本申请提供一种产生日志的方法和装置,应用于审计系统的审计设备。所述方法为:当接收到发送至目标服务器的待审计报文时,获取所述待审计报文的源IP地址;基于所述源IP地址判断所述待审计报文在到达本设备之前是否经过其它中间审计设备;当确定所述待审计报文在到达本设备之前经过其它中间审计设备时,不产生针对所述待审计报文的日志;当确定所述待审计报文在到达本设备之前未经过其它中间审计设备时,产生针对所述待审计报文的日志,并将所述日志上传至日志服务器。采用本申请提供的技术方案,可以节约日志服务器的存储空间。
【技术实现步骤摘要】
一种产生日志的方法和装置
本申请涉及网络通信
,特别涉及一种产生日志的方法和装置。
技术介绍
在相关技术中,当待审计报文发送至审计服务器时,需要经过若干审计设备对该待审计报文进行转发。当每一个审计设备接收到待审计报文时,均会产生针对该待审计报文的日志,并将该日志上传至日志服务器,因此同一待审计报文会出现日志重复的情况。
技术实现思路
有鉴于此,本申请提供一种产生日志的方法和装置,应用于审计系统中的审计设备,用于去除针对待审计报文的重复日志。具体地,本申请是通过如下技术方案实现的:一种产生日志的方法,应用于审计系统中的审计设备,所述审计系统包括网络终端、网络终端访问的目标服务器、以及若干位于网络终端与所述目标服务器之间的审计设备,包括:当接收到发送至目标服务器的待审计报文时,获取所述待审计报文的源IP地址;基于所述源IP地址判断所述待审计报文在到达本设备之前是否经过其它中间审计设备;当确定所述待审计报文在到达本设备之前经过其它中间审计设备时,不产生针对所述待审计报文的日志;当确定所述待审计报文在到达本设备之前未经过其它中间审计设备时,产生针对所述待审计报文的日志,并将所述日志上传至日志服务器。一种产生日志的装置,应用于审计系统中的审计设备,所述审计系统包括网络终端、网络终端访问的目标服务器、以及若干位于网络终端与所述目标服务器之间的审计设备,包括:获取单元,用于当接收到发送至目标服务器的待审计报文时,获取所述待审计报文的源IP地址;判断单元,用于基于所述源IP地址判断所述待审计报文在到达本设备之前是否经过其它中间审计设备;执行单元,用于当确定所述待审计报文在到达本设备之前经过其它中间审计设备时,不产生针对所述待审计报文的日志;当确定所述待审计报文在到达本设备之前未经过其它中间审计设备时,产生针对所述待审计报文的日志,并将所述日志上传至日志服务器。通过审计设备判断待审计报文在到达本设备之前是否通过其它中间审计设备,然后针对确定在到达本设备之前通过其它中间审计设备的待审计报文,不产生对应的日志,从而实现针对同一待审计报文的日志不出现重复情况,因此可以节约日志服务器的存储空间。附图说明图1为本申请一示例性实施例示出的现有技术中一种审计系统的网络架构图;图2为本申请一示例性实施例示出的一种产生日志的方法流程图;图3为本申请一种产生日志的装置所在审计设备的一种硬件结构图;图4为本申请一示例性实施例示出的一种产生日志的装置。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。在现有技术中,待审计报文需要发送至审计服务器时,该待审计报文通常由若干审计设备转发至审计服务器。每个审计设备接收到待审计报文时,均会针对该待审计报文产生日志,并将该日志上传至日志服务器。请参见图1,图1为本申请一示例性实施例示出的现有技术中一种审计系统的网络架构图。如图1所示,在现有技术中,审计系统通常可以包括网络终端,该网络终端访问的目的服务器,以及若干位于网络终端和目的服务器之间的审计设备等节点设备。当网络终端产生发送至目的服务器的报文,经过中间的若干审计设备时,该报文通常会由若干审计设备进行安全审计。并在该报文审计通过后,审计设备可以将该报文转发至目的服务器。其中,各审计设备在转发该待审计报文后,可以针对该待审计报文产生对应的日志,然后将该日志上传至日志服务器。由以上现有技术中可以看出,如果各审计设备接收到待审计报文时,均对该待审计报文生成对应的日志,并将该日志上传至日志服务器,那么日志服务器可以接收到同一待审计报文的重复日志,因此浪费了日志服务器中的存储空间。针对现有技术中的问题,本申请提供了一种产生日志的方法,应用于审计系统中的审计设备,当审计设备接收到发送至目标服务器的待审计报文时,通过获取所述待审计报文的源IP地址;基于所述源IP地址判断所述待审计报文在到达本设备之前是否经过其它中间审计设备;当确定所述待审计报文在到达本设备之前经过其它中间审计设备时,不产生针对所述待审计报文的日志;当确定所述待审计报文在到达本设备之前未经过其它中间审计设备时,产生针对所述待审计报文的日志,并将所述日志上传至日志服务器。从而避免在网络终端和目的服务器之间存在多个审计设备的场景下,多个审计设备针对同一待审计报文均产生日志,造成同一待审计报文的重复日志的情况出现,因此可以节约日志服务器的存储空间。请参见图2,图2为本申请一示例性实施例示出的一种产生日志的方法流程图,应用于审计系统的审计设备,具体执行以下步骤:步骤201:当接收到发送至目标服务器的待审计报文时,获取所述待审计报文的源IP地址;在本申请示出的技术方案中,审计系统的网络架构图与现有技术中的相同,在此不再赘述。在本申请中,网络终端产生发送至目的服务器的报文时,该报文会经过若干位于网络终端和目的服务器之间的审计设备。各审计设备可以通过获取该待审计报文的源IP地址,并将该源IP地址与本设备中预配置的目标IP地址集合中的IP地址进行匹配;其中该目标IP地址集合中的IP地址为与本设备之间存在其它中间审计设备的网络终端的IP地址。当该源IP地址匹配中目标IP地址集合中的任一IP地址时,不针对该待审计报文产生日志;否则,针对该待审计报文产生日志,并将该日志上传至日志服务器。在本申请中,当网络终端产生发送至目的服务器的报文,经过中间的若干审计设备时,该报文通常会由若干审计设备进行安全审计。首先会经过用户后置设备;其中所述用户后置设备为与网络终端直接相连的审计设备(比如图1中审计设备1)。在示出的一种实施方式中,当审计设备接收到待审计报文时,审计设备可以从该待审计报文中获取源IP地址。步骤202:基于所述源IP地址判断所述待审计报文在到达本设备之前是否经过其它中间审计设备;由于在已知组网环境的情况下,IP地址范围对于用户来说是已知的,网络中的设备也可以自主学习网络拓扑,然后获取到IP地址的范围。因此,各审计设备可以通过在其设备中增加IP地址范围的管理,来过滤掉重复日志,从而保存一份日志。在本申请中,各审计设备可以学习本设备所在网络的网络拓扑,然后将网络拓扑保存至各自设备中。然后,各审计设备可以基于该网络拓扑,查找与本设备之间存在其它中间本文档来自技高网...
【技术保护点】
一种产生日志的方法,应用于审计系统中的审计设备,所述审计系统包括网络终端、网络终端访问的目标服务器、以及若干位于网络终端与所述目标服务器之间的审计设备,其特征在于,包括:当接收到发送至目标服务器的待审计报文时,获取所述待审计报文的源IP地址;基于所述源IP地址判断所述待审计报文在到达本设备之前是否经过其它中间审计设备;当确定所述待审计报文在到达本设备之前经过其它中间审计设备时,不产生针对所述待审计报文的日志;当确定所述待审计报文在到达本设备之前未经过其它中间审计设备时,产生针对所述待审计报文的日志,并将所述日志上传至日志服务器。
【技术特征摘要】
1.一种产生日志的方法,应用于审计系统中的审计设备,所述审计系统包括网络终端、网络终端访问的目标服务器、以及若干位于网络终端与所述目标服务器之间的审计设备,其特征在于,包括:当接收到发送至目标服务器的待审计报文时,获取所述待审计报文的源IP地址;基于所述源IP地址判断所述待审计报文在到达本设备之前是否经过其它中间审计设备;当确定所述待审计报文在到达本设备之前经过其它中间审计设备时,不产生针对所述待审计报文的日志;当确定所述待审计报文在到达本设备之前未经过其它中间审计设备时,产生针对所述待审计报文的日志,并将所述日志上传至日志服务器。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:学习本设备所在网络的网络拓扑;根据所述网络拓扑查找与本设备之间存在其它中间审计设备的网络终端;基于查找到的网络终端的IP地址创建目标IP地址集合。3.根据权利要求2所述的方法,其特征在于,基于所述源IP地址判断所述待审计报文在到达本设备之前是否经过其它中间审计设备,包括:将所述源IP地址与预配置的目标IP地址集合中的IP地址进行匹配,以判断所述待审计报文在到达本设备之前是否经过其它中间审计设备。4.根据权利要求3所述的方法,其特征在于,所述将所述源IP地址与预配置的目标IP地址集合中的IP地址进行匹配,以判断所述待审计报文在到达本设备之前是否经过其它中间审计设备,包括:将所述源IP地址与预配置的目标IP地址集合中的IP地址进行匹配;如果所述源IP地址与所述目标IP地址集合中的任一IP地址匹配,确定所述待审计报文在到达本设备之前经过其它中间审计设备;如果所述源IP地址与所述目标IP地址集合中的IP地址均不匹配,确定所述待审计报文在到达本设备之前未经过其它中间审计设备。5.根据权利要求4所述的方法,其特征在于,所述目标IP地址集合中的IP地址为与本设备之间不存在其它中间审计设备的网络终端的IP地址;所述基于所述源IP地址判断所述待审计报文在到达本设备之前是否经过其它中间审计设备,包括:将所述源IP地址与预配置的目标IP地址集合中的IP地址进行匹配;如果所述源IP地址与所述目标IP地址集合中的任一IP地址匹配,确定所述待审计报文在到达本设备之前未经过其它中间审计设备;如果所述源IP地址与所述目标IP地址集合中的IP地...
【专利技术属性】
技术研发人员:李耀东,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。