CN115080355B - 一种监控日志的生成方法及装置 - Google Patents
一种监控日志的生成方法及装置 Download PDFInfo
- Publication number
- CN115080355B CN115080355B CN202210851989.1A CN202210851989A CN115080355B CN 115080355 B CN115080355 B CN 115080355B CN 202210851989 A CN202210851989 A CN 202210851989A CN 115080355 B CN115080355 B CN 115080355B
- Authority
- CN
- China
- Prior art keywords
- log
- target object
- target
- screening
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种监控日志的生成方法及装置,所述方法包括:通过3环应用程序接口获取系统审计日志;对系统审计日志进行筛选,获得目标对象的目标日志;根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志。所述装置用于执行上述方法。本发明实施例提供的监控日志的生成方法及装置,占用系统内存较低且运行平稳,对系统运行速度影响较小,提高了系统的稳定性。
Description
技术领域
本发明涉及数据处理技术领域,具体涉及一种监控日志的生成方法及装置。
背景技术
在Windows系统中,通常会对注册表、文件等进行监控,并以日志文件的形式进行记录,以便于维修人员查看。
现有技术中,在Windows平台中对注册表或者文件的操作是通过Windows平台的应用程序编程接口(Application Programming Interface,简称API)的调用实现的,对注册表操作或者文件操作的相关API使用HOOK技术进行监控,以实现对注册表或者文件的监控。HOOK技术的使用需要在进行API实际操作前先进行自己的函数操作,因此HOOK技术会延长原API的实际执行时间,并且由于文件操作和注册表操作的相关API使用频繁,会导致对文件行为或者注册表行为进行监控时,系统内存占用率较高,使得系统运行缓慢。
发明内容
针对现有技术中的问题,本发明实施例提供一种监控日志的生成方法及装置,能够至少部分地解决现有技术中存在的问题。
第一方面,本发明提出一种监控日志的生成方法,包括:
通过3环应用程序接口获取系统审计日志;
对系统审计日志进行筛选,获得目标对象的目标日志;
根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志。
进一步地,所述对系统审计日志进行筛选,获得目标对象的目标日志包括:
根据所述目标对象的事件日志标识从所述系统审计日志中筛选获得所述目标对象的目标日志。
进一步地,所述对系统审计日志进行筛选,获得目标对象的目标日志包括:
根据所述目标对象的预设字段对应的值,筛选所述系统审计日志获得所述目标对象的候选日志;
若判断获知所述目标对象的候选日志中包括所述目标对象,则将所述目标对象的候选日志作为所述目标对象的目标日志。
进一步地,在获取系统审计日志之前,本发明实施例提供的监控日志的生成方法还包括:
设置所述目标对象的审核对象并为所述目标对象的审核对象添加监控权限;
开启所述目标对象对应的审核策略,以产生所述目标对象的系统审计日志。
进一步地,所述目标对象为注册表项或者文件。
第二方面,本发明提供一种监控日志的生成装置,包括:
获取模块,用于通过3环应用程序接口获取系统审计日志;
筛选模块,用于对系统审计日志进行筛选,获得目标对象的目标日志;
获得模块,用于根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志。
进一步地,所述筛选模块具体用于:
根据所述目标对象的事件日志标识从所述系统审计日志中筛选获得所述目标对象的目标日志。
进一步地,所述筛选模块包括:
筛选单元,用于根据所述目标对象的预设字段对应的值,筛选所述系统审计日志获得所述目标对象的候选日志;
判断单元,用于在判断获知所述目标对象的候选日志中包括所述目标对象之后,将所述目标对象的候选日志作为所述目标对象的目标日志。
进一步地,本发明实施例提供的监控日志的生成装置还包括:
设置模块,用于设置所述目标对象的审核对象并为所述目标对象的审核对象添加监控权限;
开启模块,用于开启所述目标对象对应的审核策略,以产生所述目标对象的系统审计日志。
进一步地,所述目标对象为注册表项或者文件。
第三方面,本发明提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一实施例所述的监控日志的生成方法。
第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任一实施例所述的监控日志的生成方法。
本发明实施例提供的监控日志的生成方法及装置,通过3环应用程序接口获取系统审计日志;对系统审计日志进行筛选,获得目标对象的目标日志;根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志,占用系统内存较低且运行平稳,对系统运行速度影响较小,提高了系统的稳定性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明第一实施例提供的监控日志的生成方法的流程示意图。
图2是本发明第二实施例提供的监控日志的生成方法的流程示意图。
图3是本发明第三实施例提供的监控日志的生成方法的流程示意图。
图4是本发明第四实施例提供的监控日志的生成装置的结构示意图。
图5是本发明第五实施例提供的监控日志的生成装置的结构示意图。
图6是本发明第六实施例提供的监控日志的生成装置的结构示意图。
图7是本发明第七实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明实施例提供的监控日志的生成方法的执行主体包括但不限于计算机。
为了便于理解本申请提供的技术方案,下面先对本申请技术方案的相关内容进行说明。
HOOK:又名钩子,对于Windows系统,它是建立在事件驱动机制上的,是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。
API:操作系统留给应用程序的一个调用接口,应用程序通过调用操作系统的 API而使操作系统去执行应用程序的命令。
用户态模式:有别于内核态模式。在Windows系统中,用户态模式主要使用3环API进行程序的开发以达到编程目的。
内核态模式:有别于用户态模式。在Windows系统中,内核态模式主要使用0环API或者调用自行开发的驱动进行程序的开发以达到编程目的。
现有技术中,对于Windows平台的文件行为或者注册表行为监控的应用程序是基于内核态模式开发完成的。
使用内核态模式进行程序开发存在如下问题:(1)影响系统整体的运行速度;(2)使用不当便会造成系统的崩溃;(3)系统兼容较弱,不通用。无论产生那种问题都会极大程度的影响应用程序的使用体验。
在Windows平台中,对文件的操作或者注册表的操作是通过Windows平台自带的API的调用实现的,对文件操作或者注册表的操作的相关API使用HOOK技术进行监控,存在系统的内存占用率高,导致系统运行变慢的问题。
针对现有技术中存在的问题,本发明实施例提供的监控日志的生成方法,基于用户态模式实现,占用系统内存低,运行平稳,不会影响系统的运行速度,保证了系统的稳定性。不依赖于内核,有很高的系统兼容,具有通用性。
图1是本发明第一实施例提供的监控日志的生成方法的流程示意图,如图1所示,本发明实施例提供的监控日志的生成方法,包括:
S101、通过3环应用程序接口获取系统审计日志;
具体地,计算机会产生大量的系统审计日志,其中包括目标对象的系统审计日志。计算机可以调用3环应用程序接口获取系统审计日志。
S102、对系统审计日志进行筛选,获得目标对象的目标日志;
具体地,在获取系统审计日志之后,计算机可以从系统审计日志中筛选出目标对象的目标日志。其中,目标对象为注册表或者文件。计算机预先开启了生成目标对象的系统审计日志的功能。
S103、根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志。
具体地,计算机在筛选出所述目标对象的目标日志之后,对所述目标日志进行解析,基于提取规则从目标日志中提取对应的数据,重新组装为新的日志,作为所述目标对象的监控日志。其中,所述提取规则根据实际需要进行设置,本发明实施例不做限定。
例如,提取规则包括提取关键字段1和关键字段2对应的数据。计算机根据上述提取规则从目标对象的目标日志分别提取关键字段1对应的数据和关键字段2对应的数据,获得目标对象的监控日志,上述监控日志包括关键字段1对应的数据和关键字段2对应的数据。
本发明实施例提供的监控日志的生成方法,通过3环应用程序接口获取系统审计日志;对系统审计日志进行筛选,获得目标对象的目标日志;根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志,占用系统内存较低且运行平稳,对系统运行速度影响较小,提高了系统的稳定性。此外,基于用户态模式进行开发,不依赖于内核,有很高的系统兼容性,提高了通用性。
在上述各实施例的基础上,进一步地,所述对系统审计日志进行筛选,获得目标对象的目标日志包括:
根据所述目标对象的事件日志标识从所述系统审计日志中筛选获得所述目标对象的目标日志。
具体地,所述计算机根据所述目标对象的事件日志标识在所述系统审计日志中查询日志标识与事件日志标识相同的系统审计日志,作为所述目标对象的目标日志。其中,所述目标对象的事件日志标识是预设的。
例如,共享文件的事件日志标识为5140,检查订阅接受到的系统审计日志中的日志文件的日志标识是否是5140,如果某个日志文件的日志标识是5140,那么该日志文件作为共享文件的目标日志。在windows系统中,5140为访问事件日志标识。
例如,注册表项A的事件日志标识为4657,检查订阅接受到的系统审计日志中的日志文件的日志标识是否是4657,如果某个日志文件的日志标识是4657,那么该日志文件作为注册表项A的目标日志。在windows系统中,4657为注册表项修改日志标识。
图2是本发明第二实施例提供的监控日志的生成方法的流程示意图,如图2所示,在上述各实施例的基础上,进一步地,所述对系统审计日志进行筛选,获得目标对象的目标日志包括:
S201、根据所述目标对象的预设字段对应的值,筛选所述系统审计日志获得所述目标对象的候选日志;
具体地,所述计算机根据所述目标对象的预设字段对应的值,查询所述系统审计日志的内容,如果在所述系统审计日志的内容中查询到所述目标对象的预设字段对应的值,那么将该系统审计日志作为所述目标对象的候选日志。其中,所述目标对象的预设字段是预先设定的。
例如,所述目标对象为桌面文件,预设字段可以为对象属性和对象名称,对于桌面文件,对象属性对应的值为文件对象,对象名称对应的值为桌面文件的绝对路径。如果系统审计日志的内容中包括文件对象,并且根据对象名称查询获得的绝对路径与桌面文件的绝对路径相同,那么该系统审计日志作为桌面文件对应的候选日志。
例如,所述目标对象为注册表项B,预设字段可以为对象名称和对象值名称,对于注册表项,对象名称为注册表项路径,对象值名称为注册表值路径。如果系统审计日志的内容中对象名称为注册表项B的路径,并且对象值名称为注册表项B的值的路径,那么该系统审计日志作为注册表项B对应的候选日志。
S202、若判断获知所述目标对象的候选日志中包括所述目标对象,则将所述目标对象的候选日志作为所述目标对象的目标日志。
具体地,所述计算机查询所述目标对象的候选日志中是否包括所述目标对象,如果所述目标对象的候选日志中包括所述目标对象,那么将包括所述目标对象的候选日志作为所述目标对象的目标日志。如果所述目标对象的候选日志中不包括所述目标对象,那么不会将候选日志作为所述目标对象的目标日志。
例如,所述目标对象为注册表项B,如果桌面文件的候选日志中包括注册表项B,那么将包括注册表项B的候选日志,作为注册表项B的目标日志。如果注册表项B的候选日志中不包括注册表项B,那么不会将候选日志作为注册表项B的目标日志。
图3是本发明第三实施例提供的监控日志的生成方法的流程示意图,如图3所示,在上述各实施例的基础上,进一步地,在获取系统审计日志之前,还包括:
S301、设置所述目标对象的审核主体并为所述目标对象的审核主体添加监控权限;
具体地,所述计算机可以基于配置信息或者配置操作,设置所述目标对象的审核主体,并为所述目标对象的审核主体添加监控权限。其中,审核主体是指计算机的用户,可以设置单一用户作为审核主体,也可以通过多个用户所在的组设置组内的所有用户作为审核主体。监控权限根据实际需要进行设置,本发明实施例不做限定。配置信息中会包括需要设置的审核主体以及监控权限。配置操作是指人工设置审核主体以及监控权限的操作。
例如,目标对象为桌面文件,右键点击桌面文件夹,依次点击属性->安全->高级->审核->编辑->添加,选择用户或者组作为审核主体,然后在审核项目窗口中从读取属性、读取扩展属性、创建文件/写入数据、删除等权限中选择一项或者几项作为监控权限。
例如,目标对象为注册表项HKEY_LOCAL_MACHINE,打开注册表编辑器,右键点击HKEY_LOCAL_MACHINE,依次点击权限->高级->审核->添加,选择用户或者组作为审核主体,然后设置审核主体具有对注册表项HKEY_LOCAL_MACHINE的监控权限。
S302、开启所述目标对象对应的审核策略,以产生所述目标对象的系统审计日志。
具体地,所述计算机开启所述目标对象的审核策略,计算机就会生成所述目标对象的系统审计日志。对于文件,需要开启审核文件系统;对于注册表项,需要开启审核注册表。开启目标对象的审核策略的过程可以人工操作完成,也可以创建上述人工操作对应的自动化配置脚本,执行自动化配置脚本自动完成目标对象的审核策略的开启。
例如,目标对象为文件,则依次打开本地组策略编辑器->计算机配置->Windows设置->安全设置->高级审核策略->对象访问,启动审核文件系统,实现文件对应的审核策略的开启。
例如,目标对象为注册表项,则依次打开本地组策略编辑器->计算机配置->Windows设置->安全设置->高级审核策略->对象访问,启动审核注册表,实现注册表项对应的审核策略的开启。
在上述各实施例的基础上,进一步地,所述目标对象为注册表项或者文件。
具体地,目标对象可以为单个文件或者多个文件,通过文件夹的属性的相关设置,实现将文件夹下的所有文件作为目标对象,文件包括但不限于桌面文件、共享文件等,根据实际需要进行设置,本发明实施例不做限定。注册表项包括但不限于HKEY_LOCAL_MACHINE、HARDWARE、SOFTWARE等,根据实际需要进行设置,本发明实施例不做限定。
下面以桌面文件作为目标对象,对桌面进行文件写入操作监控为例对本发明实施例提供的监控日志的生成方法的实现过程进行说明,具体实现过程如下:
第一步、设置桌面文件的审核对象,并为桌面文件的审核对象添加监控权限。右键点击桌面文件夹,依次点击属性->安全->高级->审核->编辑->添加,选择用户Everyone作为审核主体,然后在审核项目窗口中选择读取属性、读取扩展属性、创建文件/写入数据作为监控权限。
第二步、开启桌面文件对应的审核策略,以产生桌面文件的系统审计日志。依次打开本地组策略编辑器->计算机配置->Windows设置->安全设置->高级审核策略->对象访问,启动审核文件系统,实现桌面文件对应的审核策略的开启。计算机在运行时,会产生桌面文件的系统审计日志。
第三步、根据桌面文件的事件日志标识4663从系统审计日志中筛选获得桌面文件的目标日志。根据事件日志标识4663查询所述系统审计日志中的各个日志文件的名称是否包括4663,如果系统审计日志的内容中包括文件对象,并且根据对象名称查询获得的绝对路径与桌面文件的绝对路径相同,那么该系统审计日志作为桌面文件对应的候选日志。
第四步、根据桌面文件的目标日志以及提取规则,获得桌面文件的监控日志。提取规则为:提取日志中的文件路径和文件属性。从桌面文件的目标日志中提取文件路径和文件属性,组装成监控日志。监控日志会包括桌面文件的文件路径和文件属性。
第五步、上报桌面文件的监控日志。运维人员可以查看到上报的监控日志,并对监控日志进行审阅,判断是否存在恶意的文件写入行为并进行相应的响应处置。
下面以注册表项A作为目标对象,以注册表项A中注册表值变更行为监控为例对本发明实施例提供的监控日志的生成方法的实现过程进行说明,具体实现过程如下:
第一步、设置注册表项A的审核主体并为注册表项A的审核主体添加监控权限。打开注册表编辑器,右键点击注册表项A,依次点击权限->高级->审核->添加,选择用户Everyone作为审核主体,然后在审核项目窗口中选择完全控制作为监控权限。
第二步、开启注册表项A对应的审核策略,以产生注册表项A的系统审计日志。依次打开本地组策略编辑器->计算机配置->Windows设置->安全设置->高级审核策略->对象访问,启动审核注册表,实现注册表项A对应的审核策略的开启。计算机在运行时,会产生注册表项A的系统审计日志。
第三步、根据注册表项A的事件日志标识4657从系统审计日志中筛选获得注册表项A的目标日志。根据事件日志标识4657查询所述系统审计日志中的各个日志文件的日志标识是否是4657,如果某个日志文件的日志标识是4657,那么该日志文件作为注册表项A的目标日志。
第四步、根据注册表项A的目标日志以及提取规则,获得桌面文件的监控日志。提取规则为:提取日志中注册表项的新值和旧值。从注册表项A的目标日志中提取注册表项A的新值和旧值,组装成注册表项A的监控日志。注册表项A的监控日志会包括注册表项A的新值和旧值。
图4是本发明第四实施例提供的监控日志的生成装置的结构示意图,如图4所示,本发明实施例提供的监控日志的生成装置包括获取模块401、筛选模块402和获得模块403,其中:
获取模块401用于通过3环应用程序接口获取系统审计日志;筛选模块402用于对系统审计日志进行筛选,获得目标对象的目标日志;获得模块403用于根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志。
具体地,计算机会产生大量的系统审计日志,其中包括目标对象的系统审计日志。获取模块401可以调用3环应用程序接口获取系统审计日志。
在获取系统审计日志之后,筛选模块402可以从系统审计日志中筛选出目标对象的目标日志。其中,目标对象为注册表或者文件。预先开启了生成目标对象的系统审计日志的功能。
在筛选出所述目标对象的目标日志之后,获得模块403对所述目标日志进行解析,基于提取规则从目标日志中提取对应的数据,重新组装为新的日志,作为所述目标对象的监控日志。其中,所述提取规则根据实际需要进行设置,本发明实施例不做限定。
本发明实施例提供的监控日志的生成装置,通过3环应用程序接口获取系统审计日志;对系统审计日志进行筛选,获得目标对象的目标日志;根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志,占用系统内存较低且运行平稳,对系统运行速度影响较小,提高了系统的稳定性。此外,基于用户态模式进行开发,不依赖于内核,有很高的系统兼容性,提高了通用性。
在上述各实施例的基础上,进一步地,筛选模块402具体用于:
根据所述目标对象的事件日志标识从所述系统审计日志中筛选获得所述目标对象的目标日志。
具体地,筛选模块402根据所述目标对象的事件日志标识在所述系统审计日志中查询日志标识与事件日志标识相同的系统审计日志,作为所述目标对象的目标日志。其中,所述目标对象的事件日志标识是预设的。
图5是本发明第五实施例提供的监控日志的生成装置的结构示意图,如图5所示,在上述各实施例的基础上,进一步地,筛选模块402包括筛选单元4021和判断单元4022,其中:
筛选单元4021用于根据所述目标对象的预设字段对应的值,筛选所述系统审计日志获得所述目标对象的候选日志;判断单元4022用于在判断获知所述目标对象的候选日志中包括所述目标对象之后,将所述目标对象的候选日志作为所述目标对象的目标日志。
具体地,筛选单元4021根据所述目标对象的预设字段对应的值,查询所述系统审计日志的内容,如果在所述系统审计日志的内容中查询到所述目标对象的预设字段对应的值,那么将该系统审计日志作为所述目标对象的候选日志。其中,所述目标对象的预设字段是预先设定的。
判断单元4022查询所述目标对象的候选日志中是否包括所述目标对象,如果所述目标对象的候选日志中包括所述目标对象,那么将包括所述目标对象的候选日志作为所述目标对象的目标日志。如果所述目标对象的候选日志中不包括所述目标对象,那么不会将候选日志作为所述目标对象的目标日志。
图6是本发明第六实施例提供的监控日志的生成装置的结构示意图,如图6所示,在上述各实施例的基础上,进一步地,本发明实施例提供的监控日志的生成装置还包括设置模块404和开启模块405,其中:
设置模块404用于设置所述目标对象的审核对象并为所述目标对象的审核对象添加监控权限;开启模块405用于开启所述目标对象对应的审核策略,以产生所述目标对象的系统审计日志。
具体地,设置模块404可以基于配置信息或者配置操作,设置所述目标对象的审核主体,并为所述目标对象的审核主体添加监控权限。其中,审核主体是指计算机的用户,可以设置单一用户作为审核主体,也可以通过多个用户所在的组设置组内的所有用户作为审核主体。监控权限根据实际需要进行设置,本发明实施例不做限定。配置信息中会包括需要设置的审核主体以及监控权限。配置操作是指人工设置审核主体以及监控权限的操作。
开启模块405开启所述目标对象的审核策略,计算机就会生成所述目标对象的系统审计日志。对于文件,需要开启审核文件系统;对于注册表项,需要开启审核注册表。开启目标对象的审核策略的过程可以人工操作完成,也可以创建上述人工操作对应的自动化配置脚本,执行自动化配置脚本自动完成目标对象的审核策略的开启。
在上述各实施例的基础上,进一步地,所述目标对象为注册表项或者文件。
本发明实施例提供的装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图7是本发明第七实施例提供的电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)701、通信接口(Communications Interface)702、存储器(memory)703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信。处理器701可以调用存储器703中的逻辑指令,以执行如下方法:通过3环应用程序接口获取系统审计日志;对系统审计日志进行筛选,获得目标对象的目标日志;根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志。
此外,上述的存储器703中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:通过3环应用程序接口获取系统审计日志;对系统审计日志进行筛选,获得目标对象的目标日志;根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志。
本实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述各方法实施例所提供的方法,例如包括:通过3环应用程序接口获取系统审计日志;对系统审计日志进行筛选,获得目标对象的目标日志;根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在本说明书的描述中,参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种监控日志的生成方法,其特征在于,包括:
通过3环应用程序接口获取系统审计日志;
对系统审计日志进行筛选,获得目标对象的目标日志;其中,所述目标对象为注册表项或者文件;
根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志;其中,所述提取规则包括提取第一关键字段和第二关键字段对应的数据。
2.根据权利要求1所述的方法,其特征在于,所述对系统审计日志进行筛选,获得目标对象的目标日志包括:
根据所述目标对象的事件日志标识从所述系统审计日志中筛选获得所述目标对象的目标日志。
3.根据权利要求1所述的方法,其特征在于,所述对系统审计日志进行筛选,获得目标对象的目标日志包括:
根据所述目标对象的预设字段对应的值,筛选所述系统审计日志获得所述目标对象的候选日志;
若判断获知所述目标对象的候选日志中包括所述目标对象,则将所述目标对象的候选日志作为所述目标对象的目标日志。
4.根据权利要求1所述的方法,其特征在于,在获取系统审计日志之前,还包括:
设置所述目标对象的审核对象并为所述目标对象的审核对象添加监控权限;
开启所述目标对象对应的审核策略,以产生所述目标对象的系统审计日志。
5.一种监控日志的生成装置,其特征在于,包括:
获取模块,用于通过3环应用程序接口获取系统审计日志;
筛选模块,用于对系统审计日志进行筛选,获得目标对象的目标日志;其中,所述目标对象为注册表项或者文件;
获得模块,用于根据所述目标对象的目标日志以及提取规则,获得所述目标对象的监控日志;其中,所述提取规则包括提取第一关键字段和第二关键字段对应的数据。
6.根据权利要求5所述的装置,其特征在于,所述筛选模块具体用于:
根据所述目标对象的事件日志标识从所述系统审计日志中筛选获得所述目标对象的目标日志。
7.根据权利要求5所述的装置,其特征在于,所述筛选模块包括:
筛选单元,用于根据所述目标对象的预设字段对应的值,筛选所述系统审计日志获得所述目标对象的候选日志;
判断单元,用于在判断获知所述目标对象的候选日志中包括所述目标对象之后,将所述目标对象的候选日志作为所述目标对象的目标日志。
8.根据权利要求5所述的装置,其特征在于,还包括:
设置模块,用于设置所述目标对象的审核对象并为所述目标对象的审核对象添加监控权限;
开启模块,用于开启所述目标对象对应的审核策略,以产生所述目标对象的系统审计日志。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210851989.1A CN115080355B (zh) | 2022-07-20 | 2022-07-20 | 一种监控日志的生成方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210851989.1A CN115080355B (zh) | 2022-07-20 | 2022-07-20 | 一种监控日志的生成方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115080355A CN115080355A (zh) | 2022-09-20 |
CN115080355B true CN115080355B (zh) | 2022-11-29 |
Family
ID=83259898
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210851989.1A Active CN115080355B (zh) | 2022-07-20 | 2022-07-20 | 一种监控日志的生成方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115080355B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102073579A (zh) * | 2011-01-24 | 2011-05-25 | 复旦大学 | Linux文件系统审计事件合并和优化的方法 |
CN107483238A (zh) * | 2017-08-04 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种日志管理方法、集群管理节点及系统 |
CN109388622A (zh) * | 2018-11-01 | 2019-02-26 | 郑州云海信息技术有限公司 | 一种日志信息处理方法、装置、设备及可读存储介质 |
CN111753070A (zh) * | 2020-06-21 | 2020-10-09 | 苏州浪潮智能科技有限公司 | 一种服务器监控日志处理的系统和方法 |
CN112035318A (zh) * | 2020-08-28 | 2020-12-04 | 北京浪潮数据技术有限公司 | 一种异常进程的定位方法、系统及相关装置 |
CN113176978A (zh) * | 2021-04-30 | 2021-07-27 | 平安壹钱包电子商务有限公司 | 基于日志文件的监控方法、系统、设备及可读存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008108227A (ja) * | 2006-09-25 | 2008-05-08 | Hitachi Ltd | ストレージシステム及び監査ログ管理方法 |
CN104461953A (zh) * | 2014-12-31 | 2015-03-25 | 厦门雅迅网络股份有限公司 | 通过虚拟串口进行liunx日志管理的方法和系统 |
CN112905548B (zh) * | 2021-03-25 | 2023-12-08 | 昆仑数智科技有限责任公司 | 一种安全审计系统及方法 |
-
2022
- 2022-07-20 CN CN202210851989.1A patent/CN115080355B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102073579A (zh) * | 2011-01-24 | 2011-05-25 | 复旦大学 | Linux文件系统审计事件合并和优化的方法 |
CN107483238A (zh) * | 2017-08-04 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种日志管理方法、集群管理节点及系统 |
CN109388622A (zh) * | 2018-11-01 | 2019-02-26 | 郑州云海信息技术有限公司 | 一种日志信息处理方法、装置、设备及可读存储介质 |
CN111753070A (zh) * | 2020-06-21 | 2020-10-09 | 苏州浪潮智能科技有限公司 | 一种服务器监控日志处理的系统和方法 |
CN112035318A (zh) * | 2020-08-28 | 2020-12-04 | 北京浪潮数据技术有限公司 | 一种异常进程的定位方法、系统及相关装置 |
CN113176978A (zh) * | 2021-04-30 | 2021-07-27 | 平安壹钱包电子商务有限公司 | 基于日志文件的监控方法、系统、设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115080355A (zh) | 2022-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109688097B (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
DE112012000744T5 (de) | Erkennung eines trojanischen Pferdes | |
DE202011111121U1 (de) | System zum Erfassen komplexer Schadsoftware | |
EP3896934A1 (en) | Distributed digital security system | |
DE102014114005A1 (de) | Risikobeurteilung von Interaktionen von Anwendungen für mobile Einheiten aufgrund von Reputation | |
EP3896936B1 (en) | Distributed digital security system | |
EP3896935A1 (en) | Distributed digital security system | |
CN111831275B (zh) | 一种编排微场景剧本的方法、服务器、介质及计算机设备 | |
CN111835790B (zh) | 一种风险识别方法、装置及系统 | |
EP3196798A1 (en) | Context-sensitive copy and paste block | |
CN109800571B (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
CN109923547B (zh) | 程序行为监控设备、分布式对象生成管理设备、存储介质、以及程序行为监视系统 | |
CN113496032A (zh) | 基于分布式计算和规则引擎的大数据作业异常监控系统 | |
CN115238247A (zh) | 基于零信任数据访问控制系统的数据处理方法 | |
CN109753819B (zh) | 一种访问控制策略的处理方法和装置 | |
CN115242434A (zh) | 应用程序接口api的识别方法及装置 | |
CN106529281A (zh) | 一种可执行文件处理方法及装置 | |
CN105447384B (zh) | 一种反监控的方法、系统及移动终端 | |
CN115080355B (zh) | 一种监控日志的生成方法及装置 | |
US9361210B2 (en) | Capturing domain validations and domain element initializations | |
CN116185785A (zh) | 文件异常变更的预警方法及装置 | |
US8560572B2 (en) | System for lightweight objects | |
CN104933050A (zh) | 对群新增用户执行操作的方法和系统 | |
CN110221952B (zh) | 业务数据的处理方法及装置、业务数据处理系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |