一种生成操作日志的方法及装置制造方法及图纸

一种生成操作日志的方法及装置，包括：日志服务器根据接收到的第一个包含第一主机会话标识和第一IP地址的日志报文，向报文中的登录会话标识对应的操作记录中写入第一登录信息，根据接收到的第二个包含第一主机会话标识和第一IP地址的日志报文，向报文中的登录会话标识对应的操作记录中写入第一退出信息，根据在第一登录信息被写入至第一退出信息被写入操作记录之间写入该操作记录的命令操作，确定第一目标主机上执行的命令操作，从而实现根据日志报文中携带的第一主机会话标识和第一IP地址有效区分第一主机会话的开始和结束，并依此识别在第一目标主机上执行的命令操作，提高主机操作审计的精确性的目的。

A method and device of generating operation log

【技术实现步骤摘要】
一种生成操作日志的方法及装置
本专利技术涉及计算机
，特别涉及一种生成操作日志的方法及装置。
技术介绍
在堡垒机类产品中，一个重要的功能是主机操作安全审计，主机操作安全审计能够拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标主机的非法访问行为，并对内部人员误操作和非法操作进行审计监控。堡垒机应用场景如图1所示，当用户通过浏览器或者客户端连接到堡垒机，堡垒机对用户身份进行认证鉴权。认证鉴权成功，用户成功登录堡垒机，否则拒绝登录。用户登录到堡垒机后，堡垒机开始对用户操作进行记录和审计。用户通过堡垒机跳转到目标主机后，用户向目标主机上输入命令，堡垒机可以记录用户输入的执行命令和执行结果，将记录数据发送到远程日志服务器。在现有技术中，通常将用户通过堡垒机跳转的目标主机的账号信息为主体进行审计。在用户通过堡垒机跳转到某个目标主机，再由该目标主机跳转到其它目标主机的多跳登录场景下，若用户登录到目标主机1，目标主机1开始发送操作命令给堡垒机，而当用户从目标主机1登录到目标主机2之后，目标主机2开始发送操作命令给堡垒机，同时目标本文档来自技高网...

【技术保护点】
1.一种生成操作日志的方法，其特征在于，所述方法包括：/n日志服务器接收堡垒机发送的第一报文，所述第一报文是所述日志服务器接收到的第一个包括登录会话标识、第一主机会话标识和第一IP地址的日志报文，所述登录会话标识所标识的登录会话是终端和所述堡垒机之间的会话，所述第一主机会话标识所标识的第一主机会话是所述终端和第一目标主机之间的会话，所述第一主机会话是通过所述登录会话被创建和结束的，所述第一IP地址是所述第一目标主机的IP地址；/n所述日志服务器在所述登录会话标识对应的操作记录中写入第一登录信息，所述第一登录信息包括所述第一主机会话标识和所述第一IP地址，所述第一登录信息指示所述终端登录到所述第...

【技术特征摘要】
1.一种生成操作日志的方法，其特征在于，所述方法包括：
日志服务器接收堡垒机发送的第一报文，所述第一报文是所述日志服务器接收到的第一个包括登录会话标识、第一主机会话标识和第一IP地址的日志报文，所述登录会话标识所标识的登录会话是终端和所述堡垒机之间的会话，所述第一主机会话标识所标识的第一主机会话是所述终端和第一目标主机之间的会话，所述第一主机会话是通过所述登录会话被创建和结束的，所述第一IP地址是所述第一目标主机的IP地址；
所述日志服务器在所述登录会话标识对应的操作记录中写入第一登录信息，所述第一登录信息包括所述第一主机会话标识和所述第一IP地址，所述第一登录信息指示所述终端登录到所述第一目标主机；
所述日志服务器接收第二报文，所述第二报文是所述日志服务器接收到的第二个包括所述登录会话标识、所述第一主机会话标识和所述第一IP地址的日志报文；
所述日志服务器在所述登录会话标识对应的操作记录中写入第一退出信息，所述第一退出信息包括所述第一主机会话标识和所述第一IP地址，所述第一退出信息指示所述终端退出所述第一目标主机；
所述日志服务器根据所述第一登录信息被写入至所述第一退出信息被写入之间的时间段中被写入所述登录会话标识对应的操作记录的命令操作信息，确定所述第一目标主机上执行的命令操作。


2.根据权利要求1所述的方法，其特征在于，所述日志服务器在所述登录会话标识对应的操作记录中写入第一登录信息之后，所述方法还包括：
所述日志服务器将所述第一IP地址设定为操作记录地址；
在所述登录会话标识对应的操作记录中写入第一登录信息之后、且在所述登录会话标识对应的操作记录中写入第一退出信息之前，所述方法还包括：
所述日志服务器接收第三报文，所述第三报文中包括命令操作信息；
所述日志服务器在所述登录会话标识对应的操作记录中写入所述命令操作信息，并将所述命令操作信息记录为在所述操作记录地址上执行的命令操作；
所述日志服务器在所述登录会话标识对应的操作记录中写入第一退出信息之后，还包括：
所述日志服务器将所述第一目标主机的上一跳主机的IP地址设定为所述操作记录地址。


3.根据权利要求1或2所述的方法，其特征在于，所述日志服务器在接收第一报文之后至接收所述第二报文之前，所述方法还包括：
所述日志服务器接收所述堡垒机发送的第四报文，所述第四报文是所述日志服务器接收到的第一个包括所述登录会话标识、第二主机会话标识和第二IP地址的日志报文，所述第二主机会话标识所标识的第二主机会话是所述终端和第二目标主机之间的会话，所述第二主机会话是通过所述登录会话被创建和结束的，所述第二IP地址是所述第二目标主机的IP地址；
所述日志服务器在所述登录会话标识对应的操作记录中写入第二登录信息，所述第二登录信息包括所述第二主机会话标识和所述第二IP地址，所述第二登录信息指示所述终端登录到所述第二目标主机；
所述日志服务器接收第五报文，所述第五报文是所述日志服务器接收到的第二个包括所述登录会话标识，所述第二主机会话标识和所述第二IP地址的日志报文；
所述日志服务器在所述登录会话标识对应的操作记录中写入第二退出信息，所述第二退出信息指示所述终端退出所述第二目标主机。


4.根据权利要求2或3所述的方法，其特征在于，所述日志服务器在接收第一报文之前，还包括：
所述日志服务器接收第六报文，所述第六报文为所述日志服务器接收到的第一个包含所述登录会话标识的日志报文；
所述日志服务器创建所述登录会话标识对应的操作记录，并将所述堡垒机的IP地址设定为所述操作记录地址。


5.根据权利要求2所述的方法，其特征在于，所述第一报文和所述第二报文包括报文头部和报文载荷两部分，其中，所述报文头部用于承载所述登录会话标识、用户账号、当前时间和所述报文载荷的长度信息，所述报文载荷用于承载所述第一主机会话标识和所述第一IP地址；
所述第三报文包括报文头部和报文载荷两部分，其中，所述第三报文的报文头部用于承载所述登录会话标识、用户账号、当前时间和所述第三报文的报文载荷的长度信息，所述第三报文的报文载荷用于承载命令操作信息。


6.根据权利要求5所述的方法，其特征在于，所述第一报文和所述第二报文的报文载荷中的所述第一主机会话标识和所述第一IP地址符合预定义的信息格式，所述日志服务器根据所述信息格式从所述第一报文或所述第二报文中获得所述第一主机会话标识和所述第一IP地址。


7.一种生成操作日志的方法，终端采用远程登录的方式通过堡垒机登录至少一个目标主机，其特征在于，所述方法包括：
所述堡垒机获取登录会话标识，所述登录会话标识所标识的登录会话是所述终端和所述堡垒机之间的会话；
所述堡垒机获取所述至少一个目标主机中的第一目标主机输出的第一主机会话标识和第一IP地址，所述第一主机会话标识和第一IP地址是所述第一目标主机响应所述终端输入的登录操作指令而输出的，所述第一主机会话标识所标识的第一主机会话是所述终端和所述第一目标主机之间的会话，所述第一主机会话是通过所述登录会话被创建和结束的，所述第一IP地址是所述第一目标主机的IP地址；
所述堡垒机对所述登录会话标识、所述第一主机会话标识和所述第一IP地址进行封装，得到第一报文；
所述堡垒机向日志服务器发送所述第一报文；
所述堡垒机再次获取所述第一目标主机输出的所述第一主机会话标识和所述第一IP地址，所述第一主机会话标识和所述第一IP地址是所述第一目标主机响应所述终端输入的退出操作指令而输出的；
所述堡垒机对所述登录会话标识、所述第一主机会话标识和所述第一IP地址进行封装，得到第二报文；
所述堡垒机向所述日志服务器发送所述第二报文。


8.根据权利要求7所述的方法，其特征在于，所述堡垒机获取所述至少一个目标主机中的第一目标主机输出的第一主机会话标识和第一IP地址之前，所述方法还包括：
所述堡垒机接收所述终端发送的认证请求，所述认证请求中包括用户账号；
所述堡垒机对所述用户账号进行认证，认证成功后创建所述登录会话，允许所述终端通过所述登录会话登录到所述堡垒机，并生成所述登录会话标识；
所述堡垒机生成包含所述登录会话标识的第三报文，并向所述日志服务器发送所述第三报文。


9.根据权利要求8所述的方法，其特征在于，所述堡垒机生成所述登录会话标识，包括：
所述堡垒机根据所述用户账号、所述堡垒机的IP地址、当前时间、所述堡垒机中处理所述登录会话的进程的名称和所述进程的标识，生成所述登录会话标识。


10.根据权利要求9所述的方法，其特征在于，所述堡垒机根据所述用户账号、所述堡垒机的IP地址、当前时间、所述堡垒机中处理所述登录会话的进程的名称和所述进程的标识，生成所述登录会话标识，包括：
所述堡垒机获取所述用户账号、所述堡垒机的IP地址、当前时间、所述堡垒机中处理所述登录会话的进程名和进程标识；
所述堡垒机生成一特定位数的第一随机数；
所述堡垒机将所述第一随机数、所述用户账号、所述堡垒机的IP地址、所述当前时间、所述堡垒机中处理所述登录会话的进程的名称和所述进程的标识按照特定顺序连接成第一字符串，并所述第一字符串进行散列计算，得到所述登录会话标识。


11.根据权利要求7至10中任一项所述的方法，其特征在于，所述第一报文和所述第二报文包括报文头部和报文载荷两部分，其中，所述报文头部用于承载所述登录会话标识、用户账号、当前时间和所述报文载荷的长度信息，所述报文载荷用于承载所述第一主机会话标识和所述第一IP地址；
所述第三报文包括报文头部和报文载荷两部分，其中，所述第三报文的报文头部用于承载所述登录会话标识、用户账号、当前时间和所述第三报文的报文载荷的长度信息，所述第三报文的报文载荷用于承载命令操作信息。


12.根据权利要求11所述的方法，其特征在于，所述第一报文和所述第二报文的报文载荷中的所述第一主机会话标识和所述第一IP地址符合预定义的信息格式，所述日志服务器根据所述信息格式从所述第一报文或所述第二报文中获得所述第一主机会话标识和所述第一IP地址。


13.一种生成操作日志的方法，终端采用远程登录的方式通过堡垒机登录第一目标主机，其特征在于，所述方法包括：
所述第一目标主机接收所述终端通过所述堡垒机输入的登录操作指令，并建立所述终端与所述第一目标主机之间的第一主机会话；
所述第一目标主机向所述堡垒机输出第一主机会话标识和第一IP地址，所述第一主机会话标识为所述第一主机会话的标识，所述第一IP地址为所述第一目标主机的IP地址；
所述第一目标主机接收所述终端通过所述堡垒机输入的退出操作指令；
所述第一目标主机向所述堡垒机输出所述第一主机会话标识和所述第一IP地址，并结束所述第一主机会话。


14.根据权利要求13所述的方法，其特征在于，所述第一目标主机在接收所述终端通过堡垒机输入的登录操作指令之后，还包括：
所述第一目标主机根据用户账号、所述第一IP地址、当前时间、所述第一目标主机中处理所述第一主机会话的进程的名称和所述进程的标识，生成所述第一主机会话标识。


15.根据权利要求14所述的方法，其特征在于，所述第一目标主机根据用户账号、所述第一IP地址、当前时间、所述第一目标主机中处理所述第一主机会话的进程的名称和所述进程的标识，生成所述第一会话标识，包括：
所述第一目标主机获取所述用户账号、所...

【专利技术属性】
技术研发人员：顾欢，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44