技術領域

本發明涉及通信技術領域，尤其涉及一種發送日志信息的方法及裝置。?

背景技術

日志是監控計算機和網絡安全的重要手段，同時也是評估計算機和網絡安全的重要途徑。在實際應用中，日志系統往往采用分布式部署，即將多種服務和/或設備產生的日志收集到一起進行分析和處理，在這種情形下，產生日志的一方稱之為日志發送方，收集日志的一方稱之為日志接收方，日志發送方將日志消息傳輸給日志接收方，日志接收方則接收來自不同地理位置的日志發送方。?

Syslog是被業界廣泛接收的日志標準，IETF制訂的新的Syslog標準允許更大容量的日志消息。Syslog/TLS標準和Syslog-sign標準在增加Syslog安全性和可靠性的同時，也增加了大量證書、簽名等傳輸數據；與此同時，一些應用，例如醫藥工業，需求大日志量的傳輸。這一切都增加了Syslog日志傳輸量，也增高了日志延遲和網絡擁塞的可能性。如何及時應對Syslog日志傳輸過程中發生的各種事件是保證日志系統可靠性和安全性的有效手段。?

日志發送方在極端情況下(例如網絡擁塞或流量控制或日志產生量突增時，將會造成緩沖隊列的大負荷甚至溢出)，可能采取一些對日志的預處理措施，例如優先發送重要日志或過濾次要日志，以保證重要日志的及時報警。這些措施都不可避免地將造成日志的丟失或亂序，對日志的完整性有損害。?

在實現本發明的過程中，發明人發現現有技術中至少存在如下問題：日志接收方不能及時察覺日志傳輸事件(例如過濾或者亂序)的發生，在對收集到的日志在日后審計時，不知道日志在上述場景中的丟失情況和亂序情?況，對日志的審計和分析的正確性有一定的影響。?

發明內容

本發明實施例提供一種發送日志信息的方法及裝置，可使得日志接收方能及時察覺發送方對日志的預處理事件信息，提高后續對日志的審計和分析的正確性。?

本發明實施例提供一種發送日志信息的方法，包括：?

檢測日志發送方的緩沖隊列的負載是否達到預設的異常閾值；所述日志發送方的緩沖隊列中存儲有待發送的日志隊列；?

當日志發送方的緩沖隊列的負載達到預設的異常閾值時，日志發送方生成包括預處理事件開始消息的日志信息并發送至日志接收方；?

日志發送方在對其緩沖隊列的日志作預處理操作時，若檢測到緩沖隊列的負載沒有達到預設的異常閾值，則生成包括預處理事件結束消息的日志信息并發送至日志接收方。?

本發明實施例還提供一種發送日志信息的裝置，包括：?

緩沖單元，用于存儲待發送的日志隊列；?

檢測單元，用于檢所述測緩沖單元的日志隊列的負載是否達到預設的異常閾值；?

第一日志信息生成單元，用于在所述檢測單元檢測到所述緩沖單元的日志隊列的負載達到預設的異常閾值時，生成包括預處理事件開始消息的日志信息；發送日志信息的裝置在對所述緩沖單元的日志信息作預處理操作時，當所述檢測單元檢測到所述緩沖單元的日志隊列的負載沒有達到預設的異常閾值時，所述第一日志信息生成單元生成包括預處理事件結束消息的日志信息；?

日志發送單元，用于將所述包括預處理事件開始消息的日志信息及所述包括預處理事件結束消息的日志信息發送至日志接收方。?

本發明實施例通過日志發送方生成包括預處理事件開始消息或預處理?事件結束消息的日志信息發送至日志接收方，可使得日志接收方及時獲取日志發送方在其緩沖隊列的負載達到預設的異常閾值時對待發送日志所作的預處理信息，知道日志其緩沖隊列的負載達到預設的異常閾值時的丟失情況或亂序情況，提高了后續對日志信息進行審計和分析時的正確性。?

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發送日志信息的方法發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。?

圖1是Syslog協議報文的報文頭的結構示意圖；?

圖2是本發明實施例一發送日志信息的方法的流程示意圖；?

圖3是本發明實施例二發送日志信息的方法的流程示意圖；?

圖4是本發明實施例一發送日志信息的裝置的結構示意圖；?

圖5是本發明實施例二發送日志信息的裝置的結構示意圖。?

具體實施方式