买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：云南腾建科技有限公司

摘要：本发明公开了一种基于ElasticStack的操作系统日志审计方法、系统及存储介质，属于日志审计技术领域。所述方法包括：S1：数据收集阶段；S2：数据存储阶段；S3：数据分析阶段，通过开源数据收集引擎对存储在开源分布式搜索引擎中的第二日志进行深度分析得到分析结果，所述深度分析包括多维度日志分析和多条件日志分析，同时预设告警阈值；S4：可视化阶段，利用开源工具为分析结果提供可视化界面，可视化界面实时显示日志审计系统运行状态和日志审计系统安全状况，提供多维度数据筛选和自定义报表生成；S5：安全事件监控阶段。能够高效地处理大规模数据，提高了审计效率；具有良好的可扩展性；支持实时监测和预警功能，提高了安全防范能力。

主权项：1.一种基于ElasticStack的操作系统日志审计方法，其特征在于：包括以下步骤：S1：数据收集阶段，部署日志收集工具，配置日志收集工具参数，实时收集操作系统的各类日志作为第一日志；S2：数据存储阶段，将第一日志传输至开源分布式搜索引擎进行处理得到第二日志进行存储；S3：数据分析阶段，通过开源数据收集引擎对存储在开源分布式搜索引擎中的第二日志进行深度分析得到分析结果，所述深度分析包括多维度日志分析和多条件日志分析，同时预设告警阈值；S4：可视化阶段，利用开源工具为分析结果提供可视化界面，可视化界面实时显示日志审计系统运行状态和日志审计系统安全状况，提供多维度数据筛选和自定义报表生成；S5：安全事件监控阶段，利用安全事件监控系统实时获取日志审计系统安全状况，发现安全威胁时根据自定义告警策略，对各类风险和事件进行告警或预警；所述的日志收集工具为Syslog或Beats，所述的S1还包括以下步骤：S11：选择并安装Syslog或Beats；S12：配置Syslog或Beats的输入和输出，定义解析规则，将操作系统的各类日志标准化得到第一日志；所述的开源分布式搜索引擎为Elasticsearch，所述的S2还包括以下步骤：S21：配置Elasticsearch的存储设置和索引设置；S22：利用开源数据收集引擎对第一日志进行处理，首先定义过滤规则，然后提取第一日志中的预设信息并进行数据清洗，得到清洗日志；S23：利用开源数据收集引擎的转换功能，将清洗日志转换为预设格式得到第二日志并存储到Elasticsearch；所述的开源数据收集引擎为Logstash，所述的S3还包括以下步骤：S31：在Logstash的输入阶段接收日志收集工具推送的第二日志；S32：在Logstash的过滤阶段对第二日志进行数据清洗、格式转换和事件处理，使用过滤器插件，对第二日志进行解析、过滤和聚合得到第三日志；S33：在Logstash的输出阶段将第三日志发送给开源分布式搜索引擎；所述的开源工具为Kibana，所述的S4还包括以下步骤：S41：利用Kibana创建仪表盘和可视化视图作为可视化界面，展示日志审计系统运行状态和日志审计系统安全状况；通过拖拽和配置字段，实现多维度数据筛选和自定义报表生成；S42：通过Kibana提供的API或插件，将日志审计系统运行状态和日志审计系统安全状况传输到一个或多个预设系统；所述的安全威胁包括：外部威胁、黑客攻击、内务违规操作、设备异常，S5还包括以下步骤：S51：通过邮件和或短信和或声音对发生的安全威胁进行通知，并调用自动运行程序或自动运行脚本对安全威胁进行处理，同时生成告警数据；S52：将告警数据存储在告警数据库中。

全文数据：

权利要求：

百度查询： 云南腾建科技有限公司 一种基于Elastic Stack的操作系统日志审计方法、系统及存储介质