CN112115102A - 一种远程登录日志记录的清理方法 - Google Patents
一种远程登录日志记录的清理方法 Download PDFInfo
- Publication number
- CN112115102A CN112115102A CN202010864777.8A CN202010864777A CN112115102A CN 112115102 A CN112115102 A CN 112115102A CN 202010864777 A CN202010864777 A CN 202010864777A CN 112115102 A CN112115102 A CN 112115102A
- Authority
- CN
- China
- Prior art keywords
- file
- log
- record
- event record
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
- G06F16/162—Delete operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及Windows系统日志领域,具体提供了一种远程登录日志记录的清理方法,通过遍历Windows系统内的进程,查找占用Windows安全日志文件的进程PID和复制该文件句柄到自身进程内,以及已附加的形式附加到该进程,最终让该进程退出,使得最终可以成功覆盖掉真正的Windows安全日志文件,从而实现了对符合清理条件的Windows RDP远程登录日志记录的清理删除,并且不会产生对应的日志清理记录。
Description
技术领域
本发明涉及Windows系统日志技术领域,特别涉及一种远程登录日志记录的清理方法。
背景技术
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过Windows系统日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志.其中安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统所做行为;通常在处理响应入侵等安全事件、安全审计时Windows的安全日志对用户来说是非常有帮助的。
平常用户在做安全渗透、审计的过程中,会对目标范围内的工作机进行安全测试,对于Windows的系统,在掌握了RDP账号密码的时间,一般也会对其进行远程RDP登录,以便可以进行更深入的安全测试。在成功登录RDP后,会在Windows安全日志中产生多条登录的事件记录,记录中包含了事件ID、记录的时间、RDP登录的源IP、RDP登录的源端口以及登录RDP所使用的用户名等信息;在退出RDP登录时,也会在Windows安全日志中产生登录注销的事件记录,同样也包含了事件ID、记录的时间、RDP登录的源IP等信息。而有时用户并不想这些信息被Windows安全日志所记录到,但Windows系统本身只提供了对安全日志的全量清除,并且会对应生成一条日志清除的记录,并没有提供清除部分日志的功能。
而现有技术中一般仅仅能做到清理日志,但是在清理时会生成日志清除的记录,如专利文献CN105224583B公开了一种日志文件的清理方法及装置。其中方法包括:根据日志文件关键字检索程序文本,从程序文本中查找出包含日志文件关键字的一条或多条程序代码;从一条或多条程序代码中提取日志文件的存储路径;根据存储路径检测日志文件是否存在,若存在,则将日志文件作为待清理日志文件;按照清理策略对待清理日志文件进行清理。
专利文献CN111488320A提供了一种清理Kubernetes中业务应用程序日志的方法,所述方法包括:在Kubernetes集群的每一个节点都部署清空日志程序;设置清空日志程序的扫描日志目录为宿主机的日志存储目录;设置清空日志程序的执行规则,其中,所述执行规则至少包括:定时规则、日志目录总容量阈值、单日志文件大小阈值;在所述定时规则触发时,分别统计日志目录总容量和日志目录下的每个文件容量大小;根据所述日志目录总容量阈值,对日志目录下的文件进行处理;根据单日志文件大小阈值,对日志文件进行处理。发明提供了Kubernetes集群针对业务应用的统一清理日志的方法。
上述专利文献仅仅能做到全量清理日志,且不能部分清理,尤其不能做到在清理的时候保证不会产生日志清除的记录。
发明内容
为解决现有技术中的技术问题,本发明提供了一种Windows RDP远程登录日志记录的清理方法来实现对符合条件的安全日志进行清除,并且不会产生日志清除的记录。
具体地,本发明提供了一种远程登录日志记录的清理方法,包括如下步骤:
S1:提升清理日志程序自身进程权限;
S2:获取安全日志文件路径;
S3:遍历当前系统中进程的句柄信息,获取占用安全日志文件的进程PID以及文件句柄,并将所述文件句柄复制到清理日志程序的自身进程内;
S4:将当前的安全日志文件拷贝一份;
S5:解析步骤S4中拷贝出的安全日志文件的文件结构,将符合清理条件的记录删除;
S6:创建子线程,子线程中以附加的形式添加到安全日志文件的进程中,使占用安全日志文件的进程强制退出,该占用安全日志文件的进程退出后自动重启;
S7:将步骤S3中复制到清理日志程序的自身内的文件句柄关闭,使当前安全日志文件不被任何进程所占用;
S8:将步骤S5中记录删除的安全日志文件覆盖到步骤S2中所获取到的安全日志文件;
S9:步骤S6中被强制退出的进程再次重启时会将已经清理完成的安全日志文件加载解析,从而完成对指定远程登录日志的清理。
优选地,步骤S5中记录删除方法为使用正常的日志记录替换掉符合清理条件的安全日志文件记录;正常日志记录是指Windows安全日志中不符合清理条件的日志记录。
优选地,使用正常的日志记录替换掉符合清理条件的安全日志文件记录的方法,包括以下步骤:
S51:读取安全日志文件,解析文件头结构,获取文件头结构中记录的第一条事件记录偏移量;
S52:从第一条事件记录偏移量开始遍历解析所有事件记录;
S53:读取4字节获取当前事件记录的长度;
S54:根据读取到的当前事件记录的长度再读取该长度-4的内容;
S55:通过kmp字符串匹配算法,匹配当前事件记录是否符合清理条件;如符合清理条件,则使用一条长度与当前事件记录相同的正常日志记录替换掉当前事件记录,替换前需要修正正常日志记录中的部分字段内容;如不符合清理条件,则重复S51的步骤,直到所有事件记录遍历完成。
优选地,使用正常的日志记录替换符合清理条件的安全日志文件记录中只替换日志中的内容,时间戳信息保留。
优选地,步骤S5中记录删除方法为直接将符合清理条件的安全日志文件记录删除,并在删除后重组安全日志文件的结构。
优选地,直接将符合清理条件的安全日志文件记录删除的方法包括以下步骤:
S01:读取日志文件,解析文件头结构,获取文件头结构中记录的第一条事件记录偏移量;
S02:从第一条事件记录偏移量开始遍历解析所有事件记录;
S03:读取4字节获取当前事件记录的长度;
S04:根据读取到的当前事件记录的长度再读取该长度-4的内容;
S05:通过kmp字符串匹配算法,匹配当前事件记录是否符合清理条件;如果符合清理条件,则直接跳过,如果不符合清理条件,先将该事件记录存放到内存链表中,待最后重组安全日志文件时使用;
S06:重复步骤S01,直到所有事件记录遍历完成。
优选地,重组安全日志文件的方法,包括以下步骤:
S001:将步骤S05存放到内存链表中的所有事件记录重新写入到一个新的安全日志文件中,此时所有需要被清理的事件记录就都已经清理完成;
S002:以写的方式打开一个新文件;
S003:将原安全日志文件的文件头写入到新文件;
S004:遍历之前存放到内存链表中的所有事件记录,逐条写入到新文件中;
S005:事件记录写入完成后,最后写入文件结尾记录结构的内容;
S006:修正文件头结构中的最后一次事件记录结尾偏移量、最后一次事件记录编号、以及当前evt文件大小字段的内容;
S007:修正文件尾部记录中的最后一次事件记录结尾偏移量、最后一次事件记录编号字段的内容。
优选地,步骤S3中文件句柄通过DuplicateHandle API方法复制到自身进程中。
优选地,S1中提升自身进程权限为SeDebugPrivilege。
优选地,安全日志文件为Windows安全日志文件,远程登录为Windows RDP远程登录。
优选地,通过查询注册表:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\EventLog\\Security中File的值获取到安全日志文件的路径。
优选地,符合清理条件的安全日志包括但不限于:登录的源IP、登录的源端口、登录的用户名。
与现有技术相对比,本发明的有益效果如下:
(1)本发明通过遍历Windows系统内的进程,查找占用Windows安全日志文件的进程PID和复制该文件句柄到自身进程内,以及已附加的形式附加到该进程,最终让该进程退出,使得最终可以成功覆盖掉真正的Windows安全日志文件,从而实现了对符合清理条件的Windows RDP远程登录日志记录的清理删除,并且不会产生对应的日志清理记录。
(2)本发明通过解析遍历Windows安全日志文件结构,对符合清理条件的日志记录采用替换或直接删除的方式清理,从而达到对指定Windows安全日志的清理。
(3)本发明实现了对符合条件的Windows RDP远程登录日志记录的清理删除,并且不会产生对应的日志清理记录,在进行某些安全测试、审计时,不希望被Windows安全日志记录到RDP远程登录事件日志的情况下非常有用。
附图说明
图1为本发明提供的远程登录日志记录的清理方法的流程图;
图2为本发明提供的使用替换的方案清理日志记录的流程图;
图3为本发明提供的使用直接删除的方案清理日志记录的流程图。
具体实施方式
下面结合附图1,对本发明的具体实施方式作详细的说明。
参图1所示,图1为本发明提供的远程登录日志记录的清理方法的流程图;本发明提供的一种远程登录日志记录的清理方法,包括以下步骤:
S1:提升自身进程权限为SeDebugPrivilege;
S2:获取Windows安全日志文件(Security.evt/Security.evtx)路径;WindowsRDP远程登录的记录是持久化存储在这个日志文件中;
S3:遍历当前系统中所有进程的句柄信息,获取到操作Windows安全日志文件(Security.evt/Security.evtx)的进程PID以及文件句柄,并将该文件句柄通过DuplicateHandle API方法复制一份到自身程进程,待后续的步骤S6-S7替换修改后的日志文件时使用;
S4:将当前的Windows安全日志文件(Security.evt/Security.evtx)拷贝一份,接下来准备对拷贝出来的Windows安全日志文件(Security.evt/Security.evtx)进行清理,拷贝出来再清理是防止与Windows系统自身维护安全日志的进程有冲突;
S5:解析拷贝出来的Windows安全日志文件(Security.evt/Security.evtx)的文件结构,将符合清理条件(源IP或其他)的记录删除,这里删除可以用两种方法:第一种方法是使用一条正常的日志记录替换掉符合清理条件的日志记录(只替换日志中的内容,时间戳等信息保留,替换后看到的就是正常的日志内容),第二种方法是直接将符合情理条件的日志记录删除(在删除后需要重组日志文件的结构).其中,具体清理方式根据实际需求决定。
其中,本发明提供的正常的日志内容是指Windows安全日志中所记录的其他类型记录,如:系统自身产生的登录、特殊登录、其他系统事件、服务关闭、安全状态更改、审核策略更改等。只要是不满足清理条件(登录的源IP、登录的源端口、登录的用户名等)的日志记录都可以当做是正常的日记记录.;最终会使用正常的日志记录来替换掉符合清理条件的日志记录,从而间接的实现了日志清理。
S6:创建子线程,子线程中以附加的形式(DebugActiveProcess)附加到操作Windows安全日志文件的进程中,使该进程强制退出,该进程退出后过一会会自动重启。
S7:将步骤S3中复制到自身进程的文件句柄关闭,使当前Windows安全日志文件(Security.evt/Security.evtx)不被任何进程所占用;
S8:将拷贝出来并已经清理完成的Windows安全日志文件(Security.evt/Security.evtx)覆盖回真正系统中的Windows安全日志文件;
S9:在步骤S6中被结束掉的进程再次重启时会将已经清理完成的Windows安全日志文件加载解析,从而完成对指定Windows RDP远程登录日志的清理。
其中,本发明提供的Windows安全日志(evt)文件结构描述:
evt文件结构包含:
file_header(文件头)
event_records(事件记录)
enf_of_file_record(文件结尾记录)
file_header(文件头)如表1所示:
表1
| Offset | Description |
| 0 | 文件头大小 |
| 4 | 魔术字 |
| 8 | 主版本 |
| 12 | 次版本 |
| 16 | 第一条事件记录偏移量 |
| 20 | 最后一条事件记录结尾偏移量 |
| 24 | 最后一条事件记录编号 |
| 28 | 第一条事件记录编号 |
| 32 | 当前evt文件大小 |
| ... | ... |
其中,文件头描述包含了文件头大小、文件结构版本、魔术字、第一条事件记录在文件中的偏移量、最后一条事件记录结尾在文件中的偏移量、第一条事件记录的编号、最后一条事件记录的编号、当前evt文件大小等
event_records(事件记录)如表2所示:
表2
其中,事件记录描述了当前系统中所产生的所有安全事件.每一个安全事件会生成一条对应安全事件记录,事件记录中描述了当前事件记录的长度、事件记录的编号、事件记录产生的时间戳、以及事件记录的具体内容等。
enf_of_file_record(文件结尾记录)如表3所示:
表3
| Offset | Description |
| 0 | 文件结尾大小 |
| 4 | 魔术字1 |
| 8 | 魔术字2 |
| 12 | 魔术字3 |
| 16 | 魔术字4 |
| 20 | 第一条事件记录偏移量 |
| 24 | 最后一条事件记录结尾偏移量 |
| 28 | 最后一条事件记录编号 |
| 32 | 第一条事件记录编号 |
| ... | ... |
其中,文件结尾记录描述了第一条事件记录在文件中的偏移量、最后一条事件记录在文件中的偏移量等。
具体地,清理删除掉符合条件的日志记录,可以通过以下方法:
一、使用替换的方案清理日志记录;
如图2所示,使用正常的日志记录替换掉符合清理条件的安全日志文件记录的方法,包括以下步骤:
S51:读取安全日志文件,解析file header文件头结构,获取file header文件头结构中记录的第一条事件记录偏移量;
S52:从第一条事件记录偏移量开始遍历解析所有事件记录;
S53:读取4字节获取当前事件记录的长度;
S54:根据读取到的当前事件记录的长度再读取该长度-4的内容;
S55:通过kmp字符串匹配算法,匹配当前事件记录是否符合清理条件;(如:事件记录中包含了指定源IP的字符串)
如符合清理条件,则使用一条长度与当前事件记录相同的正常日志记录替换掉当前事件记录,替换前需要修正待替换(正常)日志记录中的部分字段内容,如:事件记录编号、事件记录产生时间戳、事件记录内容最后一次写入时间戳等。如不符合清理条件,则重复S51的步骤,直到所有事件记录遍历完成。
二、使用直接删除的方案清理日志记录
如图3所示,直接将符合清理条件的安全日志文件记录删除的方法包括以下步骤:
S01:读取日志文件,解析file header文件头结构,获取file header文件头结构中记录的第一条事件记录偏移量;
S02:从第一条事件记录偏移量开始遍历解析所有事件记录;(如:事件记录中包含了指定源IP的字符串)
S03:读取4字节获取当前事件记录的长度;
S04:根据读取到的当前事件记录的长度再读取该长度-4的内容;
S05:通过kmp字符串匹配算法,匹配当前事件记录是否符合清理条件;如果符合清理条件,则直接跳过,什么也不处理,如果不符合清理条件,先将该事件记录存放到内存(链表)中,待最后重组安全日志(evt)文件时使用;
S06:重复步骤S01,直到所有事件记录遍历完成。
其中,上述重组安全日志文件的方法,包括以下步骤:
S001:将步骤S05存放到内存链表中的所有事件记录重新写入到一个新的安全日志文件中,此时所有需要被清理的事件记录就都已经清理完成;
S002:以写的方式打开一个新文件;
S003:将原安全日志文件的文件头写入到新文件;
S004:遍历之前存放到内存(链表)中的所有事件记录,逐条写入到新文件中;
S005:事件记录写入完成后,最后写入文件结尾记录结构的内容;
S006:修正file header文件头结构中的最后一次事件记录结尾偏移量、最后一次事件记录编号、以及当前evt文件大小字段的内容;
S007:修正文件尾部记录中的最后一次事件记录结尾偏移量、最后一次事件记录编号字段的内容。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (10)
1.一种远程登录日志记录的清理方法,其特征在于,包括如下步骤:
S1:提升清理日志程序自身进程权限;
S2:获取安全日志文件路径;
S3:遍历当前系统中进程的句柄信息,获取占用安全日志文件的进程PID以及文件句柄,并将所述文件句柄复制到清理日志程序的自身进程内;
S4:将当前的安全日志文件拷贝一份;
S5:解析步骤S4中拷贝出的安全日志文件的文件结构,将符合清理条件的记录删除;
S6:创建子线程,子线程中以附加的形式添加到安全日志文件的进程中,使占用安全日志文件的进程强制退出,该占用安全日志文件的进程退出后自动重启;
S7:将步骤S3中复制到清理日志程序的自身内的文件句柄关闭,使当前安全日志文件不被任何进程所占用;
S8:将步骤S5中记录删除的安全日志文件覆盖到步骤S2中所获取到的安全日志文件;
S9:步骤S6中被强制退出的进程再次重启时会将已经清理完成的安全日志文件加载解析,从而完成对指定远程登录日志的清理。
2.如权利要求1所述的远程登录日志记录的清理方法,其特征在于,步骤S5中记录删除方法为使用正常的日志记录替换掉符合清理条件的安全日志文件记录;正常日志记录是指安全日志文件中不符合清理条件的日志记录,安全日志文件结构包含:文件头、事件记录和文件结尾记录。
3.如权利要求2所述的远程登录日志记录的清理方法,其特征在于,使用正常的日志记录替换掉符合清理条件的安全日志文件记录的方法,包括以下步骤:
S51:读取安全日志文件,解析文件头结构,获取文件头结构中记录的第一条事件记录偏移量,从第一条事件记录偏移量开始遍历解析所有事件记录;
S52:读取4字节获取当前事件记录的长度;
S53:根据读取到的当前事件记录的长度再读取该长度-4的内容;
S54:通过kmp字符串匹配算法,匹配当前事件记录是否符合清理条件;如符合清理条件,则使用一条长度与当前事件记录相同的正常日志记录替换掉当前事件记录,替换前需要修正正常日志记录中的部分字段内容;如不符合清理条件,则重复S51的步骤,直到所有事件记录遍历完成。
4.如权利要求1所述的远程登录日志记录的清理方法,其特征在于,步骤S5中记录删除方法为直接将符合清理条件的安全日志文件记录删除,并在删除后重组安全日志文件。
5.如权利要求4所述的远程登录日志记录的清理方法,其特征在于,直接将符合清理条件的安全日志文件记录删除的方法包括以下步骤:
S01:读取日志文件,解析文件头结构,获取文件头结构中记录的第一条事件记录偏移量;
S02:从第一条事件记录偏移量开始遍历解析所有事件记录;
S03:读取4字节获取当前事件记录的长度;
S04:根据读取到的当前事件记录的长度再读取该长度-4的内容;
S05:通过kmp字符串匹配算法,匹配当前事件记录是否符合清理条件;如果符合清理条件,则直接跳过,如果不符合清理条件,先将该事件记录存放到内存链表中,待最后重组安全日志文件时使用;
S06:重复步骤S01,直到所有事件记录遍历完成。
6.如权利要求5所述的远程登录日志记录的清理方法,其特征在于,重组安全日志文件的方法,包括以下步骤:
S001:将步骤S05存放到内存链表中的所有事件记录重新写入到一个新的安全日志文件中,此时所有需要被清理的事件记录就都已经清理完成;
S002:以写的方式打开一个新文件;
S003:将原安全日志文件的文件头写入到新文件;
S004:遍历之前存放到内存链表中的所有事件记录,逐条写入到新文件中;
S005:事件记录写入完成后,最后写入文件结尾记录结构的内容;
S006:修正文件头结构中的最后一次事件记录结尾偏移量、最后一次事件记录编号、以及当前evt文件大小字段的内容;
S007:修正文件尾部记录中的最后一次事件记录结尾偏移量、最后一次事件记录编号字段的内容。
7.如权利要求1所述的远程登录日志记录的清理方法,其特征在于,步骤S3中文件句柄通过DuplicateHandle API方法复制到自身进程中。
8.如权利要求1所述的远程登录日志记录的清理方法,其特征在于,安全日志文件为Windows安全日志文件,远程登录为Windows RDP远程登录。
9.如权利要求1所述的远程登录日志记录的清理方法,其特征在于,通过查询注册表:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\EventLog\\Security中File的值获取到安全日志文件的路径。
10.如权利要求1所述的远程登录日志记录的清理方法,其特征在于,符合清理条件的安全日志包括但不限于:登录的源IP、登录的源端口或登录的用户名。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110319281.7A CN113032344B (zh) | 2020-08-25 | 2020-08-25 | 一种远程登录日志记录的清理方法 |
| CN202010864777.8A CN112115102B (zh) | 2020-08-25 | 2020-08-25 | 一种远程登录日志记录的清理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010864777.8A CN112115102B (zh) | 2020-08-25 | 2020-08-25 | 一种远程登录日志记录的清理方法 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110319281.7A Division CN113032344B (zh) | 2020-08-25 | 2020-08-25 | 一种远程登录日志记录的清理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112115102A true CN112115102A (zh) | 2020-12-22 |
| CN112115102B CN112115102B (zh) | 2021-05-14 |
Family
ID=73804437
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110319281.7A Active CN113032344B (zh) | 2020-08-25 | 2020-08-25 | 一种远程登录日志记录的清理方法 |
| CN202010864777.8A Active CN112115102B (zh) | 2020-08-25 | 2020-08-25 | 一种远程登录日志记录的清理方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110319281.7A Active CN113032344B (zh) | 2020-08-25 | 2020-08-25 | 一种远程登录日志记录的清理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN113032344B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104503704A (zh) * | 2014-12-19 | 2015-04-08 | 北京奇虎科技有限公司 | 一种磁盘空间的清理方法和装置 |
| CN108170584A (zh) * | 2017-12-26 | 2018-06-15 | 广东欧珀移动通信有限公司 | 日志处理方法、装置、存储介质及终端设备 |
| CN108491483A (zh) * | 2018-03-12 | 2018-09-04 | 北京奇虎科技有限公司 | 一种远程监控程序运行状态的方法和装置 |
| CN109542733A (zh) * | 2018-12-05 | 2019-03-29 | 焦点科技股份有限公司 | 一种高可靠的实时日志收集及可视化检索方法 |
| CN110597460A (zh) * | 2019-08-09 | 2019-12-20 | 苏州浪潮智能科技有限公司 | 一种完全清除磁盘剩余信息的方法 |
| CN110825598A (zh) * | 2019-09-23 | 2020-02-21 | 武汉智美互联科技有限公司 | 一种日志实时处理方法及系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007041456A2 (en) * | 2005-09-30 | 2007-04-12 | Neopath Networks, Inc. | Accumulating access frequency and file attributes for supporting policy based storage management |
| US10176827B2 (en) * | 2008-01-15 | 2019-01-08 | Verint Americas Inc. | Active lab |
| US9596250B2 (en) * | 2009-04-22 | 2017-03-14 | Trusted Knight Corporation | System and method for protecting against point of sale malware using memory scraping |
| US10073902B2 (en) * | 2014-09-24 | 2018-09-11 | Microsoft Technology Licensing, Llc | Snapshot and replication of a multi-stream application on multiple hosts at near-sync frequency |
| CN110443033A (zh) * | 2018-05-04 | 2019-11-12 | 陕西思科锐迪网络安全技术有限责任公司 | 一种基于Minifilter框架的文件备份方法 |
| CN109104407B (zh) * | 2018-06-29 | 2020-10-02 | 国网湖南省电力有限公司 | 一种基于特征检索的网络日志在线跟踪方法及系统 |
| CN111435327B (zh) * | 2019-01-15 | 2023-11-14 | 菜鸟智能物流控股有限公司 | 一种日志记录的处理方法、装置及系统 |
| CN111090663B (zh) * | 2019-12-25 | 2023-07-07 | 上海金仕达软件科技股份有限公司 | 事务并发控制方法、装置、终端设备及介质 |
| CN111209344A (zh) * | 2020-02-07 | 2020-05-29 | 浪潮软件股份有限公司 | 数据同步方法及装置 |
| CN111414392B (zh) * | 2020-03-25 | 2022-08-05 | 浩鲸云计算科技股份有限公司 | 高速缓存异步刷新方法、系统及计算机可读存储介质 |
| CN111563023B (zh) * | 2020-05-13 | 2023-08-11 | 中国建设银行股份有限公司 | 一种日志处理方法及系统 |
-
2020
- 2020-08-25 CN CN202110319281.7A patent/CN113032344B/zh active Active
- 2020-08-25 CN CN202010864777.8A patent/CN112115102B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104503704A (zh) * | 2014-12-19 | 2015-04-08 | 北京奇虎科技有限公司 | 一种磁盘空间的清理方法和装置 |
| CN108170584A (zh) * | 2017-12-26 | 2018-06-15 | 广东欧珀移动通信有限公司 | 日志处理方法、装置、存储介质及终端设备 |
| CN108491483A (zh) * | 2018-03-12 | 2018-09-04 | 北京奇虎科技有限公司 | 一种远程监控程序运行状态的方法和装置 |
| CN109542733A (zh) * | 2018-12-05 | 2019-03-29 | 焦点科技股份有限公司 | 一种高可靠的实时日志收集及可视化检索方法 |
| CN110597460A (zh) * | 2019-08-09 | 2019-12-20 | 苏州浪潮智能科技有限公司 | 一种完全清除磁盘剩余信息的方法 |
| CN110825598A (zh) * | 2019-09-23 | 2020-02-21 | 武汉智美互联科技有限公司 | 一种日志实时处理方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 3GSTUDENT: "Windows XML Event Log (EVTX)单条日志清除(四)—通过注入获取日志文件句柄删除当前系统单条日志记录", 《HTTPS://WWW.SECPULSE.COM/ARCHIVES/74113.HTML》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113032344B (zh) | 2021-08-27 |
| CN113032344A (zh) | 2021-06-25 |
| CN112115102B (zh) | 2021-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101430703B (zh) | 用于数据模型中实体的自动维护与修复的系统和方法 | |
| US7574440B2 (en) | Information processing apparatus, and method for retaining security | |
| US7366740B2 (en) | Systems and methods for automatic maintenance and repair of enitites in a data model | |
| US8104090B1 (en) | Method and system for detection of previously unknown malware components | |
| KR100991895B1 (ko) | 전자계산기의 파일 시스템 드라이버의 제어 방법 및 그 프로그램을 기록한 컴퓨터 판독 가능한 기록매체 | |
| US5062045A (en) | System for maintaining a document and activity selective alterable document history log in a data processing system | |
| JP5452474B2 (ja) | ネイティブピア/管理ピアに関するオブジェクト有効期間の管理 | |
| US20190196919A1 (en) | Maintaining files in a retained file system | |
| US20080177811A1 (en) | Method and system for policy-based secure destruction of data | |
| US11907199B2 (en) | Blockchain based distributed file systems | |
| US20100161916A1 (en) | Method and apparatus for rebuilding data in a dispersed data storage network | |
| US20070271422A1 (en) | Method and apparatus for data recovery | |
| JP2009524153A (ja) | セキュリティ保護されたデジタルデータのアーカイビング及びアクセス監査システム及び方法 | |
| Wagner et al. | Carving database storage to detect and trace security breaches | |
| WO2021174817A1 (zh) | 数据库自动化审计方法、系统、设备及存储介质 | |
| FR2681451A1 (fr) | Procede de gestion d'objets structures. | |
| US11868339B2 (en) | Blockchain based distributed file systems | |
| CN110046205B (zh) | 一种关系型数据库行安全访问控制方法及系统 | |
| CN113032344B (zh) | 一种远程登录日志记录的清理方法 | |
| US11283794B2 (en) | Method for monitoring activity of database server administrator in enterprise resource planning system and the tamper-proof enterprise resource planning system | |
| US11093485B2 (en) | Branch-based recovery in a database system | |
| CN115361384A (zh) | 分布式集群用户认证和授权方法、装置、设备及存储介质 | |
| Gross | Analyzing computer intrusions | |
| US11218318B2 (en) | Two-step data deletion having confirmation hold | |
| US20090024880A1 (en) | System and method for triggering control over abnormal program termination |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |