本發(fā)明提供一種告警策略驗證方法、裝置、電子設備和可讀存儲介質(zhì)，涉及計算機技術領域。該方法包括：獲取一條告警策略；若接收到用戶需要對告警策略進行驗證分析的操作，獲取告警策略對應的驗證性分析參數(shù)，并生成告警策略對應的驗證分析編號；接收用戶輸入的系統(tǒng)日志數(shù)據(jù)的時間區(qū)間；從歷史系統(tǒng)日志數(shù)據(jù)中篩選出多個位于時間區(qū)間內(nèi)且符合驗證性分析參數(shù)的目標日志事件，并根據(jù)目標日志事件的事件數(shù)據(jù)生成驗證分析編號的驗證分析結果；依據(jù)驗證分析編號的驗證分析結果，更新告警策略的策略參數(shù)。利用歷史系統(tǒng)日志數(shù)據(jù)對告警策略的配置參數(shù)進行前置性驗證分析，取得了在告警策略啟用之前完成對策略的合理化配置和優(yōu)化的技術效果。

技術領域

本發(fā)明實施例涉及計算機技術領域，尤其涉及一種告警策略驗證方法、裝置、電子設備和可讀存儲介質(zhì)。

背景技術

告警事件管理是日志審計系統(tǒng)中的一個重要模塊，可以實現(xiàn)基于系統(tǒng)日志數(shù)據(jù)對敏感事件進行告警以便及時處理告警事件和規(guī)避更大的風險。在告警事件管理中，告警策略配置是一個前提，告警策略配置的是否合適，直接影響到后續(xù)告警事件的健康度。

現(xiàn)有技術中，通常是用戶通過自己對業(yè)務的了解進行告警策略的參數(shù)配置，參數(shù)配置的合理性往往強依賴于配置人員的業(yè)務熟悉程度和配置的經(jīng)驗值，配置經(jīng)驗要求高，系統(tǒng)使用的局限性大；不合理的配置容易造成無效的告警事件，從而帶來了較高的人工判讀成本；不合理的配置容易造成告警事件的遺漏或者冗余，從而無法高效的達成告警提示的目標；現(xiàn)有技術提供的根據(jù)具體告警事件反向調(diào)整告警策略的方案，在實際應用中的時效性較差。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種告警策略驗證方法、裝置、電子設備和可讀存儲介質(zhì)，以解決現(xiàn)有技術中告警策略強依賴于配置經(jīng)驗且人工判讀成本高、告警提示效率低且策略調(diào)優(yōu)時效性差的問題。

為了解決上述技術問題，本發(fā)明是這樣實現(xiàn)的：

第一方面，本發(fā)明實施例提供了一種告警策略驗證方法，包括：

獲取用戶從告警策略列表中選擇的一條告警策略；

若接收到用戶需要對所述告警策略進行驗證分析的操作，獲取所述告警策略對應的驗證性分析參數(shù)，并生成所述告警策略對應的驗證分析編號；

接收用戶輸入的系統(tǒng)日志數(shù)據(jù)的時間區(qū)間；

從歷史系統(tǒng)日志數(shù)據(jù)中篩選出多個位于所述時間區(qū)間內(nèi)且符合所述驗證性分析參數(shù)的目標日志事件，并根據(jù)所述目標日志事件的事件數(shù)據(jù)生成所述驗證分析編號的驗證分析結果；

依據(jù)所述驗證分析編號的驗證分析結果，更新所述告警策略的策略參數(shù)。

可選的，所述告警策略每進行一次驗證分析對應一個驗證分析編號；所述方法還包括：

當一個告警策略對應多個驗證分析編號時，接收用戶輸入的第一操作，基于所述第一操作顯示所述多個驗證分析編號對應的驗證分析結果的比對界面，以反映所述告警策略的策略參數(shù)修改前后所述告警策略的優(yōu)化情況。

可選的，所述從歷史系統(tǒng)日志數(shù)據(jù)中篩選出多個位于所述時間區(qū)間內(nèi)且符合所述驗證性分析參數(shù)的目標日志事件，包括：

將歷史系統(tǒng)日志數(shù)據(jù)中的位于所述時間區(qū)間內(nèi)且符合所述驗證性分析參數(shù)的第一條目標日志事件寫入至圖形數(shù)據(jù)列表中；

遍歷所述歷史系統(tǒng)日志數(shù)據(jù)，持續(xù)向所述圖形數(shù)據(jù)列表中寫入位于所述時間區(qū)間內(nèi)且符合所述驗證性分析參數(shù)的目標日志事件，直至所述圖形數(shù)據(jù)列表中最后一個目標日志事件的寫入時間大于所述時間區(qū)間的終止時間；

顯示所述圖形數(shù)據(jù)列表。

可選的，所述目標日志事件的事件數(shù)據(jù)至少包括所述目標日志事件發(fā)生時間和所述目標日志事件數(shù)量的鍵值對。

可選的，若更新所述告警策略的策略參數(shù)之前，所述告警策略被刪除，所述方法還包括：