2. 专利查询
  3. 基于拦截器技术的审计日志动态实现方法及装置与流程

基于拦截器技术的审计日志动态实现方法及装置与流程

专利查询10月前  79


1.本发明涉及计算机、互联网、数据处理技术领域,尤其涉及一种基于拦截器技术的审计日志动态实现方法及装置。


背景技术:

2.在一个完整的信息系统中,日志系统是一个非常重要的功能组成部分,可以记录下系统所产生的所有行为,并按照特定的规范表达出来。实际应用中,我们可以使用日志系统所记录的信息为系统进行排错或根据日志系统所记录的信息调整系统的行为。目前日志系统主要应用于系统安全领域,具体应用场景包括:记录登录错误、记录访问异常、系统性能信息检测、故障检测以及入侵检测等。
3.但在实际应用中,由于日志系统中存储日志的形式没有统一的数据格式,往往是自由格式的文本,且每个日志占用的存储空间大小也各不相同,导致整理日志对应的数据或在日志中查找关键信息都会需要花费大量精力,需要处理的数据量也可能极为庞大,尽管如此,日志系统也是一个信息系统不可或缺的组成部分,因此提供一种针对日志的管理方式显得尤为重要。


技术实现要素:

4.本发明所要解决的技术问题在于,提供一种基于拦截器技术的审计日志动态实现方法及装置,能够对拦截到的用户操作对应的数据以及采集到的系统日志对应的数据执行规范处理,有利于提高针对系统日志中存储的数据的管理效率。
5.为了解决上述技术问题,本发明第一方面公开了一种基于拦截器技术的审计日志动态实现方法,所述方法包括:
6.检测是否接收到由用户发起的请求操作对应的目标指令;
7.当检测出接收到所述目标指令时,生成与所述目标指令对应的切面,所述切面用于在所述目标指令进入目标数据层时记录操作日志,所述操作日志为执行所述目标指令时对应生成的日志;
8.根据所述切面拦截所述目标指令,得到与所述目标指令对应的目标信息;
9.对数据集执行规范化处理,得到符合存储要求的目标数据,所述数据集包括所述目标信息。
10.作为一种可选的实施方式,在本发明第一方面中,所述根据所述切面拦截所述目标指令,得到与所述目标指令对应的目标信息,包括:
11.当所述目标指令进入第一数据层时,根据所述切面获取所述目标指令对应的第一信息,所述第一信息包括所述请求操作对应的ip地址以及所述请求操作对应的用户标识,所述用户标识包括用户id以及用户名称中的至少一种;
12.在所述目标指令进入第二数据层之后,根据预设的插件以及预设的类创建数据监听器;
13.通过所述数据监听器,监听得到变更数据,所述变更数据为执行所述目标指令后对应发生变化的数据;
14.以及,将所述第一信息和所述变更数据确定为与所述目标指令对应的目标信息。
15.作为一种可选的实施方式,在本发明第一方面中,所述数据集还包括所述操作日志以及存储在信息系统中的第二信息,所述第二信息包括系统安全事件、用户访问记录、系统运行日志以及系统运行状态信息中的至少一种;
16.所述对数据集执行规范化处理,得到符合存储要求的目标数据,包括:
17.采集所述操作日志、所述第一信息、所述变更数据以及所述第二信息;
18.对采集到的所述操作日志、所述第一信息、所述变更数据以及所述第二信息执行预设的数据处理操作,得到数据格式统一且以日志形式存储的目标数据,所述预设的数据处理操作包括数据规范化处理、过滤处理、归并处理以及告警分析处理中的至少一种。
19.作为一种可选的实施方式,在本发明第一方面中,所述对数据集执行规范化处理,得到符合存储要求的目标数据之后,所述方法还包括:
20.检测是否接收到回溯发起指令,所述回溯发起指令用于发起回溯历史系统操作的指令;
21.当检测出接收到所述回溯发起指令时,分析所述回溯发起指令对应的回溯类型,得到分析结果,所述回溯类型包括针对数据的回溯类型、针对行为的回溯类型以及针对操作人员的回溯类型中的至少一种;
22.根据所述分析结果调用审计日志执行与所述分析结果相匹配的回溯操作,所述审计日志存储有所述历史系统操作对应的历史数据,所述历史数据包括所述目标数据。
23.作为一种可选的实施方式,在本发明第一方面中,所述根据预设的插件以及预设的类创建数据监听器,包括:
24.获取拦截到的所述目标指令所包括的指令标识;
25.根据所述指令标识创建与所述指令标识对应的数据解析器,所述数据解析器用于解析所述目标指令所包括的请求参数;
26.根据所述指令标识调用预设的类,创建得到数据监听器,所述数据监听器用于监听所述请求参数。
27.作为一种可选的实施方式,在本发明第一方面中,在所述根据所述切面获取所述目标指令对应的第一信息之后,所述方法还包括:
28.调用数据存储服务记录所述目标指令对应的所述操作日志;
29.将所述目标指令所包括的操作id设置到所述请求操作对应的数据空间中;
30.以及,在所述通过所述数据监听器,监听得到变更数据之后,所述方法还包括:
31.清除所述操作id。
32.作为一种可选的实施方式,在本发明第一方面中,所述根据所述切面拦截所述目标指令,得到与所述目标指令对应的目标信息之后,所述方法还包括:
33.判断所述请求操作是否需要跨越多个服务,当判断出不需要跨越多个服务时,执行所述对数据集执行规范化处理,得到符合存储要求的目标数据的操作;
34.当判断出需要跨越多个服务时,通过预设协议将所述目标指令对应的指令参数从当前操作平台传输到目标平台;
35.其中,所述通过预设协议将所述目标指令对应的操作数据从当前操作平台传输到目标平台,包括:
36.确定每个服务对应的服务平台;
37.对每个所述目标指令对应的指令参数,按照所述指令参数对应的功能执行分类处理,得到每个所述服务平台对应的指令参数;
38.通过预设协议将每个所述服务平台对应的指令参数从当前操作平台传输到与所述指令参数对应的所述服务平台。
39.本发明第二方面公开了一种基于拦截器技术的审计日志动态实现装置,所述装置包括:
40.检测模块,用于检测是否接收到由用户发起的请求操作对应的目标指令;
41.生成模块,用于当所述检测模块检测出接收到所述目标指令时,生成与所述目标指令对应的切面,所述切面用于在所述目标指令进入目标数据层时记录操作日志,所述操作日志为执行所述目标指令时对应生成的日志;
42.拦截模块,用于根据所述生成模块生成的切面拦截所述目标指令,得到与所述目标指令对应的目标信息;
43.处理模块,用于对数据集执行规范化处理,得到符合存储要求的目标数据,所述数据集包括所述目标信息。
44.作为一种可选的实施方式,在本发明第二方面中,所述拦截模块包括:
45.获取子模块,当所述目标指令进入第一数据层时,根据所述切面获取所述目标指令对应的第一信息,所述第一信息包括所述请求操作对应的ip地址以及所述请求操作对应的用户标识,所述用户标识包括用户id以及用户名称中的至少一种;
46.创建子模块,用于在所述目标指令进入第二数据层之后,根据预设的插件以及预设的类创建数据监听器;
47.监听子模块,用于通过所述数据监听器,监听得到变更数据,所述变更数据为执行所述目标指令后对应发生变化的数据;
48.确定子模块,用于将所述第一信息和所述变更数据确定为与所述目标指令对应的目标信息。
49.作为一种可选的实施方式,在本发明第二方面中,所述数据集还包括所述操作日志以及存储在信息系统中的第二信息,所述第二信息包括系统安全事件、用户访问记录、系统运行日志以及系统运行状态信息中的至少一种;
50.所述处理模块对数据集执行规范化处理,得到符合存储要求的目标数据的方式具体包括:
51.采集所述操作日志、所述第一信息、所述变更数据以及所述第二信息;
52.对采集到的所述操作日志、所述第一信息、所述变更数据以及所述第二信息执行预设的数据处理操作,得到数据格式统一且以日志形式存储的目标数据,所述预设的数据处理操作包括数据规范化处理、过滤处理、归并处理以及告警分析处理中的至少一种。
53.作为一种可选的实施方式,在本发明第二方面中,所述检测模块,还用于在所述处理模块对数据集执行规范化处理,得到符合存储要求的目标数据之后,检测是否接收到回溯发起指令,所述回溯发起指令用于发起回溯历史系统操作的指令;
54.以及所述装置还包括:
55.分析模块,用于当所述检测模块检测出接收到所述回溯发起指令时,分析所述回溯发起指令对应的回溯类型,得到分析结果,所述回溯类型包括针对数据的回溯类型、针对行为的回溯类型以及针对操作人员的回溯类型中的至少一种;
56.回溯模块,用于根据所述分析模块得到的分析结果调用审计日志执行与所述分析结果相匹配的回溯操作,所述审计日志存储有所述历史系统操作对应的历史数据,所述历史数据包括所述目标数据。
57.作为一种可选的实施方式,在本发明第二方面中,所述创建子模块根据预设的插件以及预设的类创建数据监听器的方式具体包括:
58.获取拦截到的所述目标指令所包括的指令标识;
59.根据所述指令标识创建与所述指令标识对应的数据解析器,所述数据解析器用于解析所述目标指令所包括的请求参数;
60.根据所述指令标识调用预设的类,创建得到数据监听器,所述数据监听器用于监听所述请求参数。
61.作为一种可选的实施方式,在本发明第二方面中,所述拦截模块还包括:
62.处理子模块,用于在所述获取子模块根据所述切面获取所述目标指令对应的第一信息之后,调用数据存储服务记录所述目标指令对应的所述操作日志;
63.所述处理子模块,还用于将所述目标指令所包括的操作id设置到所述请求操作对应的数据空间中;
64.以及,所述处理子模块,还用于在所述监听子模块通过所述数据监听器,监听得到变更数据之后,清除所述操作id。
65.作为一种可选的实施方式,在本发明第二方面中,所述装置还包括:
66.判断模块,用于在所述拦截模块根据所述切面拦截所述目标指令,得到与所述目标指令对应的目标信息之后,判断所述请求操作是否需要跨越多个服务,当判断出不需要跨越多个服务时,触发所述处理模块执行所述对数据集执行规范化处理,得到符合存储要求的目标数据的操作;
67.所述处理模块,还用于当所述判断模块判断出需要跨越多个服务时,通过预设协议将所述目标指令对应的指令参数从当前操作平台传输到目标平台;
68.其中,所述处理模块通过预设协议将所述目标指令对应的操作数据从当前操作平台传输到目标平台的方式具体包括:
69.确定每个服务对应的服务平台;
70.对每个所述目标指令对应的指令参数,按照所述指令参数对应的功能执行分类处理,得到每个所述服务平台对应的指令参数;
71.通过预设协议将每个所述服务平台对应的指令参数从当前操作平台传输到与所述指令参数对应的所述服务平台。
72.本发明第三方面公开了另一种基于拦截器技术的审计日志动态实现装置,所述装置包括:
73.存储有可执行程序代码的存储器;
74.与所述存储器耦合的处理器;
75.所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明第一方面公开的基于拦截器技术的审计日志动态实现方法。
76.本发明第四方面公开了一种计算机存储介质,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本发明第一方面公开的基于拦截器技术的审计日志动态实现方法。
77.与现有技术相比,本发明实施例具有以下有益效果:
78.本发明实施例中,能够检测是否接收到由用户发起的请求操作对应的目标指令,当检测出接收到目标指令时,生成与该目标指令对应的切面,该切面用于在目标指令进入目标数据层时记录操作日志,该操作日志为执行目标指令时对应生成的日志;根据上述切面拦截目标指令,得到与目标指令对应的目标信息,并对数据集执行规范化处理,得到符合存储要求的目标数据,该数据集包括目标信息。可见,实施本发明能够通过建立切面的方式拦截用户发起的请求操作对应的目标指令,有利于提高针对用户发起的请求操作的获取速度;还能对包括目标信息的数据集执行规范化处理,有利于提高针对数据集的管理效率。
附图说明
79.为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
80.图1是本发明实施例公开的一种基于拦截器技术的审计日志动态实现方法的流程示意图;
81.图2是本发明实施例公开的一种基于拦截器技术的审计日志动态实现方法的流程示意图;
82.图3是本发明实施例公开的一种基于拦截器技术的审计日志动态实现装置的结构示意图;
83.图4是本发明实施例公开的另一种基于拦截器技术的审计日志动态实现装置的结构示意图;
84.图5是本发明实施例公开的又一种基于拦截器技术的审计日志动态实现的装置的结构示意图。
具体实施方式
85.为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
86.本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或端没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括
对于这些过程、方法、产品或端固有的其他步骤或单元。
87.在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
88.本发明公开了一种基于拦截器技术的审计日志动态实现方法及装置,能够通过建立切面的方式拦截用户发起的请求操作对应的目标指令,有利于提高针对用户发起的请求操作的获取速度;还能对包括目标信息的数据集执行规范化处理,有利于提高针对数据集的管理效率,以下分别进行详细说明。
89.实施例一
90.请参阅图1,图1是本发明实施例公开的一种基于拦截器技术的审计日志动态实现方法的流程示意图。其中,图1所描述的基于拦截器技术的审计日志动态实现方法可以应用于对系统日志的存储和管理,也可以应用于对系统日志的审计,本发明实施例不做限定。如图1所示,该基于拦截器技术的审计日志动态实现方法可以包括以下操作:
91.101、检测是否接收到由用户发起的请求操作对应的目标指令。
92.本发明实施例中,该检测方式可以为实时检测的方式,也是可以是每隔预设时间间隔(如5分钟或30分钟)检测一次的检测方式,本发明实施例不做限定。
93.本发明实施例中,该请求操作至少包括针对系统文件的新增操作(如新增文件)、删除操作以及更新操作(如文件替换更新)中的任一种,本发明实施例不做限定。
94.102、当检测出接收到目标指令时,生成与目标指令对应的切面。
95.本发明实施例中,该切面用于在目标指令进入目标数据层时记录操作日志,该操作日志为执行目标指令时对应生成的日志。
96.需要说明的是,该切面可以是通过java平台上spring技术框架中的一个具体技术aspect,或在该aspect技术的基础上改进得到的,本发明实施例不做限定。
97.103、根据切面拦截目标指令,得到与目标指令对应的目标信息。
98.在本发明实施例中,根据切面拦截目标指令,得到与目标指令对应的目标信息的方式具体可以包括以下步骤:
99.当目标指令进入第一数据层时,根据切面获取目标指令对应的第一信息,第一信息包括请求操作对应的ip地址以及请求操作对应的用户标识,用户标识包括用户id以及用户名称中的至少一种;
100.在目标指令进入第二数据层之后,根据预设的插件以及预设的类创建数据监听器;
101.通过数据监听器,监听得到变更数据,变更数据为执行目标指令后对应发生变化的数据;
102.以及,将第一信息和变更数据确定为与目标指令对应的目标信息。
103.本发明实施例中,第一数据层可以包括web层或facade层,第二数据层可以包括数据访问层;第一信息还可以包括操作菜单(操作界面信息)和操作详细值。
104.在本发明实施例中,进一步的,根据预设的插件以及预设的类创建数据监听器具体可以包括以下步骤:
105.获取拦截到的目标指令所包括的指令标识;
106.根据指令标识创建与指令标识对应的数据解析器,数据解析器用于解析目标指令所包括的请求参数;
107.根据指令标识调用预设的类,创建得到数据监听器,数据监听器用于监听请求参数。
108.本发明实施例中,在目标指令进入第二数据层之后,进一步的举例说明如下:通过预设的mybatis拦截器插件,调用插件自身的intercept,获取本次目标指令对应的command名称,根据command名称通过parsefactory工厂创建对应的数据解析器,然后调用解析器的parsebefore方法解析本次请求参数,之后通过command名称使用traceeventfactory工厂创数据监听器,再调用proceed方法(业务方法回调),通过数据监听器监听得到变更数据。
109.可见,本发明实施例中,通过建立两层拦截的方式,有针对性的截取第一信息,有利于后续根据第一信息迅速确定该请求操作对应的ip以及用户信息,提高信息检索的效率;还能实时记录用户每次请求操作影响的数据变更,有利于提高获取到的数据变更的时效性以及准确性。
110.104、对数据集执行规范化处理,得到符合存储要求的目标数据。
111.在本发明实施例中,数据集包括目标信息,进一步的,该数据集还可以包括上述的操作日志以及存储在信息系统中的第二信息,第二信息可以包括系统安全事件、用户访问记录、系统运行日志以及系统运行状态信息中的至少一种;
112.本发明实施例中,对数据集执行规范化处理,得到符合存储要求的目标数据的方式具体可以包括以下步骤:
113.采集操作日志、第一信息、变更数据以及第二信息;
114.对采集到的操作日志、第一信息、变更数据以及第二信息执行预设的数据处理操作,得到数据格式统一且以日志形式存储的目标数据,预设的数据处理操作包括数据规范化处理、过滤处理、归并处理以及告警分析处理中的至少一种。
115.本发明实施例中,需要说明的是,该数据规范化处理包括对数据集中的数据执行数据格式转换处理、数据容量处理以及数据存储形式转换处理;该过滤处理用于在确定出数据集中包括目标标识的数据后(如乱码标识、错误文件标识),过滤包括目标标识的数据;归并处理用于对数据集中包括相同数据标识(如相同文件名、相同文件内容)执行合并处理;告警分析处理用于分析数据集包括的数据后,对分析结果中包括告警标识的数据执行告警操作。
116.可见,本发明实施例能够智能化采集并处理包括操作日志、第一信息、变更数据以及第二信息的数据集,有利于提高数据集的处理效率;还能处理数据集后得到数据格式统一且以日志形式存储的目标数据,有利于提高针对目标数据的管理效率,以及提高后续根据目标数据查询特定数据时的查询效率。
117.可见,实施图1所描述的基于拦截器技术的审计日志动态实现方法能够通过建立两层拦截的方式,有针对性的截取第一信息,有利于后续根据第一信息迅速确定该请求操作对应的ip以及用户信息,提高信息检索的效率;还能实时记录用户每次请求操作影响的数据变更,有利于提高获取到的数据变更的时效性以及准确性;此外,还能通过处理数据集后得到数据格式统一且以日志形式存储的目标数据,有利于提高针对目标数据的管理效
率,以及提高后续根据目标数据查询特定数据时的查询效率。
118.在一个可选的实施例中,上述根据切面拦截目标指令,得到与目标指令对应的目标信息之后,该基于拦截器技术的审计日志动态实现方法还可以包括以下步骤:
119.判断拦截到的目标指令是否包括隐秘标识,该隐秘标识用于在执行该请求操作之后,清除本次请求操作对应的操作日志;
120.当判断出拦截到的目标指令包括隐秘标识时,在执行该请求操作之后,根据该隐秘标识清除该请求操作对应的操作日志;或者,
121.根据该隐秘标识,取消针对该请求操作对应的操作日志的相关操作,该相关操作包括获取操作、记录存储操作以及分类处理操作中的至少一种,本发明实施例不做限定。
122.需要说明的是,包括该隐秘标识对应的请求操作为针对冗余文件的请求操作,该冗余文件为被判定为乱码或者损坏不可用的文件,也即默认包括隐秘标识的请求操作为无需记录操作日志的操作。
123.可见,在该可选的实施例中,能够取消对包括有隐秘标识的目标文件执行文件处理操作(如操作日志记录),减少数据处理的处理数据量,一定程度提高后续对数据集执行规范化处理时的处理效率。
124.实施例二
125.请参阅图2,图2是本发明实施例公开的另一种基于拦截器技术的审计日志动态实现方法的流程示意图。其中,图2所描述的基于拦截器技术的审计日志动态实现方法可以应用于对系统日志的存储和管理,也可以应用于对系统日志的审计,本发明实施例不做限定。如图2所示,该基于拦截器技术的审计日志动态实现方法可以包括以下操作:
126.201、检测是否接收到由用户发起的请求操作对应的目标指令。
127.202、当检测出接收到目标指令时,生成与目标指令对应的切面。
128.203、根据切面拦截目标指令,得到与目标指令对应的目标信息。
129.204、对数据集执行规范化处理,得到符合存储要求的目标数据。
130.本发明实施例中,针对步骤201-步骤204的其他描述请参阅实施例一中针对步骤101-步骤104的其他具体描述,本发明实施例不再赘述。
131.205、检测是否接收到回溯发起指令。
132.本发明实施例中,在对数据集执行规范化处理,得到符合存储要求的目标数据之后,执行上述检测是否接收到回溯发起指令的操作,其中,该回溯发起指令用于发起回溯历史系统操作的指令。
133.206、当检测出接收到回溯发起指令时,分析回溯发起指令对应的回溯类型,得到分析结果。
134.本发明实施例中,该回溯类型包括针对数据的回溯类型、针对行为的回溯类型以及针对操作人员的回溯类型中的至少一种;需要说明的是,针对数据的回溯类型,例如查询某个数据的历史数值是什么或者经历过了几次修改;针对行为的回溯类型,例如回溯是触发了什么操作才导致的数据变更;针对操作人员的回溯类型,例如回溯修改此项数据的操作人员、修改时间或者客户端ip等。
135.207、根据分析结果调用审计日志执行与分析结果相匹配的回溯操作。
136.本发明实施例中,审计日志存储有历史系统操作对应的历史数据,历史数据包括
目标数据。
137.可见,实施图2所描述的基于拦截器技术的审计日志动态实现方法能够通过建立两层拦截的方式,有针对性的截取第一信息,有利于后续根据第一信息迅速确定该请求操作对应的ip以及用户信息,提高信息检索的效率;还能实时记录用户每次请求操作影响的数据变更,有利于提高获取到的数据变更的时效性以及准确性;此外,还能通过处理数据集后得到数据格式统一且以日志形式存储的目标数据,有利于提高针对目标数据的管理效率,以及提高后续根据目标数据查询特定数据时的查询效率;还能在检测到回溯发起指令之后,通过审计日志执行与该回溯发起指令对应的回溯操作,有利于提高回溯效率。
138.在一个可选的实施例中,在根据切面获取目标指令对应的第一信息之后,该基于拦截器技术的审计日志动态实现方法还可以包括以下步骤:
139.调用数据存储服务记录目标指令对应的操作日志;
140.将目标指令所包括的操作id设置到请求操作对应的数据空间中;
141.以及,在通过数据监听器,监听得到变更数据之后,方法还包括:
142.清除操作id。
143.可见,该可选的实施例中,能够智能化记录当前目标指令对应的操作日志,减少出现因时间过长等原因,导致未被及时存储或记录的操作日志被错误删除而无法找回的情况。
144.在另一个可选的实施例中,根据切面拦截目标指令,得到与目标指令对应的目标信息之后,该基于拦截器技术的审计日志动态实现方法还可以包括以下步骤:
145.判断请求操作是否需要跨越多个服务,当判断出不需要跨越多个服务时,执行对数据集执行规范化处理,得到符合存储要求的目标数据的操作;
146.当判断出需要跨越多个服务时,通过预设协议将目标指令对应的指令参数从当前操作平台传输到目标平台;
147.其中,通过预设协议将目标指令对应的操作数据从当前操作平台传输到目标平台,包括:
148.确定每个服务对应的服务平台;
149.对每个目标指令对应的指令参数,按照指令参数对应的功能执行分类处理,得到每个服务平台对应的指令参数;
150.通过预设协议将每个服务平台对应的指令参数从当前操作平台传输到与指令参数对应的服务平台。
151.可见,在该可选的实施例中,在请求操作需要跨服务操作时,能够按照指令参数对应的功能执行分类处理,将每个服务平台对应的指令参数从当前操作平台传输到与指令参数对应的服务平台,以使提高每个服务平台接收到的指令参数的准确性,有利于提高各个服务平台针对接收到的指令参数的处理效率。
152.在又一个可选的实施例中,当检测出接收到回溯发起指令时,分析回溯发起指令对应的回溯类型,得到分析结果之后,以及根据分析结果调用审计日志执行与分析结果相匹配的回溯操作之前,该基于拦截器技术的审计日志动态实现方法还可以包括以下步骤:
153.判断分析结果是否包括执行该回溯发起指令对应的等级权限,当判断结果为是时,执行根据分析结果调用审计日志执行与分析结果相匹配的回溯操作;
154.当判断结果为否时,获取当前回溯发起指令的相关信息,该相关信息包括回溯发起指令对应的发起ip地址;
155.根据该发起ip地址锁定该发起ip地址关联的账户,并记录该发起ip地址执行的相关操作。
156.可见,在执行回溯发起指令之前,还能检验发起回溯发起指令的ip地址/用户是否拥有足够的权限等级,以执行回溯操作,减少审计日志中存储的保密文件被未拥有足够权限等级的用户读取,有利于提高存储在审计日志中的文件的安全性。
157.实施例三
158.请参阅图3,图3是本发明实施例公开的一种基于拦截器技术的审计日志动态实现装置的结构示意图。其中,图3所描述的基于拦截器技术的审计日志动态实现装置可以应用于对系统日志的存储和管理,也可以应用于对系统日志的审计,本发明实施例不做限定。如图3所示,该基于拦截器技术的审计日志动态实现装置可以包括检测模块301、生成模块302、拦截模块303以及处理模块304,其中:
159.检测模块301,用于检测是否接收到由用户发起的请求操作对应的目标指令。
160.生成模块302,用于当检测模块301检测出接收到目标指令时,生成与目标指令对应的切面,切面用于在目标指令进入目标数据层时记录操作日志,操作日志为执行目标指令时对应生成的日志。
161.拦截模块303,用于根据生成模块302生成的切面拦截检测模块301检测到的目标指令,得到与目标指令对应的目标信息。
162.处理模块304,用于对数据集执行规范化处理,得到符合存储要求的目标数据,数据集包括拦截模块303得到的目标信息。
163.可见,实施图3所描述的基于拦截器技术的审计日志动态实现装置能够通过建立切面的方式拦截用户发起的请求操作对应的目标指令,有利于提高针对用户发起的请求操作的获取速度;还能通过处理数据集后得到符合存储要求的目标数据,有利于提高针对目标数据的管理效率,以及提高后续根据目标数据查询特定数据时的查询效率。
164.在一个可选的实施例中,如图4所示,该拦截模块包括303可以包括获取子模块3031、创建子模块3032、监听子模块3033以及确定子模块3034,其中:
165.获取子模块3031,当目标指令进入第一数据层时,根据切面获取目标指令对应的第一信息,第一信息包括请求操作对应的ip地址以及请求操作对应的用户标识,用户标识包括用户id以及用户名称中的至少一种。
166.创建子模块3032,用于在获取子模块3031获取到第一信息,以及目标指令进入第二数据层之后,根据预设的插件以及预设的类创建数据监听器。
167.监听子模块3033,用于通过创建子模块3032创建的数据监听器,监听得到变更数据,变更数据为执行目标指令后对应发生变化的数据。
168.确定子模块3034,用于将获取子模块3031得到的第一信息和监听子模块3033得到的变更数据确定为与目标指令对应的目标信息。
169.可见,实施图4所描述的基于拦截器技术的审计日志动态实现装置通过建立两层拦截的方式,有针对性的截取第一信息,有利于后续根据第一信息迅速确定该请求操作对应的ip以及用户信息,提高信息检索的效率;还能通过监听器记录用户每次请求操作影响
的数据变更,有利于提高获取到的数据变更的时效性以及准确性。
170.在另一个可选的实施例中,数据集还可以包括操作日志以及存储在信息系统中的第二信息,第二信息包括系统安全事件、用户访问记录、系统运行日志以及系统运行状态信息中的至少一种;
171.处理模块304对数据集执行规范化处理,得到符合存储要求的目标数据的方式具体包括:
172.采集操作日志、第一信息、变更数据以及第二信息;
173.对采集到的操作日志、第一信息、变更数据以及第二信息执行预设的数据处理操作,得到数据格式统一且以日志形式存储的目标数据,预设的数据处理操作包括数据规范化处理、过滤处理、归并处理以及告警分析处理中的至少一种。
174.可见,实施图4所描述的基于拦截器技术的审计日志动态实现装置能够智能化采集并处理包括操作日志、第一信息、变更数据以及第二信息的数据集,有利于提高数据集的处理效率;还能处理数据集后得到数据格式统一且以日志形式存储的目标数据,有利于提高针对目标数据的管理效率,以及提高后续根据目标数据查询特定数据时的查询效率。
175.在又一个可选的实施例中,如图4所示,检测模块301,还用于在处理模块304对数据集执行规范化处理,得到符合存储要求的目标数据之后,检测是否接收到回溯发起指令,回溯发起指令用于发起回溯历史系统操作的指令;
176.以及基于拦截器技术的审计日志动态实现装置还可以包括分析模块305以及回溯模块306,其中:
177.分析模块305,用于当检测模块301检测出接收到回溯发起指令时,分析回溯发起指令对应的回溯类型,得到分析结果,回溯类型包括针对数据的回溯类型、针对行为的回溯类型以及针对操作人员的回溯类型中的至少一种。
178.回溯模块306,用于根据分析模块305得到的分析结果调用审计日志执行与分析结果相匹配的回溯操作,审计日志存储有历史系统操作对应的历史数据,历史数据包括目标数据。
179.可见,实施图4所描述的基于拦截器技术的审计日志动态实现装置能够在检测到回溯发起指令之后,通过审计日志执行与该回溯发起指令对应的回溯操作,有利于提高回溯效率。
180.在另一个可选的实施例中,创建子模块3032根据预设的插件以及预设的类创建数据监听器的方式具体包括以下步骤:
181.获取拦截到的目标指令所包括的指令标识;
182.根据指令标识创建与指令标识对应的数据解析器,数据解析器用于解析目标指令所包括的请求参数;
183.根据指令标识调用预设的类,创建得到数据监听器,数据监听器用于监听请求参数。
184.可见,该可选的实施例中,通过拦截到的目标指令所包括的指令标识,创建得到指令标识对应的数据解析器,进一步得到后续监听变更数据(请求参数)的数据监听器,提高后续获取到的数据变更的时效性以及准确性。
185.在又一个可选的实施例中,如图4所示,拦截模块303还可以包括处理子模块3035,
其中:
186.处理子模块3035,用于在获取子模块3031根据切面获取目标指令对应的第一信息之后,调用数据存储服务记录目标指令对应的操作日志。
187.处理子模块3035,还用于将目标指令所包括的操作id设置到请求操作对应的数据空间中。
188.以及,处理子模块3035,还用于在监听子模块3033通过数据监听器,监听得到变更数据之后,清除操作id。
189.可见,实施图4所描述的基于拦截器技术的审计日志动态实现装置能够智能化记录当前目标指令对应的操作日志,减少出现因时间过长等原因,导致未被及时存储或记录的操作日志被错误删除而无法找回的情况。
190.在另一个可选的实施例中,如图4所示,该基于拦截器技术的审计日志动态实现装置还可以包括判断模块307,其中:
191.判断模块307,用于在拦截模块303根据切面拦截目标指令,得到与目标指令对应的目标信息之后,判断请求操作是否需要跨越多个服务,当判断出不需要跨越多个服务时,触发处理模块304执行对数据集执行规范化处理,得到符合存储要求的目标数据的操作。
192.处理模块304,还用于当判断模块307判断出需要跨越多个服务时,通过预设协议将目标指令对应的指令参数从当前操作平台传输到目标平台。
193.其中,处理模块304通过预设协议将目标指令对应的操作数据从当前操作平台传输到目标平台的方式具体包括:
194.确定每个服务对应的服务平台;
195.对每个目标指令对应的指令参数,按照指令参数对应的功能执行分类处理,得到每个服务平台对应的指令参数;
196.通过预设协议将每个服务平台对应的指令参数从当前操作平台传输到与指令参数对应的服务平台。
197.可见,实施图4所描述的基于拦截器技术的审计日志动态实现装置能够在请求操作需要跨服务操作时,能够按照指令参数对应的功能执行分类处理,将每个服务平台对应的指令参数从当前操作平台传输到与指令参数对应的服务平台,以使提高每个服务平台接收到的指令参数的准确性,有利于提高各个服务平台针对接收到的指令参数的处理效率。
198.实施例四
199.请参阅图5,图5是本发明实施例公开的又一种基于拦截器技术的审计日志动态实现装置的结构示意图。如图5所示,该基于拦截器技术的审计日志动态实现装置可以包括:
200.存储有可执行程序代码的存储器401;
201.与存储器401耦合的处理器402;
202.处理器402调用存储器401中存储的可执行程序代码,执行本发明实施例一或本发明实施例二所描述的基于拦截器技术的审计日志动态实现方法中的步骤。
203.实施例五
204.本发明实施例公开了一种计算机存储介质,该计算机存储介质存储有计算机指令,该计算机指令被调用时,用于执行本发明实施例一或本发明实施例二所描述的基于拦截器技术的审计日志动态实现方法中的步骤。
205.实施例六
206.本发明实施例公开了一种计算机程序产品,该计算机程序产品包括存储了计算机程序的非瞬时性计算机存储介质,且该计算机程序可操作来使计算机执行实施例一或实施例二中所描述的基于拦截器技术的审计日志动态实现方法中的步骤。
207.以上所描述的装置实施例仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
208.通过以上的实施例的具体描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机存储介质中,存储介质包括只读存储器(read-only memory,rom)、随机存储器(random access memory,ram)、可编程只读存储器(programmable read-only memory,prom)、可擦除可编程只读存储器(erasable programmable read only memory,eprom)、一次可编程只读存储器(one-time programmable read-only memory,otprom)、电子抹除式可复写只读存储器(electrically-erasable programmable read-only memory,eeprom)、只读光盘(compact disc read-only memory,cd-rom)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
209.最后应说明的是:本发明实施例公开的一种基于拦截器技术的审计日志动态实现方法及装置所揭露的仅为本发明较佳实施例而已,仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各项实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。

技术特征:
1.一种基于拦截器技术的审计日志动态实现方法,其特征在于,所述方法包括:检测是否接收到由用户发起的请求操作对应的目标指令;当检测出接收到所述目标指令时,生成与所述目标指令对应的切面,所述切面用于在所述目标指令进入目标数据层时记录操作日志,所述操作日志为执行所述目标指令时对应生成的日志;根据所述切面拦截所述目标指令,得到与所述目标指令对应的目标信息;对数据集执行规范化处理,得到符合存储要求的目标数据,所述数据集包括所述目标信息。2.根据权利要求1所述的基于拦截器技术的审计日志动态实现方法,其特征在于,所述根据所述切面拦截所述目标指令,得到与所述目标指令对应的目标信息,包括:当所述目标指令进入第一数据层时,根据所述切面获取所述目标指令对应的第一信息,所述第一信息包括所述请求操作对应的ip地址以及所述请求操作对应的用户标识,所述用户标识包括用户id以及用户名称中的至少一种;在所述目标指令进入第二数据层之后,根据预设的插件以及预设的类创建数据监听器;通过所述数据监听器,监听得到变更数据,所述变更数据为执行所述目标指令后对应发生变化的数据;以及,将所述第一信息和所述变更数据确定为与所述目标指令对应的目标信息。3.根据权利要求2所述的基于拦截器技术的审计日志动态实现方法,其特征在于,所述数据集还包括所述操作日志以及存储在信息系统中的第二信息,所述第二信息包括系统安全事件、用户访问记录、系统运行日志以及系统运行状态信息中的至少一种;所述对数据集执行规范化处理,得到符合存储要求的目标数据,包括:采集所述操作日志、所述第一信息、所述变更数据以及所述第二信息;对采集到的所述操作日志、所述第一信息、所述变更数据以及所述第二信息执行预设的数据处理操作,得到数据格式统一且以日志形式存储的目标数据,所述预设的数据处理操作包括数据规范化处理、过滤处理、归并处理以及告警分析处理中的至少一种。4.根据权利要求3所述的基于拦截器技术的审计日志动态实现方法,其特征在于,所述对数据集执行规范化处理,得到符合存储要求的目标数据之后,所述方法还包括:检测是否接收到回溯发起指令,所述回溯发起指令用于发起回溯历史系统操作的指令;当检测出接收到所述回溯发起指令时,分析所述回溯发起指令对应的回溯类型,得到分析结果,所述回溯类型包括针对数据的回溯类型、针对行为的回溯类型以及针对操作人员的回溯类型中的至少一种;根据所述分析结果调用审计日志执行与所述分析结果相匹配的回溯操作,所述审计日志存储有所述历史系统操作对应的历史数据,所述历史数据包括所述目标数据。5.根据权利要求2所述的基于拦截器技术的审计日志动态实现方法,其特征在于,所述根据预设的插件以及预设的类创建数据监听器,包括:获取拦截到的所述目标指令所包括的指令标识;根据所述指令标识创建与所述指令标识对应的数据解析器,所述数据解析器用于解析
所述目标指令所包括的请求参数;根据所述指令标识调用预设的类,创建得到数据监听器,所述数据监听器用于监听所述请求参数。6.根据权利要求5所述的基于拦截器技术的审计日志动态实现方法,其特征在于,在所述根据所述切面获取所述目标指令对应的第一信息之后,所述方法还包括:调用数据存储服务记录所述目标指令对应的所述操作日志;将所述目标指令所包括的操作id设置到所述请求操作对应的数据空间中;以及,在所述通过所述数据监听器,监听得到变更数据之后,所述方法还包括:清除所述操作id。7.根据权利要求1-6任一项所述的基于拦截器技术的审计日志动态实现方法,其特征在于,所述根据所述切面拦截所述目标指令,得到与所述目标指令对应的目标信息之后,所述方法还包括:判断所述请求操作是否需要跨越多个服务,当判断出不需要跨越多个服务时,执行所述对数据集执行规范化处理,得到符合存储要求的目标数据的操作;当判断出需要跨越多个服务时,通过预设协议将所述目标指令对应的指令参数从当前操作平台传输到目标平台;其中,所述通过预设协议将所述目标指令对应的操作数据从当前操作平台传输到目标平台,包括:确定每个服务对应的服务平台;对每个所述目标指令对应的指令参数,按照所述指令参数对应的功能执行分类处理,得到每个所述服务平台对应的指令参数;通过预设协议将每个所述服务平台对应的指令参数从当前操作平台传输到与所述指令参数对应的所述服务平台。8.一种基于拦截器技术的审计日志动态实现装置,其特征在于,所述装置包括:检测模块,用于检测是否接收到由用户发起的请求操作对应的目标指令;生成模块,用于当所述检测模块检测出接收到所述目标指令时,生成与所述目标指令对应的切面,所述切面用于在所述目标指令进入目标数据层时记录操作日志,所述操作日志为执行所述目标指令时对应生成的日志;拦截模块,用于根据所述生成模块生成的切面拦截所述目标指令,得到与所述目标指令对应的目标信息;处理模块,用于对数据集执行规范化处理,得到符合存储要求的目标数据,所述数据集包括所述目标信息。9.一种基于拦截器技术的审计日志动态实现装置,其特征在于,所述装置包括:存储有可执行程序代码的存储器;与所述存储器耦合的处理器;所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-7任一项所述的基于拦截器技术的审计日志动态实现方法。10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1-7任一项所述的基于拦截器技术的审计日志
动态实现方法。

技术总结
本发明公开了一种基于拦截器技术的审计日志动态实现方法及装置,该方法包括:检测是否接收到由用户发起的请求操作对应的目标指令,当检测出接收到目标指令时,生成与该目标指令对应的切面,该切面用于在目标指令进入目标数据层时记录操作日志,该操作日志为执行目标指令时对应生成的日志;根据上述切面拦截目标指令,得到与目标指令对应的目标信息,并对数据集执行规范化处理,得到符合存储要求的目标数据,该数据集包括目标信息。可见,实施本发明能够对通过建立切面的方式拦截用户发起的请求操作对应的目标指令,并对包括目标信息的数据集执行规范化处理,有利于提高针对数据集的管理效率。的管理效率。的管理效率。


技术研发人员:赵铭 林圳杰 贾国防
受保护的技术使用者:南方电网深圳数字电网研究院有限公司
技术研发日:2021.11.29
技术公布日:2022/3/8

专利

最新回复(0)