一种日志监控方法及系统技术方案

本发明专利技术公开一种设备的日志监控方法与系统，能够实现对主机系统日志进行高效监控和文件变化跟踪，及时发现安全策略变更、可执行程序加载、违反强制访问策略、身份鉴别等系统安全事件，有利于对主机日志进行有效审计，防止安全威胁。安全威胁。

【技术实现步骤摘要】
一种日志监控方法及系统


[0001]本专利技术涉及信息安全
，尤其是涉及一种对设备的日志文件变化进行监控的方法及系统。

技术介绍

[0002]在计算机与网络设备的日常工作中，往往需要知道在某些文件 (夹) 上都有那些变化，比如：通知配置文件的改变，跟踪某些关键的系统文件的变化，监控某个分区磁盘的整体使用情况，系统崩溃时进行自动清理，自动触发备份进程，向服务器上传文件结束时发出通知等。通过查询设备运行的日志记录确定程序运行状态及具体操作内容，决定调式设备的依据。
[0003]目前的查看、分析日志，通常使用文件轮询的通知机制，但是这种机制只适用于经常改变的文件，其他情况下都非常低效，并且有时候会丢失某些类型的变化，例如文件的修改时间没有改变。而基于时间调度来跟踪文件变化，如果想实时监控文件的变化的话，那么时间调度就束手无策了。因此需要一种高效监控和跟踪文件变化的技术方案，以实时地处理、调试以及监控设备日志文件的变化。

技术实现思路

[0004]为了解决上述问题，本专利技术旨在提出一种设备的日志监控方法与系统，实现对系统日志变化的审计，以发现安全事件，提高系统安全。
[0005]一方面，提供一种日志监控方法，包括：若监控到系统日志文件发生变更事件，根据操作系统类型规定的日志格式，解析得到发生变化日志的具体内容，组装成XML监控日志并发送至日志中心进行处理，保存至本地或上传至服务器；其中，判断日志文件是否发生变更事件，包括：创建audit日志文件监控线程，以及创建inotify套接字以调用read函数，当read函数的返回值大于0则判断当前日志文件发生变化。
[0006]上述的变更事件，包括白名单策略变更、可执行程序加载、违反强制访问策略与身份鉴别。系统日志内容包括：日志类型，用于标识日志类型的日志KEY，日志产生时间，日志进程名称与路径，产生audit日志的用户名称，日志记录执行结果，audit日志详情，产生audit日志的账号名称。
[0007]较佳的，上述日志文件的监控流程，包括：创建inotify文件描述符，判断是否创建成功，若创建成功则进行下一步，否则睡眠5s；判断是否开启审计，若已开启则进行下一步，否则睡眠5s；添加inotify规则监控系统audit日志文件的修改事件，若检查到audit日志文件发生变更，则将输出的buf转换成inotify_event指针并遍历；使用read函数读取inotify文件描述符上接收的所述修改事件，判断是否为修改
或删除事件，若是则进行下一步，否则继续检查audit日志文件是否发生变更；删除inotify文件描述符。
[0008]进一步的，对发生变更事件的日志进行解析并组装XML日志：获取前一次日志发送之后产生的系统日志，查找特定字段的值并保存，根据字段值判断当前操作系统类型，并根据操作系统类型的日志格式对字段内容进行解析。
[0009]较佳的，上述的根据操作系统类型的日志格式对字段内容进行解析，包括根据auditlog日志的“type”字段的值判断日志类型为白名单策略变更日志、可执行程序加载日志、违反强制访问策略日志或身份鉴别日志中的一项。
[0010]另一方面，提供一种日志监控系统，包括：策略模块，接收并解析服务器下发的监控策略；日志文件监控模块，根据监控策略判断日志文件是否发生变更事件；日志解析模块，根据操作系统类型规定的日志格式，对发生变更事件的日志进行解析，得到发生变化日志的具体内容，并组装成XML监控日志；日志处理模块，保存监控日志至本地或上传至服务器。
[0011]所述日志文件监控模块对日志文件的监控，包括：创建inotify文件描述符，判断是否创建成功，若创建成功则进行下一步，否则睡眠5s；判断是否开启审计，若已开启则进行下一步，否则睡眠5s；添加inotify规则监控系统audit日志文件的修改事件，若检查到audit日志文件发生变更，则将输出的buf转换成inotify_event指针并遍历；使用read函数读取inotify文件描述符上接收的所述修改事件，判断是否为修改或删除事件，若是则进行下一步，否则继续检查audit日志文件是否发生变更；删除inotify文件描述符。
[0012]所述日志解析模块对日志文件的解析，包括：获取前一次日志发送之后产生的系统日志，查找特定字段的值并保存，根据字段值判断当前操作系统类型，并根据操作系统类型的日志格式对字段内容进行解析：根据auditlog日志的“type”字段的值判断日志类型为白名单策略变更日志、可执行程序加载日志、违反强制访问策略日志或身份鉴别日志中的一项。
[0013]基于以上技术方案的本专利技术实施例，相较于现有技术具备以下有益效果：能够实现对主机系统日志进行高效监控和文件变化跟踪，及时发现安全策略变更、可执行程序加载、违反强制访问策略、身份鉴别等系统安全事件，有利于对主机日志进行有效审计，防止安全威胁。
附图说明
[0014]图1为本专利技术的日志文件监控方法实施例，工作流程示意图；图2为本专利技术的日志文件监控系统实施例，组成模块示意图。
具体实施方式
[0015]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例
中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述。
[0016]如图1所示，一种日志监控方法，包括：接收并解析策略，所述策略由服务器将策略内容下发给主机的客户端，客户端的策略中心将策略内容进行解析启动日志监控。
[0017]创建audit日志文件监控线程，对日志文件修改事件进行监控，判断日志文件是否发生变化，包括：创建audit日志文件监控线程，以及创建inotify套接字以调用read函数，当read函数的返回值大于0则判断当前日志文件发生变化。
[0018]上述的变更事件，包括白名单策略变更、可执行程序加载、违反强制访问策略与身份鉴别。系统日志内容包括：日志类型，用于标识日志类型的日志KEY，日志产生时间，日志进程名称与路径，产生audit日志的用户名称，日志记录执行结果，audit日志详情，产生audit日志的账号名称。
[0019]作为一种较佳的实施方式，上述的日志文件监控线程可以通过以下步骤实现：创建inotify文件描述符，判断是否创建成功，若创建成功则进行下一步，否则睡眠5s；判断是否开启审计，若已开启则进行下一步，否则睡眠5s；添加inotify规则监控系统audit日志文件的修改事件，若检查到audit日志文件发生变更，则将输出的buf转换成inotify_event指针并遍历；使用read函数读取inotify文件描述符上接收的所述修改事件，判断是否为修改或删除事件，若是则进行下一步，否则继续检查audit日志文件是否发生变更；删除inotify文件描述符。
[0020]进一步的，若监控到系统日志文件发生变更事件，根据操作系统类型规定的日志格式，解析得到发生变化日志的具体内容，组装成XML监控日志并发送至日志中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种日志监控方法，其特征在于，包括：若监控到系统日志文件发生变更事件，根据操作系统类型规定的日志格式，解析得到发生变化日志的具体内容，组装成XML监控日志并发送至日志中心进行处理，保存至本地或上传至服务器；其中，判断日志文件是否发生变更事件，包括：创建audit日志文件监控线程，以及创建inotify套接字以调用read函数，当read函数的返回值大于0则判断当前日志文件发生变化。2.根据权利要求1所述的日志监控方法，其特征在于，所述的变更事件，包括白名单策略变更、可执行程序加载、违反强制访问策略与身份鉴别。3.根据权利要求1所述的日志监控方法，其特征在于，所述系统日志内容包括：日志类型，用于标识日志类型的日志KEY，日志产生时间，日志进程名称与路径，产生audit日志的用户名称，日志记录执行结果，audit日志详情，产生audit日志的账号名称。4.根据权利要求1所述的日志监控方法，其特征在于，所述日志文件的监控流程，包括：创建inotify文件描述符，判断是否创建成功，若创建成功则进行下一步，否则睡眠5s；判断是否开启审计，若已开启则进行下一步，否则睡眠5s；添加inotify规则监控系统audit日志文件的修改事件，若检查到audit日志文件发生变更，则将输出的buf转换成inotify_event指针并遍历；使用read函数读取inotify文件描述符上接收的所述修改事件，判断是否为修改或删除事件，若是则进行下一步，否则继续检查audit日志文件是否发生变更；删除inotify文件描述符。5.根据权利要求4所述的日志监控方法，其特征在于，还包括对发生变更事件的日志进行解析并组装XML日志：获取前一次日志发送之后产生的系统日志，查找特定字段的值并保存，根据字段值判断当前操作系统类型，并根据操作系统类型的日志格式对字段内容进行解析。6.根据权利要求5所述的日志监...

【专利技术属性】
技术研发人员：何建锋，刘江南，李长江，
申请(专利权)人：西安交大捷普网络科技有限公司，
类型：发明
国别省市：