產(chǎn)生Trap ; 當(dāng)判斷結(jié)果為需要產(chǎn)生Tr即時(shí),根據(jù)所述系統(tǒng)日志生成Tr即��,并將所述生成的
Trap發(fā)送給對(duì)應(yīng)的組件�。 所述預(yù)先設(shè)置的Syslog升級(jí)為Trap的各項(xiàng)規(guī)則中包括以下內(nèi)容中的一種或幾 種 匹配規(guī)則,時(shí)間窗�,是否進(jìn)行參數(shù)值匹配,統(tǒng)計(jì)方式���,Trap閾值�����,是否全網(wǎng)分析��,是 否產(chǎn)生恢復(fù)Tr即�����。 所述匹配規(guī)則中包含了前導(dǎo)字符串�、后導(dǎo)字符串�����、參數(shù)名稱和參數(shù)值的四元組�,
對(duì)所述系統(tǒng)日志進(jìn)行匹配具體包括 解析所述匹配規(guī)則,并從所述匹配規(guī)則中獲取前導(dǎo)字符串�、后導(dǎo)字符串和參數(shù)名 稱; 通過(guò)使用所述前導(dǎo)字符串����、后導(dǎo)字符串和參數(shù)名稱對(duì)所述系統(tǒng)日志進(jìn)行匹配。
從所述系統(tǒng)日志中提取參數(shù)值之后���,還包括 存儲(chǔ)所述從系統(tǒng)日志中提取的參數(shù)值����,為所述參數(shù)值設(shè)置時(shí)間窗;并在所述參數(shù) 值超出所述時(shí)間窗的范圍時(shí)���,刪除所述參數(shù)值�����。 對(duì)所述參數(shù)值進(jìn)行統(tǒng)計(jì)�����,并根據(jù)統(tǒng)計(jì)結(jié)果判斷是否需要產(chǎn)生Trap具體包括
對(duì)位于所述時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì)����,并在所述參數(shù)值中某個(gè)值的發(fā)生次 數(shù)累計(jì)達(dá)到預(yù)設(shè)的第一Tr即閾值時(shí)�,判斷需要產(chǎn)生Tr即;否則����,判斷不需要產(chǎn)生Trap ;或 者, 對(duì)位于所述時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì)�,并在所述參數(shù)值中所有值的發(fā)生次 數(shù)累計(jì)達(dá)到預(yù)設(shè)的第二 Tr即閾值時(shí),判斷需要產(chǎn)生Tr即����;否則���,判斷不需要產(chǎn)生Tr即。
當(dāng)需要產(chǎn)生恢復(fù)Trap時(shí)�,將所述生成的Trap發(fā)送給對(duì)應(yīng)的組件之后,還包括
在對(duì)位于時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì)時(shí)�����,如果根據(jù)統(tǒng)計(jì)結(jié)果判斷出不需要產(chǎn) 生Tr即��,生成恢復(fù)Tr即�,并將所述恢復(fù)Trap發(fā)送給所述對(duì)應(yīng)的組件�。
—種應(yīng)用于上述方法的裝置,應(yīng)用于預(yù)先設(shè)置了 Syslog升級(jí)為Trap的各項(xiàng)規(guī)則 的網(wǎng)絡(luò)設(shè)備中����,所述裝置包括 設(shè)置模塊,用于設(shè)置所述Syslog升級(jí)為Trap的各項(xiàng)規(guī)則���; 匹配提取模塊�����,與所述設(shè)置模塊連接�����,用于當(dāng)需要分析的系統(tǒng)日志輸入后��,根據(jù)所 述設(shè)置模塊設(shè)置的Syslog升級(jí)為Trap的匹配規(guī)則對(duì)所述系統(tǒng)日志進(jìn)行匹配����;并在匹配成 功后,從所述系統(tǒng)日志中提取參數(shù)值�; 統(tǒng)計(jì)模塊,與所述設(shè)置模塊和所述匹配提取模塊分別連接����,用于根據(jù)所述設(shè)置 模塊設(shè)置的統(tǒng)計(jì)方式,對(duì)所述參數(shù)值進(jìn)行統(tǒng)計(jì)�����,并根據(jù)所述統(tǒng)計(jì)結(jié)果判斷是否需要產(chǎn)生 Tr即^ 處理模塊����,與所述設(shè)置模塊和統(tǒng)計(jì)模塊分別連接,用于在判斷結(jié)果為需要產(chǎn)生
Trap時(shí)���,根據(jù)所述系統(tǒng)日志生成Tr即�����,將所述生成的Trap發(fā)送給對(duì)應(yīng)的組件�����。 所述Syslog升級(jí)為Trap的各項(xiàng)規(guī)則中包括以下內(nèi)容中的一種或幾種 匹配規(guī)則���,時(shí)間窗����,是否進(jìn)行參數(shù)值匹配��,統(tǒng)計(jì)方式��,Trap閾值�,是否全網(wǎng)分析����,是
否產(chǎn)生恢復(fù)Tr即;其中�����, 所述匹配規(guī)則中包含了前導(dǎo)字符串、后導(dǎo)字符串�、參數(shù)名稱和參數(shù)值的四元組。
所述匹配提取模塊具體包括 解析子模塊����,用于解析所述匹配規(guī)則,并從所述匹配規(guī)則中獲取前導(dǎo)字符串�����、后導(dǎo) 字符串和參數(shù)名稱����; 匹配子模塊,與所述解析子模塊連接��,用于通過(guò)使用所述前導(dǎo)字符串��、后導(dǎo)字符串 和參數(shù)名稱對(duì)所述系統(tǒng)日志進(jìn)行匹配�; 提取子模塊,與所述匹配子模塊連接�,用于在匹配成功后,從所述系統(tǒng)日志中提取 參數(shù)值。 所述統(tǒng)計(jì)模塊具體包括 存儲(chǔ)子模塊���,用于存儲(chǔ)所述匹配提取模塊從所述系統(tǒng)日志中提取的參數(shù)值��;
刪除子模塊�,與所述存儲(chǔ)子模塊連接�,用于在所述參數(shù)值超出所述時(shí)間窗的范圍 時(shí),從所述存儲(chǔ)子模塊中刪除所述參數(shù)值�; 統(tǒng)計(jì)子模塊,與所述存儲(chǔ)子模塊和處理子模塊分別連接��,用于對(duì)所述存儲(chǔ)子模塊 中位于所述時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì)���, 在所述參數(shù)值中某個(gè)值的發(fā)生次數(shù)累計(jì)達(dá)到預(yù)設(shè)的第一 Trap閾值時(shí)���,判斷需要 產(chǎn)生Tr即;否則�,判斷不需要產(chǎn)生Tr即�����;或者�, 在所述參數(shù)值中所有值的發(fā)生次數(shù)累計(jì)達(dá)到預(yù)設(shè)的第二 Trap閾值時(shí),判斷需要 產(chǎn)生Tr即;否則���,判斷不需要產(chǎn)生Tr即�。
當(dāng)需要產(chǎn)生恢復(fù)Tr即時(shí)�����, 所述處理模塊還用于��,在對(duì)位于時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì)時(shí)��,如果根據(jù)統(tǒng) 計(jì)結(jié)果判斷出不需要產(chǎn)生Tr即�����,生成恢復(fù)Tr即��,并將所述恢復(fù)Tr即發(fā)送給所述對(duì)應(yīng)的組 件���。 與現(xiàn)有技術(shù)相比��,本發(fā)明具有以下優(yōu)點(diǎn)通過(guò)使用網(wǎng)管根據(jù)自身需要設(shè)置的匹配 模板提取參數(shù)值���,并根據(jù)該參數(shù)值進(jìn)行統(tǒng)計(jì),從而提高了 IT系統(tǒng)中Syslog的使用效率和分 析能力,并且通過(guò)Trap和其它組件進(jìn)行聯(lián)動(dòng)����,實(shí)現(xiàn)了主動(dòng)管理的目的。
圖1為本發(fā)明提出的一種系統(tǒng)日志的處理方法流程圖��; 圖2為本發(fā)明一種具體應(yīng)用場(chǎng)景下提出的系統(tǒng)日志的處理方法流程圖���; 圖3為本發(fā)明提出的一種系統(tǒng)日志的處理裝置結(jié)構(gòu)圖�����。
具體實(shí)施例方式
本發(fā)明的核心思想是由網(wǎng)管根據(jù)自身的實(shí)際需要設(shè)置匹配模板���,并使用該匹配模
板對(duì)需要分析的系統(tǒng)日志進(jìn)行匹配,在匹配成功后�,提取系統(tǒng)日志中的參數(shù)值。 進(jìn)一步的�,通過(guò)對(duì)提取到的參數(shù)值進(jìn)行統(tǒng)計(jì),并根據(jù)統(tǒng)計(jì)結(jié)果判斷是否需要產(chǎn)生
Tr即���,從而使得設(shè)備可以使用根據(jù)實(shí)際需要所設(shè)置的匹配模板來(lái)產(chǎn)生Tr即�,提高了 IT系統(tǒng)
中Syslog的使用效率和分析能力��,并且通過(guò)Trap和其它組件進(jìn)行聯(lián)動(dòng)��,實(shí)現(xiàn)了主動(dòng)管理的目的�。 如圖l所示,為本發(fā)明提出的一種系統(tǒng)日志的處理方法����,應(yīng)用于預(yù)先設(shè)置了
Syslog升級(jí)為Trap的各項(xiàng)規(guī)則的網(wǎng)絡(luò)設(shè)備中,所述方法包括以下步驟 步驟101�����,當(dāng)需要分析的系統(tǒng)日志輸入后�����,根據(jù)所述Syslog升級(jí)為Trap的匹配規(guī)
則對(duì)所述系統(tǒng)日志進(jìn)行匹配��,并在匹配成功后��,從所述系統(tǒng)日志中提取參數(shù)值���。 其中�,所述預(yù)先設(shè)置的Syslog升級(jí)為Trap的各項(xiàng)規(guī)則中包括以下內(nèi)容中的一種
或幾種匹配規(guī)則���,時(shí)間窗�,是否進(jìn)行參數(shù)值匹配,統(tǒng)計(jì)方式����,Trap閾值,是否全網(wǎng)分析����,是
否產(chǎn)生恢復(fù)Tr即。 步驟102��,對(duì)所述參數(shù)值進(jìn)行統(tǒng)計(jì)�����,并根據(jù)統(tǒng)計(jì)結(jié)果判斷是否需要產(chǎn)生Trap���。
步驟103�,當(dāng)判斷結(jié)果為需要產(chǎn)生Trap時(shí)���,根據(jù)所述系統(tǒng)日志生成Trap,并將所述 生成的Trap發(fā)送給對(duì)應(yīng)的組件�。 為了更加清楚的說(shuō)明本發(fā)明所提供的系統(tǒng)日志的處理方法����,以下結(jié)合一種具體的
應(yīng)用場(chǎng)景對(duì)本發(fā)明進(jìn)行詳細(xì)贅述�。 如圖2所示����,該方法包括以下步驟 步驟201�����,設(shè)置Syslog升級(jí)為Trap的各項(xiàng)規(guī)則����。其中,Syslog升級(jí)為Trap的各 項(xiàng)規(guī)則中包括但不限于匹配模板(或者稱為匹配規(guī)則)�����,時(shí)間窗����,是否進(jìn)行參數(shù)值匹配,統(tǒng) 計(jì)方式���,Trap閾值����,是否全網(wǎng)分析,是否產(chǎn)生恢復(fù)Tr即等信息�����。 具體的���,以下對(duì)該匹配模板���,時(shí)間窗,是否進(jìn)行參數(shù)值匹配�����,統(tǒng)計(jì)方式�,Trap閾值, 是否全網(wǎng)分析�����,是否產(chǎn)生恢復(fù)Trap進(jìn)行詳細(xì)說(shuō)明�。 (1)匹配模板。匹配模板是網(wǎng)管人員根據(jù)實(shí)際需要任意設(shè)置的���,通過(guò)使用該匹配模 板�����,可以判斷出要處理的Syslog是否能夠和Syslog升級(jí)為Tr即的規(guī)則相匹配���,如果匹配 時(shí),則可以從Syslog中提取出匹配模板中所指定的參數(shù)值��。其中��,網(wǎng)管人員可以根據(jù)現(xiàn)有 的日志和自身需要的參數(shù)值設(shè)置匹配模板�����。
例如���,對(duì)于Arp 0verspeed類的日志 〈182>0ct 1211:02:5219. 82. 2. 20Arp 300 : 56 : 152000Monza_IRF % % 10DHCP_SNP/5/arp_overspeed(1) :_8_PacketLimit :ARP packet rate(35pps)exceeded on interface Ethernet8/0/18.The port will be down !
當(dāng)網(wǎng)管人員需要的參數(shù)值為packet rate的值和inputDevicelfDesc (即 interface)的值時(shí)�,網(wǎng)管人員可以將 PacketLimit :ARP packet rate ($ (Packet Rate) ) exceeded on interface$ (inputDevicelfDesc). The port will be down ! 定義為匹配模板��,在該匹配模板中����,需要提取的參數(shù)值為Packet Rate的值和 inputDevicelfDesc的值��。 綜上可以看出����,上述的匹配模板對(duì)網(wǎng)絡(luò)設(shè)備(例如���,交換機(jī)設(shè)備等)上產(chǎn)生的Arp Overspeed類的日志進(jìn)行了匹配���,而且該匹配模板中定義了兩個(gè)參數(shù)值,分別為$ (Packet Rate)和$ (inputDevicelfDesc)��,當(dāng)Arp Overspeed類的日志完全可以和該匹配模板進(jìn)行 匹配時(shí)�����,則可以提取出Arp Overspeed類的日志中的關(guān)鍵字35pps和Ethernet8/0/18����。
可見(jiàn),本發(fā)明中����,網(wǎng)管人員根據(jù)實(shí)際需要定義匹配模板,通過(guò)使用該匹配模板,可 以精確的過(guò)濾出符合條件的Syslog���,而且由于匹配模板中定義了需要提取的參數(shù)值���,繼而 可以通過(guò)使用匹配模板提取出網(wǎng)管人員所需要的參數(shù)值。
(2)時(shí)間窗�����。在網(wǎng)絡(luò)設(shè)備上���,匹配模板處理syslog時(shí)一般都具有時(shí)效性,即通常需
要對(duì)一段時(shí)間內(nèi)的Syslog進(jìn)行分析��,本發(fā)明中�����,通過(guò)為Syslog設(shè)置時(shí)間窗�����,由時(shí)間窗來(lái)指
定被處理syslog的有效時(shí)間���,使得可以在該時(shí)間窗的范圍內(nèi)對(duì)Syslog進(jìn)行分析�,并提取出
相應(yīng)的參數(shù)值;而當(dāng)超過(guò)時(shí)間窗后�����,該Syslog不再參與相應(yīng)的處理過(guò)程�����。 (3)是否進(jìn)行參數(shù)值匹配�。在設(shè)置匹配模板的過(guò)程中,如果指定需要進(jìn)行參數(shù)值匹
配時(shí)�����,則從Syslog中提取的參數(shù)值還需要和對(duì)應(yīng)的參數(shù)值匹配參數(shù)進(jìn)行匹配�,其中,該是
否進(jìn)行參數(shù)值匹配為可選的����。 (4)統(tǒng)計(jì)方式。統(tǒng)計(jì)方式是指各參數(shù)值的統(tǒng)計(jì)方法�,包括但不限于Topl統(tǒng)計(jì)方式, 或匯總統(tǒng)計(jì)方式等����;其中�,當(dāng)參數(shù)值的發(fā)生次數(shù)達(dá)到Trap的閾值后���,則產(chǎn)生Trap,并發(fā)送給 指定的接收者�,該接收者可以為告警組件�、安全組件等。 具體的�����,在使用Topi統(tǒng)計(jì)方式進(jìn)行統(tǒng)計(jì)的過(guò)程中�,對(duì)于某個(gè)參數(shù)值,可以指定該 參數(shù)值的統(tǒng)計(jì)方式為Topl方式����,即在預(yù)設(shè)的時(shí)間范圍內(nèi)���,當(dāng)參數(shù)值中某個(gè)值的發(fā)生次數(shù)累 計(jì)達(dá)到預(yù)設(shè)的Tr即閾值門限后�����,則需要產(chǎn)生Tr即��。 例如�,對(duì)于上述的Arp Overspeed類的日志,Packet Rate為參數(shù)值���,而對(duì)于該 Packet Rate,有5pps�����、 15pps���、25pps、和35pps等數(shù)值���,如果選擇該數(shù)值35pps為上述的參數(shù) 值中某個(gè)值�,此時(shí)����,需要對(duì)數(shù)值35pps的發(fā)生次數(shù)進(jìn)行累加,假設(shè)預(yù)設(shè)的Trap閾值門限為大 于50%����,則統(tǒng)計(jì)過(guò)程中,在時(shí)間窗的范圍內(nèi)��,如果獲取到了 100個(gè)參數(shù)值為Packet Rate的 值,在100個(gè)Packet Rate中����,只需要關(guān)心數(shù)值為35pps的數(shù)量(而不需要關(guān)心數(shù)值為5卯s、 15pps等的數(shù)量)�����,如果數(shù)值為35pps的數(shù)量超過(guò)50個(gè)(Tr即閾值門限大于50X)時(shí)�,則需 要產(chǎn)生Tr即,否則�,不需要產(chǎn)生Tr即。 當(dāng)然���,在實(shí)際應(yīng)用中��,還可以對(duì)參數(shù)值中某段數(shù)值進(jìn)行累加并判斷是否到達(dá)Trap 閾值門限�����,例如,將Packet Rate分段為0-5pps��、5pps-15pps�����、 15pps_25pps、25pps_35pps����、 以及大于35pps等幾段;如果選擇15pps-25pps為上述的參數(shù)值中某段數(shù)值���,此時(shí)�,需要對(duì) 位于15pps-25pps之間的數(shù)值的發(fā)生次數(shù)進(jìn)行累加���,假設(shè)預(yù)設(shè)的Trap閾值門限仍然為大于 50%�,則統(tǒng)計(jì)過(guò)程中��,在時(shí)間窗的范圍內(nèi)��,如果獲取到了 100個(gè)參數(shù)值為Packet Rate的值����, 在100個(gè)Packet Rate中,只需要關(guān)心數(shù)值在15pps-25pps之間的數(shù)量(而不需要關(guān)心數(shù)值在0-5pps等時(shí)的數(shù)量)�,如果數(shù)值在15pps-25pps之間的數(shù)量超過(guò)50個(gè)時(shí),則需要產(chǎn)生 Tr即�����,否則,不需要產(chǎn)生Tr即�����。 另外�����,在使用匯總統(tǒng)計(jì)方式進(jìn)行統(tǒng)計(jì)的過(guò)程中�����,對(duì)于某個(gè)參數(shù)值��,可以指定該參數(shù) 值的統(tǒng)計(jì)方式為匯總統(tǒng)計(jì)方式�����,即在預(yù)設(shè)的時(shí)間范圍內(nèi)����,當(dāng)參數(shù)值中所有值的發(fā)生次數(shù)累 計(jì)達(dá)到預(yù)設(shè)的Tr即閾值門限后,則需要產(chǎn)生Tr即���。 例如��,對(duì)于上述的Arp Overspeed類的日志���,Packet Rate為參數(shù)值,預(yù)設(shè)的Tr即 閾值門限為IOO����,則統(tǒng)計(jì)過(guò)程中���,在時(shí)間窗的范圍內(nèi)�,如果獲取到了 100個(gè)參數(shù)值為Packet Rate的值時(shí),則需要產(chǎn)生Trap ;否則���,當(dāng)在時(shí)間窗的范圍內(nèi)�,沒(méi)有獲取到100個(gè)參數(shù)值為 Packet Rate的值時(shí)��,則不需要產(chǎn)生Tr即�。與Topi統(tǒng)計(jì)方式不同的是,在使用匯總統(tǒng)計(jì)方 式進(jìn)行統(tǒng)計(jì)時(shí)�,當(dāng)獲得PacketRate后,并不需要關(guān)心Packet Rate的值是多少���,即不需要知 道Packet Rate的值是5pps���、還是15卯s等����,采用匯總統(tǒng)計(jì)方式時(shí)只需要知道一共獲得了多 少Packet Rate ;而采用Topi統(tǒng)計(jì)方式時(shí)���,還需要關(guān)心Packet Rate中某個(gè)值的信息��。
當(dāng)然���,在實(shí)際應(yīng)用中,并不局限于使用上述的TOPI統(tǒng)計(jì)方式和匯總統(tǒng)計(jì)方式進(jìn)行 統(tǒng)計(jì)�����,還可以使用的其他的方式進(jìn)行統(tǒng)計(jì)���,本發(fā)明中不在詳加贅述�����。 (5)Tr即閾值��。Trap閾值為產(chǎn)生Tr即時(shí)所使用的閾值����,是根據(jù)實(shí)際需要任意設(shè)置 的�,例如,上述使用匯總統(tǒng)計(jì)方式進(jìn)行統(tǒng)計(jì)時(shí)�����,Packet Rate對(duì)應(yīng)的閾值門限100即該Trap 閾值��。 需要說(shuō)明的是����,在對(duì)參數(shù)值進(jìn)行統(tǒng)計(jì)的過(guò)程中,為了能夠區(qū)分Topl統(tǒng)計(jì)方式和匯 總統(tǒng)計(jì)方式所使用的Trap閾值���,本發(fā)明中�,將Topi統(tǒng)計(jì)方式所使用的Trap閾值稱為第一 Trap閾值����,將匯總統(tǒng)計(jì)方式使用的Trap閾值稱為第二 Trap閾值。例如,上述預(yù)設(shè)的Trap 閾值門限為大于50%將對(duì)應(yīng)于第一 Trap閾值�����,而Trap閾值門限為100將對(duì)應(yīng)于第二 Trap 閾值�����。 (6)是否全網(wǎng)分析��。當(dāng)需要全網(wǎng)分析時(shí)�����,需要綜合考慮網(wǎng)絡(luò)中所有設(shè)備�,并進(jìn)行分 析;當(dāng)不需要全網(wǎng)分析時(shí)�����,只需要對(duì)單獨(dú)的網(wǎng)絡(luò)設(shè)備進(jìn)行分析�����。其中�,該是否全網(wǎng)分析是可 選的����,本發(fā)明中以不需要全網(wǎng)分析為例進(jìn)行說(shuō)明���。 (7)是否產(chǎn)生恢復(fù)Tr即�����。當(dāng)網(wǎng)絡(luò)設(shè)備恢復(fù)時(shí),需要產(chǎn)生恢復(fù)Trap時(shí)�����,即統(tǒng)計(jì)過(guò)程 中獲知需要產(chǎn)生Tr即(在已經(jīng)產(chǎn)生了 Trap的基礎(chǔ)上)�,則需要產(chǎn)生恢復(fù)Trap ;而不需要產(chǎn) 生恢復(fù)Tr即時(shí),當(dāng)網(wǎng)絡(luò)設(shè)備恢復(fù)時(shí)����,不需要產(chǎn)生恢復(fù)Tr即。其中����,該是否產(chǎn)生恢復(fù)Trap是 可選的。本發(fā)明中�����,以需要產(chǎn)生恢復(fù)Trap為例進(jìn)行說(shuō)明。 步驟202��,解析Syslog升級(jí)為Trap的各項(xiàng)規(guī)則中的匹配模板�����,并分離出匹配模板 中的組成元素��。其中�����,通過(guò)使用網(wǎng)管人員預(yù)先設(shè)置的模板解析程序����,即可以從匹配模板中分 離出匹配模板中的組成元素。 具體的����,一個(gè)匹配模板是由多個(gè)組成元素組成的,而每個(gè)元素都由一個(gè)四元組組 成�����,其中,可以將該四元組定義為{前導(dǎo)字符串��;后導(dǎo)字符串���;參數(shù)名稱����;參數(shù)值K
例如����,對(duì)于上述的匹配模板 PacketLimit :ARP packet rate ($ (Packet Rate) ) exceeded on interface$ (inputDevicelfDesc). The port will be down ! 對(duì)于元素Packet Rate來(lái)說(shuō),對(duì)應(yīng)的前導(dǎo)字符串為ARP packet rate�,后導(dǎo)字符串 為exceeded on interface,參數(shù)名稱為Packet Rate,參數(shù)值為具體的數(shù)值(例如����,35pps等)。 步驟203�����,當(dāng)需要分析的Syslog輸入后���,根據(jù)匹配模板中的元素進(jìn)行匹配����,并在匹配成功后,提取參數(shù)值���。 具體的�,當(dāng)獲知需要分析的Syslog后���,需要使用該匹配模板中的四元組對(duì)Syslog進(jìn)行匹配��,即通過(guò)使用匹配模板中的前導(dǎo)字符串����、后導(dǎo)字符串和參數(shù)名稱匹配Syslog中是否相同的記錄�����,當(dāng)有相同的記錄時(shí)�����,則說(shuō)明匹配成功����,此時(shí)�,可以從Syslog中提取出參數(shù)值����,該參數(shù)值的位置可以由前導(dǎo)字符串、后導(dǎo)字符串和參數(shù)名稱的位置確定����。當(dāng)匹配不成功時(shí),則說(shuō)明該Syslog不是網(wǎng)管人員所關(guān)心的Syslog�,可以不對(duì)該Syslog進(jìn)行分析處理。
步驟204��,當(dāng)參數(shù)值提取成功后�����,將Syslog存儲(chǔ)到緩存列表中��,記錄Syslog的時(shí)間��,并存儲(chǔ)從Syslog中提取的參數(shù)值�����。 具體的�����,本發(fā)明中����,通過(guò)為每個(gè)參數(shù)建立哈希緩存,繼而可以使用該哈希緩存存儲(chǔ)從匹配成功的Syslog中所提取的參數(shù)值���。例如�,對(duì)于上述的參數(shù)Packet Rate,當(dāng)Syslog與前導(dǎo)字符串ARP packet rate,后導(dǎo)字符串exceeded oninterface�����,和參數(shù)名稱PacketRate匹配成功后�����,則需要在Packet Rate對(duì)應(yīng)的哈希緩存中記錄對(duì)應(yīng)的參數(shù)值(例如�����,35卯s等)�。 步驟205,對(duì)參數(shù)值進(jìn)行統(tǒng)計(jì),并根據(jù)統(tǒng)計(jì)結(jié)果判斷是否需要產(chǎn)生Trap�。其中,對(duì)參數(shù)值進(jìn)行統(tǒng)計(jì)的方式可以為Topi統(tǒng)計(jì)方式�,或者,匯總統(tǒng)計(jì)方式�����;該統(tǒng)計(jì)方式在上面的步驟中已經(jīng)詳細(xì)說(shuō)明�,本步驟中不再贅述。當(dāng)判斷結(jié)果為需要產(chǎn)生Trap時(shí)��,轉(zhuǎn)到步驟206����,當(dāng)判斷結(jié)果為不需要產(chǎn)生Trap時(shí),轉(zhuǎn)到步驟207����。 另外,在本步驟中����,一并為Syslog設(shè)置了時(shí)間窗��,如果Syslog記錄的時(shí)間超出了
時(shí)間窗時(shí)�����,則直接從緩存列表中刪除該Syslog,對(duì)相應(yīng)的參數(shù)值不進(jìn)行統(tǒng)計(jì)���。 步驟206�,生成Tr即��,并將生成的Trap發(fā)送給對(duì)應(yīng)的組件��。其中�����,該組件可以為告
警組件�、安全組件等。 具體的�����,在生成Trap的過(guò)程中���,為了使生成的Trap能夠被其他組件有效的利用����,在生成的Trap中需要充分體現(xiàn)Syslog的信息和Syslog升級(jí)為Trap的規(guī)則信息等。
本發(fā)明中���,Tr即中的字段包括規(guī)則名稱��,描述信息����,嚴(yán)重級(jí)別�����,分類�,Syslog參數(shù)等信息;當(dāng)然�����,實(shí)際應(yīng)用中��,Trap中的字段并不局限于此���,可以根據(jù)實(shí)際的需要進(jìn)行添加和調(diào)整����,該Tr即中的字段也可以是上述字段中的任意組合���。 規(guī)則名稱是現(xiàn)有Syslog的分類名稱����,例如����,對(duì)于上述的Arp 0verspeed類的日志,可知�,Syslog的分類名稱對(duì)應(yīng)的數(shù)值為182,將182/8所得的商為Syslog的分類名稱所對(duì)應(yīng)的類型��。其中��,現(xiàn)有協(xié)議中���,對(duì)Syslog共分成了 22個(gè)類別����,上述的Arp Overspeed類的日志對(duì)應(yīng)著第22個(gè)類別���;例如��,Syslog的分類名稱包括告警類別�、故障類別等,本發(fā)明實(shí)施例中不再詳加贅述���。 描述信息是上述Syslog的分類所對(duì)應(yīng)的信息�,例如���,當(dāng)獲知Syslog的分類名稱為
告警類別時(shí)��,對(duì)應(yīng)的描述信息為產(chǎn)生該告警類別的原因�,在此不再詳加贅述�����。 嚴(yán)重級(jí)別為網(wǎng)管人員根據(jù)參數(shù)值等信息進(jìn)行設(shè)置的���,可以根據(jù)自身的需要進(jìn)行調(diào)
整���,例如,在使用T0P1統(tǒng)計(jì)方式時(shí)�����,對(duì)于Arp Overspeed類日志,當(dāng)獲取到了 100個(gè)參數(shù)值
為Packet Rate的值后��,如果Packet Rate的值為35pps的數(shù)量超過(guò)50個(gè)���,則嚴(yán)重級(jí)別為
1級(jí);當(dāng)超過(guò)60個(gè)����,則嚴(yán)重級(jí)別為2級(jí);當(dāng)超過(guò)70個(gè)�,則嚴(yán)重級(jí)別為3級(jí)等。
分類是該Syslog所對(duì)應(yīng)的類別信息���,包括但不限于系統(tǒng)信息��、磁盤(pán)信息��、調(diào)度信息等���,例如,當(dāng)獲知Syslog是系統(tǒng)類的日志時(shí)�����,則分類為系統(tǒng)信息。 Syslog參數(shù)為匹配模板中設(shè)置的參數(shù)名稱和參數(shù)值���,通過(guò)使用該Syslog參數(shù)�����,告警組件��、安全組件等可以獲知該Trap的詳細(xì)信息���,繼而可以根據(jù)該Trap進(jìn)行相應(yīng)的處理,該處理過(guò)程本發(fā)明中不再贅述�����。其中�,該Syslog參數(shù)的字段格式為(參數(shù)l)=(值)&(參數(shù)2)=(值)…&(參數(shù)n)=(值)。 需要說(shuō)明的是�����,本發(fā)明中���,在需要產(chǎn)生恢復(fù)Trap的情況下�,如果對(duì)參數(shù)值進(jìn)行統(tǒng)
計(jì)的過(guò)程中,根據(jù)統(tǒng)計(jì)結(jié)果獲知參數(shù)值沒(méi)有達(dá)到預(yù)設(shè)的Trap閾值門限�����,此時(shí)��,不需要產(chǎn)生
Tr即��,但是���,還需要產(chǎn)生恢復(fù)Tr即,并將該恢復(fù)Trap通知給對(duì)應(yīng)的組件���。其中����,該恢復(fù)Trap
與Trap類似����,只是二者的Trap標(biāo)識(shí)不同,繼而使得對(duì)應(yīng)的組件可以區(qū)分該恢復(fù)Tr即�,并進(jìn)
行相應(yīng)的處理���,在此不再詳加贅述。 步驟207�,不產(chǎn)生Tr即,并繼續(xù)等待�。 其中,本發(fā)明中的步驟還可以根據(jù)實(shí)際的需要進(jìn)行調(diào)整���。 如圖3所示�,為本發(fā)明所提出的應(yīng)用上述方法的裝置�����,應(yīng)用于預(yù)先設(shè)置了匹配模板的網(wǎng)絡(luò)設(shè)備中���,所述裝置包括設(shè)置模塊31 ���、匹配提取模塊32、統(tǒng)計(jì)模塊33和處理模塊34���,其中����,設(shè)置模塊31和匹配提取模塊32、統(tǒng)計(jì)模塊33���、處理模塊34分別連接�,該匹配提取模塊32與統(tǒng)計(jì)模塊33連接���,該統(tǒng)計(jì)模塊33與處理模塊34連接��。在該裝置中��,
設(shè)置模塊31����,用于設(shè)置Syslog升級(jí)為Tr即的各項(xiàng)規(guī)則����,其中�,該Syslog升級(jí)為Trap的各項(xiàng)規(guī)則中的內(nèi)容包括但不限于匹配規(guī)則,時(shí)間窗�����,是否進(jìn)行參數(shù)值匹配,統(tǒng)計(jì)方式��,Trap閾值���,是否全網(wǎng)分析����,是否產(chǎn)生恢復(fù)Trap等����。 具體的,該設(shè)置模塊31用于設(shè)置匹配規(guī)則���,時(shí)間窗��,是否進(jìn)行參數(shù)值匹配��,統(tǒng)計(jì)方式����,Trap閾值�����,是否全網(wǎng)分析,是否產(chǎn)生恢復(fù)Trap等信息����。其中,在設(shè)置模塊31設(shè)置匹配規(guī)則的過(guò)程中�����,匹配規(guī)則在實(shí)際應(yīng)用中���,可以根據(jù)實(shí)際的需要由網(wǎng)絡(luò)管理員任意進(jìn)行設(shè)置��,例如����,可以根據(jù)現(xiàn)有的日志和需要的參數(shù)值設(shè)置匹配模板�����。在設(shè)置模塊31設(shè)置時(shí)間窗的過(guò)程中�,可以根據(jù)實(shí)際的需要為syslog設(shè)置時(shí)間窗的范圍��,以通過(guò)使用時(shí)間窗來(lái)指定被處理syslog的有效時(shí)間��,使得可以在該時(shí)間窗的范圍內(nèi)對(duì)Syslog進(jìn)行分析。在設(shè)置模塊31設(shè)置統(tǒng)計(jì)方式的過(guò)程中�����,該設(shè)置模塊31可以根據(jù)實(shí)際需要為Syslog設(shè)置Topi統(tǒng)計(jì)方式�����,或匯總統(tǒng)計(jì)方式�����;同樣的�����,在設(shè)置統(tǒng)計(jì)方式時(shí)����,設(shè)置模塊31還需要為統(tǒng)計(jì)方式設(shè)置Trap閾值,例如��,為Topi統(tǒng)計(jì)方式設(shè)置第一 Trap閾值��,為匯總統(tǒng)計(jì)方式設(shè)置第二 Trap閾值��。此外,該設(shè)置模塊31還可以根據(jù)實(shí)際的需要設(shè)置是否進(jìn)行參數(shù)值匹配����、是否全網(wǎng)分析以及是否產(chǎn)生恢復(fù)Trap等信息,例如�����,當(dāng)網(wǎng)絡(luò)中的設(shè)備相關(guān)性很大時(shí)���,該設(shè)置模塊31可以設(shè)置全網(wǎng)分析的規(guī)則���,繼而可以綜合考慮網(wǎng)絡(luò)中的所有設(shè)備,并進(jìn)行分析�����,以滿足網(wǎng)管的需求����。
匹配提取模塊32,用于當(dāng)需要分析的系統(tǒng)日志輸入后�,根據(jù)所述設(shè)置模塊31設(shè)置的Syslog升級(jí)為Trap的匹配規(guī)則對(duì)所述系統(tǒng)日志進(jìn)行匹配����;并在匹配成功后�����,從所述系統(tǒng)日志中提取參數(shù)值���。 本發(fā)明中,該匹配提取模塊32進(jìn)一步包括 解析子模塊321����,用于解析設(shè)置模塊31設(shè)置的匹配規(guī)則,由于匹配規(guī)則是由多個(gè)組成元素組成的���,而每個(gè)組成元素都由一個(gè)四元組組成�����,該四元組定義為{前導(dǎo)字符串�;后導(dǎo)字符串���;參數(shù)名稱���;參數(shù)值K可以看出���,該 析子模塊321可以從匹配規(guī)則中獲取到四元組中的前導(dǎo)字符串;后導(dǎo)字符串�;參數(shù)名稱等信息。具體地���,該解析子模塊321可以通過(guò)使用預(yù)設(shè)的模板解析程序從匹配模板中獲取到對(duì)應(yīng)的組成元素����。 匹配子模塊322����,與該解析子模塊321連接,用于通過(guò)使用解析子模塊321從匹配
模板中獲取的前導(dǎo)字符串����、后導(dǎo)字符串和參數(shù)名稱對(duì)所述需要分析的系統(tǒng)日志進(jìn)行匹配。 具體的����,當(dāng)需要分析的系統(tǒng)日志輸入后,該匹配子模塊322需要使用上述解析子
模塊321獲得的前導(dǎo)字符串��、后導(dǎo)字符串和參數(shù)名稱對(duì)該系統(tǒng)日志進(jìn)行匹配;當(dāng)系統(tǒng)日志
與前導(dǎo)字符串����、后導(dǎo)字符串和參數(shù)名稱有相同的記錄時(shí)����,則說(shuō)明匹配成功;而當(dāng)系統(tǒng)日志與
前導(dǎo)字符串����、后導(dǎo)字符串和參數(shù)名稱沒(méi)有相同的記錄時(shí),則說(shuō)明匹配不成功�。 提取子模塊323,與該匹配子模塊322連接��,用于在匹配成功后�,從所述系統(tǒng)日志
中提取參數(shù)值。其中�,當(dāng)匹配子模塊322匹配成功時(shí),該提取子模塊323可以從系統(tǒng)日志中
提取參數(shù)值�,該參數(shù)值的位置可以由前導(dǎo)字符串、后導(dǎo)字符串和參數(shù)名稱的位置確定��。而當(dāng)
匹配子模塊322匹配不成功時(shí)�����,則說(shuō)明該系統(tǒng)日志不是網(wǎng)管人員所關(guān)心的系統(tǒng)日志,可以
不對(duì)該系統(tǒng)日志進(jìn)行分析處理��,提取子模塊323不需要提取任何信息���。 統(tǒng)計(jì)模塊33���,用于根據(jù)設(shè)置模塊31設(shè)置的統(tǒng)計(jì)方式,對(duì)在時(shí)間窗內(nèi)的所述參數(shù)值
進(jìn)行統(tǒng)計(jì)�����,并根據(jù)所述統(tǒng)計(jì)結(jié)果判斷是否需要產(chǎn)生Trap�。其中,設(shè)置模塊31設(shè)置的統(tǒng)計(jì)方
式包括但不限于Topl統(tǒng)計(jì)或者匯總統(tǒng)計(jì)�����。 本發(fā)明中�,該統(tǒng)計(jì)模塊33進(jìn)一步包括 存儲(chǔ)子模塊331,用于存儲(chǔ)所述匹配提取模塊32從所述系統(tǒng)日志中提取的參數(shù)值��。 具體的�,該存儲(chǔ)子模塊331中為每個(gè)參數(shù)建立了哈希緩存,當(dāng)匹配提取模塊32從
系統(tǒng)日志中提取到參數(shù)值后,需要將該參數(shù)值存儲(chǔ)到該存儲(chǔ)子模塊331中��。 刪除子模塊332�,與所述存儲(chǔ)子模塊331連接,用于在所述參數(shù)值超出所述時(shí)間窗
的范圍時(shí)�����,從所述存儲(chǔ)子模塊331中刪除所述參數(shù)值��。其中����,該時(shí)間窗的范圍是由設(shè)置模塊
31設(shè)置的��。 統(tǒng)計(jì)子模塊333�,與所述存儲(chǔ)子模塊331和處理子模塊332分別連接,用于對(duì)所述存儲(chǔ)子模塊331中位于所述時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì)�,在采用Topl對(duì)所述參數(shù)值進(jìn)行統(tǒng)計(jì)的過(guò)程中,所述統(tǒng)計(jì)子模塊333對(duì)所述參數(shù)值中某個(gè)值發(fā)生次數(shù)進(jìn)行統(tǒng)計(jì)�����,當(dāng)累計(jì)達(dá)到預(yù)設(shè)的第一Tr即閾值時(shí)���,判斷需要產(chǎn)生Tr即���;否則��,判斷不需要產(chǎn)生Tr即��。在采用匯總方式對(duì)所述參數(shù)值進(jìn)行統(tǒng)計(jì)的過(guò)程中�,所述統(tǒng)計(jì)子模塊333對(duì)所述參數(shù)值中的所有值發(fā)生次數(shù)進(jìn)行統(tǒng)計(jì)�,當(dāng)累計(jì)達(dá)到預(yù)設(shè)的第二 Tr即閾值時(shí),判斷需要產(chǎn)生Tr即�;否則,判斷不需要產(chǎn)生Tr即����。 需要說(shuō)明的是,所述統(tǒng)計(jì)方式�、所述時(shí)間窗以及Tr即閾值(第一Tr即閾值和第二Tr即閾值)都是通過(guò)設(shè)置模塊31進(jìn)行設(shè)置的。 處理模塊34�,用于在判斷結(jié)果為需要產(chǎn)生Tr即時(shí),根據(jù)所述系統(tǒng)日志生成Tr即��,將所述生成的Trap發(fā)送給對(duì)應(yīng)的組件��。其中�,該Tr即中的字段包括以下內(nèi)容中的一種或幾種��;規(guī)則名稱����;描述信息�;嚴(yán)重級(jí)別;分類��;系統(tǒng)日志參數(shù)����。 進(jìn)一步的�����,當(dāng)設(shè)置模塊31設(shè)置了需要產(chǎn)生恢復(fù)Trap時(shí)�����,在將所述生成的Trap發(fā)送給對(duì)應(yīng)的組件的基礎(chǔ)上�,在對(duì)位于時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì)時(shí),如果根據(jù)統(tǒng)計(jì)結(jié)果判斷出不需要產(chǎn)生Tr即�����,所述處理模塊34還需要生成恢復(fù)Tr即,并將所述恢復(fù)Trap發(fā)送給所述對(duì)應(yīng)的組件�。 其中,本發(fā)明裝置的各個(gè)模塊可以集成于一體�����,也可以分離部署�。上述模塊可以合 并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊�。 通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通 過(guò)硬件實(shí)現(xiàn)�����,也可以可借助軟件加必要的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)��?����;谶@樣的理解��, 本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)����,該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性 存儲(chǔ)介質(zhì)(可以是CD-R0M���, U盤(pán),移動(dòng)硬盤(pán)等)中�����,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備 (可以是個(gè)人計(jì)算機(jī)�,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明所述的方法�����。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�����,應(yīng)當(dāng)指出�,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人 員來(lái)說(shuō)��,在不脫離本發(fā)明原理的前提下���,還可以做出若干改進(jìn)和潤(rùn)飾�,這些改進(jìn)和潤(rùn)飾也應(yīng) 視本發(fā)明的保護(hù)范圍�����。 本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中�����。上 述實(shí)施例的模塊可以合并為一個(gè)模塊���,也可以進(jìn)一步拆分成多個(gè)子模塊����。
上述本發(fā)明序號(hào)僅僅為了描述����,不代表實(shí)施例的優(yōu)劣。 以上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例��,但是�����,本發(fā)明并非局限于此��,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍��。
權(quán)利要求
一種系統(tǒng)日志的處理方法,其特征在于����,應(yīng)用于預(yù)先設(shè)置了Syslog升級(jí)為Trap的各項(xiàng)規(guī)則的網(wǎng)絡(luò)設(shè)備中,所述方法包括以下步驟當(dāng)需要分析的系統(tǒng)日志輸入后����,根據(jù)所述Syslog升級(jí)為Trap的匹配規(guī)則對(duì)所述系統(tǒng)日志進(jìn)行匹配,并在匹配成功后����,從所述系統(tǒng)日志中提取參數(shù)值;對(duì)所述參數(shù)值進(jìn)行統(tǒng)計(jì)��,并根據(jù)統(tǒng)計(jì)結(jié)果判斷是否需要產(chǎn)生Trap�����;當(dāng)判斷結(jié)果為需要產(chǎn)生Trap時(shí)����,根據(jù)所述系統(tǒng)日志生成Trap���,并將所述生成的Trap發(fā)送給對(duì)應(yīng)的組件�����。
2. 如權(quán)利要求1所述的方法���,其特征在于����,所述預(yù)先設(shè)置的Syslog升級(jí)為Trap的各項(xiàng) 規(guī)則中包括以下內(nèi)容中的一種或幾種匹配規(guī)則��,時(shí)間窗��,是否進(jìn)行參數(shù)值匹配�,統(tǒng)計(jì)方式,Trap閾值��,是否全網(wǎng)分析���,是否產(chǎn) 生恢復(fù)Tr即���。
3. 如權(quán)利要求2所述的方法,其特征在于�����,所述匹配規(guī)則中包含了前導(dǎo)字符串、后導(dǎo)字 符串��、參數(shù)名稱和參數(shù)值的四元組����,對(duì)所述系統(tǒng)日志進(jìn)行匹配具體包括解析所述匹配規(guī)則,并從所述匹配規(guī)則中獲取前導(dǎo)字符串�、后導(dǎo)字符串和參數(shù)名稱; 通過(guò)使用所述前導(dǎo)字符串���、后導(dǎo)字符串和參數(shù)名稱對(duì)所述系統(tǒng)日志進(jìn)行匹配�����。
4. 如權(quán)利要求2所述的方法�,其特征在于�����,從所述系統(tǒng)日志中提取參數(shù)值之后����,還包括存儲(chǔ)所述從系統(tǒng)日志中提取的參數(shù)值,為所述參數(shù)值設(shè)置時(shí)間窗��;并在所述參數(shù)值超 出所述時(shí)間窗的范圍時(shí)��,刪除所述參數(shù)值��。
5. 如權(quán)利要求4所述的方法�����,其特征在于���,對(duì)所述參數(shù)值進(jìn)行統(tǒng)計(jì)��,并根據(jù)統(tǒng)計(jì)結(jié)果判 斷是否需要產(chǎn)生Tr即具體包括對(duì)位于所述時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì)���,并在所述參數(shù)值中某個(gè)值的發(fā)生次數(shù)累 計(jì)達(dá)到預(yù)設(shè)的第一Tr即閾值時(shí),判斷需要產(chǎn)生Tr即���;否則����,判斷不需要產(chǎn)生Tr即���;或者����,對(duì)位于所述時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì),并在所述參數(shù)值中所有值的發(fā)生次數(shù)累 計(jì)達(dá)到預(yù)設(shè)的第二Tr即閾值時(shí)���,判斷需要產(chǎn)生Tr即�;否則��,判斷不需要產(chǎn)生Tr即��。
6. 如權(quán)利要求1-5任一項(xiàng)所述的方法����,其特征在于,當(dāng)需要產(chǎn)生恢復(fù)Trap時(shí)�,將所述生 成的Trap發(fā)送給對(duì)應(yīng)的組件之后,還包括在對(duì)位于時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì)時(shí)���,如果根據(jù)統(tǒng)計(jì)結(jié)果判斷出不需要產(chǎn)生 Trap,生成恢復(fù)Trap,并將所述恢復(fù)Trap發(fā)送給所述對(duì)應(yīng)的組件���。
7. —種應(yīng)用于權(quán)利要求1所述的裝置,其特征在于���,應(yīng)用于預(yù)先設(shè)置了 Syslog升級(jí)為 Trap的各項(xiàng)規(guī)則的網(wǎng)絡(luò)設(shè)備中���,所述裝置包括設(shè)置模塊����,用于設(shè)置所述Syslog升級(jí)為Trap的各項(xiàng)規(guī)則���;匹配提取模塊,與所述設(shè)置模塊連接�����,用于當(dāng)需要分析的系統(tǒng)日志輸入后����,根據(jù)所述設(shè) 置模塊設(shè)置的Syslog升級(jí)為Tr即的匹配規(guī)則對(duì)所述系統(tǒng)日志進(jìn)行匹配;并在匹配成功后�, 從所述系統(tǒng)日志中提取參數(shù)值;統(tǒng)計(jì)模塊��,與所述設(shè)置模塊和所述匹配提取模塊分別連接���,用于根據(jù)所述設(shè)置模塊設(shè) 置的統(tǒng)計(jì)方式�,對(duì)所述參數(shù)值進(jìn)行統(tǒng)計(jì),并根據(jù)所述統(tǒng)計(jì)結(jié)果判斷是否需要產(chǎn)生Trap ;處理模塊��,與所述設(shè)置模塊和統(tǒng)計(jì)模塊分別連接����,用于在判斷結(jié)果為需要產(chǎn)生Trap時(shí),根據(jù)所述系統(tǒng)日志生成Tr即���,將所述生成的Trap發(fā)送給對(duì)應(yīng)的組件���。
8. 如權(quán)利要求7所述的裝置,其特征在于��,所述Syslog升級(jí)為Trap的各項(xiàng)規(guī)則中包括 以下內(nèi)容中的一種或幾種匹配規(guī)則�����,時(shí)間窗�,是否進(jìn)行參數(shù)值匹配,統(tǒng)計(jì)方式�,Trap閾值,是否全網(wǎng)分析��,是否產(chǎn) 生恢復(fù)Tr即�;其中����,所述匹配規(guī)則中包含了前導(dǎo)字符串�、后導(dǎo)字符串、參數(shù)名稱和參數(shù)值的四元組���。
9. 如權(quán)利要求8所述的裝置����,其特征在于���,所述匹配提取模塊具體包括 解析子模塊,用于解析所述匹配規(guī)則�����,并從所述匹配規(guī)則中獲取前導(dǎo)字符串��、后導(dǎo)字符串和參數(shù)名稱�;匹配子模塊,與所述解析子模塊連接�����,用于通過(guò)使用所述前導(dǎo)字符串、后導(dǎo)字符串和參 數(shù)名稱對(duì)所述系統(tǒng)日志進(jìn)行匹配�����;提取子模塊��,與所述匹配子模塊連接����,用于在匹配成功后,從所述系統(tǒng)日志中提取參數(shù)值�����。
10. 如權(quán)利要求8所述的裝置����,其特征在于,所述統(tǒng)計(jì)模塊具體包括 存儲(chǔ)子模塊��,用于存儲(chǔ)所述匹配提取模塊從所述系統(tǒng)日志中提取的參數(shù)值��; 刪除子模塊���,與所述存儲(chǔ)子模塊連接���,用于在所述參數(shù)值超出所述時(shí)間窗的范圍時(shí)�����,從所述存儲(chǔ)子模塊中刪除所述參數(shù)值�����;統(tǒng)計(jì)子模塊�����,與所述存儲(chǔ)子模塊和處理子模塊分別連接,用于對(duì)所述存儲(chǔ)子模塊中位 于所述時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì)�,在所述參數(shù)值中某個(gè)值的發(fā)生次數(shù)累計(jì)達(dá)到預(yù)設(shè)的第一 Trap閾值時(shí),判斷需要產(chǎn)生 Tr即��;否則���,判斷不需要產(chǎn)生Tr即�;或者���,在所述參數(shù)值中所有值的發(fā)生次數(shù)累計(jì)達(dá)到預(yù)設(shè)的第二Trap閾值時(shí)����,判斷需要產(chǎn)生 Tr即;否則��,判斷不需要產(chǎn)生Tr即���。
11. 如權(quán)利要求7-10任一項(xiàng)所述的裝置���,其特征在于,當(dāng)需要產(chǎn)生恢復(fù)Trap時(shí)�, 所述處理模塊還用于,在對(duì)位于時(shí)間窗范圍內(nèi)的參數(shù)值進(jìn)行統(tǒng)計(jì)時(shí)����,如果根據(jù)統(tǒng)計(jì)結(jié)果判斷出不需要產(chǎn)生Tr即,生成恢復(fù)Tr即�,并將所述恢復(fù)Tr即發(fā)送給所述對(duì)應(yīng)的組件。
全文摘要
本發(fā)明公開(kāi)了一種系統(tǒng)日志的處理方法�,包括當(dāng)需要分析的系統(tǒng)日志輸入后,根據(jù)匹配規(guī)則對(duì)所述系統(tǒng)日志進(jìn)行匹配�,并在匹配成功后,從所述系統(tǒng)日志中提取參數(shù)值����;對(duì)所述參數(shù)值進(jìn)行統(tǒng)計(jì)��,并根據(jù)統(tǒng)計(jì)結(jié)果判斷是否需要產(chǎn)生Trap���;當(dāng)判斷結(jié)果為需要產(chǎn)生Trap時(shí),根據(jù)所述系統(tǒng)日志生成Trap�����,并將所述生成的Trap發(fā)送給對(duì)應(yīng)的組件�����。本發(fā)明中���,提高了Syslog的使用效率和分析能力�,并且通過(guò)將Trap和其它組件進(jìn)行聯(lián)動(dòng)��,實(shí)現(xiàn)了主動(dòng)管理的目的�����。本發(fā)明中同樣提供了一種對(duì)應(yīng)于上述方法的裝置���。
文檔編號(hào)G06F17/30GK101697520SQ20091021093
公開(kāi)日2010年4月21日 申請(qǐng)日期2009年11月12日 優(yōu)先權(quán)日2009年11月12日
發(fā)明者盧有文, 張學(xué)明 申請(qǐng)人:杭州華三通信技術(shù)有限公司;