<p class="shortdesc"></p> <p class="p"></p> <table class="table" id="function__table_mlq_xwz_dsb"><caption></caption><colgroup><col><col></colgroup><thead class="thead"> <tr class="row"> <th class="entry" id="function__table_mlq_xwz_dsb__entry__1"> <p class="p">产品功能</p> </th> <th class="entry" id="function__table_mlq_xwz_dsb__entry__2"> <p class="p">功能描述</p> </th> </tr> </thead><tbody class="tbody"> <tr class="row"> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__1 "> <p class="p">日志信息接收</p> </td> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__2 "> <p class="p">根据采集器的配置，日志信息接收模块可以监听相应的端口，将收到的日志报文转换为统一、标准的格式（Syslog报文转换为字符串格式，SNMP Trap报文转换为SNMP PDU数据格式），并且附加上来源地址信息。</p> </td> </tr> <tr class="row"> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__1 "> <p class="p">日志信息解析</p> </td> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__2 "> <p class="p">接收到的原始日志信息，由解析规则进行模式匹配，提取出直接信息和非直接信息，最终得到解析后的通用事件。</p> </td> </tr> <tr class="row"> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__1 "> <p class="p">日志信息标准化</p> </td> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__2 "> <p class="p">解析所得的通用事件由规则库进行标准化处理，如时间戳的format、locale的处理。</p> </td> </tr> <tr class="row"> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__1 "> <p class="p">过滤处理</p> </td> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__2 "> <p class="p">设定过滤规则可以过滤一些不需要采集的事件（如级别较低的事件）。标准化完成后，所有通用事件都会经过过滤规则进行匹配。满足过滤条件的事件将会被过滤，不会再进行后续模块的处理；不满足过滤条件的事件则继续进行后续模块处理。</p> </td> </tr> <tr class="row"> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__1 "> <p class="p">聚合处理</p> </td> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__2 "> <p class="p">为了减少重复事件数量，采集器在处理流程中会设定聚合规则和聚合周期，聚合周期内，所有符合聚合规则的事件通过聚合处理得到一个聚合事件，并通过事件计数字段记录本次聚合的源事件的数量。</p> <div class="p"> <div class="note important note_important" id="function__note_onk_mxz_dsb"><span class="note__title">重要：</span> 聚合处理不会影响后续关联分析等处理。</div> </div> </td> </tr> <tr class="row"> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__1 "> <p class="p">日志缓存</p> </td> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__2 "> <p class="p">为了实现日志缓存需求，需要对队列进行持久化处理。</p> <p class="p">采集器日志缓存基于状态驱动。当队列空闲状态超过最低阈值时，会触发回写模块把内存队列中的事件持久化到设备磁盘系统上；当队列的空闲状态超过最高阈值时，会触发加载模块把磁盘系统上持久化的数据加载到内存队列中。</p> </td> </tr> <tr class="row"> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__1 "> <p class="p">状态检测处理</p> </td> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__2 "> <p class="p">为了实现状态检测处理，需要维护每个资产的状态信息。</p> <p class="p">当系统收到同一个设备的原始日志后，会更新此设备的事件计数、最后活跃时间等信息。达到状态检测周期时，采集器会把每个设备的状态信息组装成心跳事件，上送给平台 。</p> </td> </tr> <tr class="row"> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__1 "> <p class="p">通信服务器</p> </td> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__2 "> <p class="p">通信服务器的功能如下：</p> <div class="p"> <ol class="ol" id="function__ol_olq_xwz_dsb"> <li class="li">接收各个采集器上发的通用事件，并进行汇总、存储。</li> <li class="li">接收到的心跳事件，更新对应资产的心跳状态，并持久化心跳信息到数据库中。</li> <li class="li">处理配置同步请求。当用户在界面上新增、删除、修改了资产、规则库后，通信服务器能够把这些改动同步到各个连接的采集器上。 </li> </ol> </div> </td> </tr> <tr class="row"> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__1 "> <p class="p">关联引擎</p> </td> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__2 "> <p class="p">关联引擎能够基于关联规则，从接收到的通用事件中发现关联事件以及关联事件包、含的原始事件列表。同时，关联引擎支持自定义关联规则，支持规则的启用、禁用。</p> </td> </tr> <tr class="row"> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__1 "> <p class="p">日志代理</p> </td> <td class="entry" headers="function__table_mlq_xwz_dsb__entry__2 "> <p class="p">当设备由于网络限制等原因不能外发日志或设备本身不支持主动发送Syslog日志时，可在目标设备上部署轻量级的Agent插件，用于主动抓取日志。Agent采集到日志信息后，通过Syslog方式发送给采集器。</p> </td> </tr> </tbody></table>