文档介绍:随着计算机应用技术的不断发展,操作系统和应用软件的功能也在不断强大 完善,它们生成的日志文件也变的复杂,多变,因此日志的分析系统也就应运而 生,在不断加强自身的处理功能,使之能处理更多种类日志文件的同时,也在不 断地改善,希望实现更多功能,资料成员 -15 -
2. 2 CDATASTRUCT 的资料成员 -16 -
2. 3菜单设计 -17 -
3其它画面设计 -18 -
3. 1检索画面 -19 -
3. 2消息数据抽出画面 -19 -
-19 -
3. 4比较画面 -19 -
3. 5抽出项目定义画面 - 20 -
-20 -
4. 1消息数据抽出处理说明 - 20 -
5. 4. 2时序图作成处理说明 -21 -
-23 -
5. 5. 1 SERCH_DATA 命令 -23 -
5. 5. 2 SKIP 命令 -24 -
5. 5. 3 CHECK 命令 -24 -
5. SCAN 命令 -25 -
5. 5. 5 POS_CHECK 命令 -26 -
5. 5. 6 SELECT_START 和 SELECT_END 命令 -26 -
5. 5. 7 DEFINE_DATA 命令 -27 -
第6章结束语 -29 -
致谢 -30 -
参考文献 - 31 -
附录一文件分析的数据结构 -33 -
附录二函数一览 - 34 -
第1章绪论
众所周知,对于每一个应用程序或操作系统,在我们去对其操作时都会产生 一个日志文件。而这个日志文件(Log)就记录了,我们的每一个操作和操作所产 生的响应。那么为什么要生成这样一个日志文件呢?首先,这个日志文件的存在, 可以方便管理人员对程序或系统的管理及操作。其次,在安全角度来说,在生成 一个日志文件可以让实时报警更为容易实现。最后,一个日志文件,对于对应用 程序或操作系统的性能维护和升级来说是一个不可或缺的资源。但是如果没有日 志分析,这些个日志数据就是是毫无价值的数据泥潭,毫无价值可言。那么是我 们人工分析吗?
当然不是,因为一般的日志文件都是非常大的,少者几千行数据,多者上百 万行数据。对于我们人类来说人工分析是基本不可能的。这样一来我们必须要有 合适的工具、培训和可用的资源来分析收集到的日志数据。这就是下面我要说的 日志分析系统。
日志分析系统,从字面上一看就知道,就是对日志文件进行分析。那么它又 是怎么分析,分析了后对我们有什么好处了?目前在市面上有很多好的日志分析 系统,如海天上网行为管理系统(ISA日志分析、网络计费、网络安全管理)、NetTank (网络流量分析)、Sniffer Pro v4. 7. 530 (网络协议分析)等等。这些分析系 统通过对每天日志的分析,不但实现了系统运行安全报警,也为系统的提升起到 了绝对作用。我这里再举个例子:在1997年正式服役的北大天网搜索引擎,大家 应该都知道,它是一个国内最好的公益性搜索引擎。为了促进国内的搜索引擎研 究的共同发展与提高,天网系统的用户日志对国内研究人员开放。通过日志分析 系统对这些日志的分析研究,并生成相关的图表。研究人员了解到用户查询串的 分布有着明显的局部性等规律。也据此设计了系统查询缓存,并比较了 FIFO, LRU 及带衰减的LFU等三种Cache替换策略。
总而言之,在这里我想说的是,如果没有日志分析系统,我们不可能从庞大 的日志文件里方便的找出其中的规律和想要的信息,也就无从去设计前面说的查 询缓存。可见,日志分析系统和日志文件本身有着同样的存在意义。它代替我们 做繁琐庞大的日志分析工作,并为我们生成简单易懂的以图表形式呈现的文件。 相当于对信息的浓缩。
而我今天所设计的日志分析系统是根据公司内的机器产生的日志进行的分析 系统。相对来说它的局限性是比较大的,但是只要日志的写成规则制定好,它就 成为一种动态的分析系统。
日志文件(Log)记录了,每天操作系统或应用软件所作的所有事情。这个 日志文件的存在,可以方便管理人员对程序或系统的管理及操作。在安全角度来 说,在生成一个日志文件可以让实时报警更为容易实现。它也是对操作系统或应 用程序的性能维护和升级来说一个不可或缺的资源。但它却是非常极其庞大的, 很多没有用的信息会将值得注意的信息淹没,给用户分析日志带来了很大的不便。 日志的重要性也已经越来越受到大家的重视。。市面上也有很多专门用于分析日志 的系统,
Logcheck、Friends、AWStats、MS 的 LogParser 等等。
但是并不是每一种日志文件的格式都是一样的,不同的系统它们生成日志 也是基