[发明专利]一种发送日志信息的方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种发送日志信息的方法及装置。 

背景技术

日志是监控计算机和网络安全的重要手段，同时也是评估计算机和网络安全的重要途径。在实际应用中，日志系统往往采用分布式部署，即将多种服务和/或设备产生的日志收集到一起进行分析和处理，在这种情形下，产生日志的一方称之为日志发送方，收集日志的一方称之为日志接收方，日志发送方将日志消息传输给日志接收方，日志接收方则接收来自不同地理位置的日志发送方。 

Syslog是被业界广泛接收的日志标准，IETF制订的新的Syslog标准允许更大容量的日志消息。Syslog/TLS标准和Syslog-sign标准在增加Syslog安全性和可靠性的同时，也增加了大量证书、签名等传输数据；与此同时，一些应用，例如医药工业，需求大日志量的传输。这一切都增加了Syslog日志传输量，也增高了日志延迟和网络拥塞的可能性。如何及时应对Syslog日志传输过程中发生的各种事件是保证日志系统可靠性和安全性的有效手段。 

日志发送方在极端情况下(例如网络拥塞或流量控制或日志产生量突增时，将会造成缓冲队列的大负荷甚至溢出)，可能采取一些对日志的预处理措施，例如优先发送重要日志或过滤次要日志，以保证重要日志的及时报警。这些措施都不可避免地将造成日志的丢失或乱序，对日志的完整性有损害。 

在实现本发明的过程中，发明人发现现有技术中至少存在如下问题：日志接收方不能及时察觉日志传输事件(例如过滤或者乱序)的发生，在对收集到的日志在日后审计时，不知道日志在上述场景中的丢失情况和乱序情 况，对日志的审计和分析的正确性有一定的影响。 

发明内容

本发明实施例提供一种发送日志信息的方法及装置，可使得日志接收方能及时察觉发送方对日志的预处理事件信息，提高后续对日志的审计和分析的正确性。 

本发明实施例提供一种发送日志信息的方法，包括： 

检测日志发送方的缓冲队列的负载是否达到预设的异常阈值；所述日志发送方的缓冲队列中存储有待发送的日志队列； 

当日志发送方的缓冲队列的负载达到预设的异常阈值时，日志发送方生成包括预处理事件开始消息的日志信息并发送至日志接收方； 

日志发送方在对其缓冲队列的日志作预处理操作时，若检测到缓冲队列的负载没有达到预设的异常阈值，则生成包括预处理事件结束消息的日志信息并发送至日志接收方。 

本发明实施例还提供一种发送日志信息的装置，包括： 

缓冲单元，用于存储待发送的日志队列； 

检测单元，用于检所述测缓冲单元的日志队列的负载是否达到预设的异常阈值； 

第一日志信息生成单元，用于在所述检测单元检测到所述缓冲单元的日志队列的负载达到预设的异常阈值时，生成包括预处理事件开始消息的日志信息；发送日志信息的装置在对所述缓冲单元的日志信息作预处理操作时，当所述检测单元检测到所述缓冲单元的日志队列的负载没有达到预设的异常阈值时，所述第一日志信息生成单元生成包括预处理事件结束消息的日志信息； 

日志发送单元，用于将所述包括预处理事件开始消息的日志信息及所述包括预处理事件结束消息的日志信息发送至日志接收方。 

本发明实施例通过日志发送方生成包括预处理事件开始消息或预处理 事件结束消息的日志信息发送至日志接收方，可使得日志接收方及时获取日志发送方在其缓冲队列的负载达到预设的异常阈值时对待发送日志所作的预处理信息，知道日志其缓冲队列的负载达到预设的异常阈值时的丢失情况或乱序情况，提高了后续对日志信息进行审计和分析时的正确性。 

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发送日志信息的方法发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。 

图1是Syslog协议报文的报文头的结构示意图； 

图2是本发明实施例一发送日志信息的方法的流程示意图； 

图3是本发明实施例二发送日志信息的方法的流程示意图； 

图4是本发明实施例一发送日志信息的装置的结构示意图； 

图5是本发明实施例二发送日志信息的装置的结构示意图。 

具体实施方式