WO2020000722A1

WO2020000722A1 - 保存服务器日志的方法和装置

Info

Publication number: WO2020000722A1
Application number: PCT/CN2018/107640
Authority: WO
Inventors: 高亭宇
Original assignee: 平安科技（深圳）有限公司
Priority date: 2018-06-30
Filing date: 2018-09-26
Publication date: 2020-01-02
Also published as: CN108932189B; CN108932189A

Abstract

本申请提供保存服务器日志的方法和装置，方法包括：在检测到目标事件在服务器上产生的情况下，生成目标事件对应的日志记录，目标事件对应的日志记录包括目标事件产生的时间以及目标事件的事件内容；生成目标事件对应的日志记录的日志发布事务，日志发布事务包括目标事件对应的日志记录；将日志发布事务发送给联盟链系统中的背书节点进行事务背书，背书节点为基于智能合约设置的背书策略中的节点；在根据背书节点返回的背书结果确定已完成对日志发布事务的事务背书的情况下，将日志发布事务发送给联盟链系统中的命令节点，以对日志发布事务进行排序并形成所述日志发布事务对应的区块。该技术方案可以解决服务器日志面临的被黑客删除或篡改的问题。

Description

保存服务器日志的方法和装置

本申请要求于2018年06月30日提交中国专利局、申请号为2018107210545、申请名称为“保存服务器日志的方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机技术领域，尤其涉及保存服务器日志的方法和装置。

背景技术

服务器日志是记录服务器接收处理请求以及在运行时发生的错误等各种原始信息的文件，服务器日志主要包括系统日志和网站日志。服务器日志可以记录网站运营过程中空间的运营情况、被访问请求的记录等。通过服务器日志，安全运维人员可以清楚地获知在用户通过什么IP、在什么时间、用什么操作系统、用什么浏览器、用什么分辨率的显示器的情况下访问了网站的哪个页面，是否访问成功等；通过网站日志，安全运维人员也可以清楚地获取网站在运营过程中出现了哪些故障等。

服务器日志是分析黑客入侵行为的一个基础文件，当黑客通过一定的技术手段攻击了服务器时，安全运维人员可以通过服务器日志分析黑客做了哪些操作以及确定黑客的攻击目的。但是，如果黑客删除或篡改了服务器日志，则在进行入侵检测时无法通过服务器日志进行有效分析。目前的服务器日志一般是保存在服务器本地，面临被黑客删除或篡改的风险。

发明内容

本申请提供保存服务器日志的方法和装置，可以解决服务器日志保存在服务器本地而面临被黑客删除或篡改的问题。

第一方面，提供一种保存服务器日志的方法，包括：

在检测到目标事件在服务器上产生的情况下，所述服务器生成所述目标事件对应的日志记录，所述目标事件对应的日志记录包括所述目标事件产生的时间以及所述目标事件的事件内容；

所述服务器生成所述目标事件对应的日志记录的日志发布事务，所述日志发布事务包括所述目标事件对应的日志记录；

所述服务器将所述日志发布事务发送给联盟链系统中的背书节点进行事务背书，所述背书节点为基于智能合约设置的背书策略中的节点；

在根据所述背书节点返回的背书结果确定已完成对所述日志发布事务的事务背书的情况下，所述服务器将所述日志发布事务发送给所述联盟链系统中的命令节点，以使所述命令节点对所述日志发布事务进行排序并形成所述日志发布事务对应的区块。

第二方面，提供一种保存服务器日志的装置，包括：

日志生成模块，用于在检测到目标事件在服务器上产生的情况下，生成所述目标事件对应的日志记录，所述目标事件对应的日志记录包括所述目标事件产生的时间以及所述目标事件的事件内容；

事务生成模块，用于生成所述目标事件对应的日志记录的日志发布事务，所述日志发布事务包括所述目标事件对应的日志记录；

事务背书模块，用于将所述日志发布事务发送给所述联盟链系统中的背书节点进行事务背书，所述背书节点为基于智能合约设置的背书策略中的节点；

事务排序模块，用于在根据所述背书节点返回的背书结果确定已完成对所述日志发布事务的事务背书的情况下，将所述日志发布事务发送给所述联盟链系统中的命令节点，以使所述命令节点对所述日志发布事务进行排序并形成所述日志发布事务对应的区块。

第三方面，提供另一种保存服务器日志的装置，包括处理器、存储器以及通信接口，所述处理器、存储器和通信接口相互连接，其中，所述通信接口用于传输数据，所述存储器用于存储保存服务器日志的装置执行上述方法的应用程序代码，所述处理器被配置用于执行上述第一方面的方法。

第四方面，提供一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述第一方面的方法。

本技术方案可以实现随时对本地被篡改或被删除的日志进行恢复。

附图说明

图1是本申请实施例提供的联盟链系统的架构示意图；

图2是本申请实施例提供的联盟链系统中的存储结构的示意图；

图3是本申请实施例提供的一种保存服务器日志的方法的流程示意图；

图4是本申请实施例提供的一种将目标事件对应的日志记录发布至联盟链系统的流程示意图；

图5是本申请实施例提供的另一种保存服务器日志的方法的流程示意图；

图6是本申请实施例提供的另一种保存服务器日志的方法的流程示意图；

图7是本申请实施例提供的一种保存服务器日志的装置的组成结构示意图；

图8是本申请实施例提供的另一种保存服务器日志的装置的组成结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例的技术方案可适用于部署在联盟链系统中的服务器，该服务器可以用于提供网站服务，即可以为网站对应的后台服务器。示例性地，联盟链系统的架构可以如图1所示，联盟链系统中主要涉及同等节点(peer)、背书节点(endorser)、命令节点(orderer) 以及确认节点(committer)这几种角色节点。其中，接入联盟链系统中的所有服务器都可以称之为同等节点，同等节点用于从命令节点处获取命令节点打包形成的区块并存储在本地的账本中；命令节点用于维护联盟链系统中的多条联盟链，接收经过背书策略后的事务消息并对事务进行排序后打包形成区块，然后传递给处于联盟链中的所有同等节点；背书节点和确认节点是同等节点中两种特殊的节点，背书节点用于在同等节点将事务发布到联盟链系统的过程中对事务进行背书，确认节点用于在同等节点将事务发布到联盟链系统的过程中将经过背书和排序的事务对应的区块保存到本地。

为便于理解本申请实施例的方案，在介绍本申请实施例的方案之前，首先对本申请实施例中所涉及的联盟链的一些原理进行介绍。

1、共识

在联盟链系统中，共识过程可以理解为是联盟链中的多个同等节点对于某一个或某一批事务的发生顺序、合法性以及他们对账本状态的更新达成一致的过程。在达成一致后，联盟链上的多个同等节点在本地保存该事务对应的区块。共识过程主要包括背书、排序以及验证三个过程。在背书的过程中，背书节点执行智能合约并对背书结果进行签名。在排序的过程中，联盟链系统中的命令节点基于共识方法对事务进行排序，共识方法可以包括单节点共识(solo)方法、分布式队列(kafka)方法、实用拜占庭容错(Practical Byzantine Fault Tolerance，PBFT)算法，等等。在验证的过程中，确认节点对事务进行验证。

2、背书策略

背书策略是为了解决联盟链系统中的信任问题而设置的一个验证策略，其属于联盟链中的共识机制的一部分，其用于指示联盟链系统中的节点事务验证的规则，即事务需要哪些节点的签名才可以生效。在验证背书策略的过程中，当背书节点收到一个事务请求时，背书节点按照自身的一些逻辑对其进行检查，然后对是否予以支持进行决策，在确定予以支持的情况下，背书节点会对结果进行签名，然后返回给发起事务请求的同等节点；同等节点在接收到背书节点发送的签名后，会将事务请求发送至命令节点中进行排序以进行后续背书策略的验证。

3、联盟链系统中的存储结构

联盟链系统中的存储结构如图2所示，每个存储单元(区块)包含上一存储单元的哈希(hash)值以及自身存储的区块，从表象来看就像把所有的数据块连接在一起，称之为“区块链”，形成链状可追述的数据块。这种链状结构的数据又可以称之为账本数据，保存着所有发布至联盟链系统中的事务。另外，还有一个键-值(key-value)数据库，维护着数据的最终状态，便于查询等操作。

基于以上原理，联盟链系统对数据进行分布式存储，一旦经过各个同等节点共识确认的信息被存储到联盟链系统中后，由于链状数据块的特性，可保证信息的真实性和可靠性。

接下来介绍本申请实施例的方案，参见图3，图3是本申请实施例提供的一种保存服务器日志的方法的流程示意图，该方法可以实施在图1所示的联盟链系统中的任意一个为同等节点的服务器上，如图所示，所述方法包括：

S101，在检测到目标事件在服务器上产生的情况下，所述服务器生成所述目标事件对应的日志记录，所述目标事件对应的日志记录包括所述目标事件产生的时间以及所述目标事件的事件内容。

这里，目标事件是指服务器的系统在运行过程中所产生的事件。目标事件可以包括系统各个功能模块的开启或关闭、用户的登录或登出、系统的关键性操作、系统运行期间发生的错误或异常、系统关键性方法进入和退出、接收处理web请求等事件。

其中，系统的关键性操作可以包括数据库的链接与否、网络通信的成功与失败等事件，系统发生运行期间发生的错误或异常可以包括空指针异常、请求超时、转换异常等事件；系统关键性方法的进入和退出可以包括进入或退出一些重要业务处理的方法的事件；接收处理web请求可以包括系统接收并处理如get、post这一类的请求的事件。

目标事件对应的日志记录可以包括系统日志记录和网站日志记录。其中，系统日志记录为与系统的硬件、软件或系统中发生的事件有关的记录，系统日志记录可以包括操作系统日志记录、应用程序日志记录和安全日志记录等。网站日志记录为与系统接收处理web请求以及web系统运行时的错误有关的记录，网站日志记录又可以被称之为web日志记录。

这里，目标事件的内容可以与目标事件对应的日志记录的类型有关，如果目标事件对应的日志记录为系统日志记录，则目标事件的内容可以包括目标事件的等级、目标事件的类型等；如果目标事件对应的日志记录为网站日志记录，则目标事件的内容可以包括发出处理请求的客户端的IP地址，该处理请求对应的方法等。

举例来对在检测到目标事件在服务器上产生的情况下，生成该目标事件对应的日志记录进行说明：例如，服务器对应的网站系统的域名为www.pinan.com，当服务器接收到IP地址为106.186.23.21的客户端在2018年5月21日的19:00向发起的get处理请求并且服务器对这处理请求进行处理这一目标事件产生时，则生成该目标事件对应的日志记录，其具体为：106.186.23.21–-[21/May/2018 19:00:00+0800]“GET/forum/HTTP/1.0″403 208“https://www.pinan.com/”“Mozilla/5.0(Windows NT 5.1；rv:13.0)Gecko/20100101Firefox/13.0″，其中，106.186.23.21为客户端的IP，[21/May/2018 19:00:00+0800]表示目标事件产生的时间，“GET/forum/HTTP/1.0″403 208 106.186.23.21和“https://www.pinan.com/”“Mozilla/5.0(Windows NT 5.1；rv:13.0)Gecko/20100101Firefox/13.0″均为目标事件的内容。

S102，所述服务器将所述目标事件对应的日志记录发布至所述服务器对应的联盟链系统。

本申请实施例中，服务器对应的联盟链系统是指由包括该服务器在内的多个服务器节点组成的基于共识机制进行分布式存储的区块链系统。联盟链系统为共识过程受到预选节点控制的区块链系统，联盟链系统可以如图1所示，服务器可以为该联盟链系统中的一个同等节点。

具体实现中，可以基于Hyperledger建立联盟链系统，然后将目标事件对应的日志记录发布至联盟链系统。将目标事件对应的日志记录发布至联盟链系统的具体过程可以如图4所示。图4是本申请实施例提供的一种将目标事件对应的日志记录发布至联盟链系统的流程示意图，如图所示，包括：

S201，服务器生成目标事件对应的日志记录的日志发布事务，日志发布事务包括目标事件对应的日志记录。

服务器为联盟链系统中的同等节点，服务器为该联盟链中产生该目标事件以及该目标事件对应的日志记录的节点。

具体实现中，服务器可以通过SDK生成该目标事件对应的日志记录的日志发布事务。可选地，该日志发布事务除了包括该目标事件对应的日志记录外，还可以包括事务版本。

S202，服务器将日志发布事务发送给联盟链系统中的背书节点，背书节点接收日志发布事务。

背书节点为基于智能合约设置的在服务器的背书策略中的节点，背书节点可以与服务器属于同一个联盟链通道。

具体实现中，服务器可以通过组播的方式或者分别发送的方式将日志发布事务发送给联盟链系统中的背书节点。

S203，背书节点对该日志发布事务进行背书。

这里，背书节点对该日志发布事务进行背书的过程为：背书节点将该日志发布事务作为输入执行该智能合约得到输出结果，然后采用背书节点的私钥对输出结果进行签名得到背书结果。

S204，背书节点对该日志发布事务进行背书得到的背书结果发送给服务器，服务器接收背书结果。

服务器可以在接收到大部分同等节点发送的背书结果的情况下，确定对日志发布事务的事务背书完成。其中，具体需要接收到多少个同等节点的背书结果才确定对日志发布事务的事务背书完成可以根据具体情况设定。例如，当背书策略中的背书节点较少时，可以设计为当接收到90％以上的背书节点发送的背书结果时，则确定对日志发布事务的事务背书完成；当背书策略中的背书节点较多时，可以设计为当接收到80％以上的背书节点发送的背书结果时，则确定对日志发布事务的事务背书完成。

服务器在根据背书结果确定已经完成对日志发布事务的事务背书的情况下，执行步骤S205。

S205，服务器将日志发布事务发送给联盟链系统中的命令节点。

这里，服务器将日志发布事务和接收到的所有的背书结果打包发送给联盟链系统中的命令节点。

S206，命令节点根据该日志发布事务的时间对该日志事务进行排序。

S207，命令节点生成日志发布事务对应的区块。

这里，命令节点按照时间顺序将当前在联盟链中产生的还未被打包的所有的事务进行打包构建形成区块，其中，未被打包的所有的事务包括该日志发布事务。

S208，命令节点将日志发布事务对应的区块发送给联盟链系统中的所有同等节点，联盟链上的所有同等节点接收日志事务对应的区块。

具体实现中，命令节点可以从同等节点中选择一个作为领导节点(leader peer)，将日志发布事务对应的区块发送给该领导节点，然后该领导节点基于Gossip协议随机地与联盟链中的部分同等节点进行通信以使该日志发布事务在联盟链的同等节点中同步，从而将日志发布事务对应的区块同步至联盟链上的所有同等节点。

S209，联盟链系统中的所有同等节点对日志事务对应的区块进行验证。

这里，同等节点对日志事务对应的区块进行验证是指对日志事务对应的区块中的所有事务的背书策略以及事务版本进行验证，验证的具体方式为：分别对该区块中的每个事务的背书结果中签名进行验证，验证该签名对应的背书节点是否为该事务对应的背书策略中的节点，验证每个事务的版本是否与本地的版本相同。如果对每个事务的背书结果以及事务版本的验证均通过，则确定对日志事务对应的区块的验证通过。

在对日志事务对应的区块的验证通过的情况下，同等节点执行步骤S210。

S210，同等节点将日志事务对应的区块保存到本地。

本申请实施例中，通过背书、排序以及验证三个环节，可以使发布至联盟链系统的日志记录得到验证，确保只有正确合法的日志记录才能发布至联盟链系统，保证了联盟链系统中的日志记录的真实性和可靠性，通过将目标事件对应的日志记录发布至联盟链系统中，一方面，起到了对日志记录进行备份的作用；另一方面，保存到联盟链系统中的日志记录不能被篡改，当本地保存的日志记录被篡改时，可以用联盟链中保存的日志记录对其进行恢复，保证了日志记录的真实性和可靠性。

参见图5，图5是本申请实施例提供的另一种保存服务器日志的方法的流程示意图，如图所示，所述方法包括：

S301，在检测到目标事件在服务器上产生的情况下，所述服务器生成所述目标事件对应的日志记录，所述日志事件对应的日志记录包括所述目标事件产生的时间以及所述目标事件的事件内容。

S302，所述服务器将所述目标事件对应的日志记录发布至所述服务器对应的联盟链系统。

这里，步骤S301～S302的具体实现方式可参考上述图3以及图4对应的实施例的描述，此处不再赘述。

S303，所述服务器获取日志查看指令。

日志查看指令可以由安全运维用户触发，安全运维用户可以通过在服务器上输入查看日志的操作命令触发日志查看指令，安全运维用户也可以在服务器上通过查看日志的视图界面触发日志查看指令。

日志查看指令可以有以下几种情况：

1)日志查看指令为查看服务器上所有的日志记录的日志查看指令。

2)日志查看指令为查看服务器上某一个类别或者多个类别的日志记录的日志查看指令。

例如，日志查看指令是查看服务器上的服务器日志记录中与服务器硬件有关的日志记录，或者，日志查看指令是查看服务器上的网站日志记录。

3)日志查看指令为查看服务器上某一段时间或者某几段时间内的日志记录的查看指令。

例如，日志查看指令是查看2018年5月1日0点至2018年5月20日0点这一段时间的日志记录的查看指令。

4)日志查看指令是为查看服务器上的某一段时间内的某一类别的日志记录的查看指令。

例如，日志查看指令是查看2018年6月1日0点至2018年6月4日0点这一段时间内的网站日志记录的查看指令。

S304，所述服务器从本地以及联盟链系统获取所述日志查看指令对应的日志记录。

这里，从联盟链系统获取日志查看指令对应的日志记录是指从联盟链系统中的一个或多个同等节点中获取日志查看指令对应的日志记录。该联盟链系统中的一个或多个同等节点可以是预先设定的一个或多个同等节点；也可以是在要获取日志查看指令对应的日志记录时从联盟链系统中随机选择的一个或多个同等节点，该一个或多个同等节点为联盟链系统中除获取到该日志查看指令的同等节点之外的同等节点。

具体实现中，从联盟链系统中获取日志查看指令对应的日志记录的过程可以为：服务器向联盟链系统中的一个或多个同等节点发送事务查看请求，事务查看请求携带该日志查看指令指定的时间和日志类别；该一个或多个同等节点获取到事务查看请求后，根据时间和日志类别获取与其相对应的日志记录，判断该服务器是否为目标服务器，目标服务器为具备对该日志记录的查看权限的服务器，在确定该服务器为目标服务器的情况下，该一个或多个同等节点采用联盟链系统为该服务器分配的公钥对日志记录进行加密得到加密日志，将加密日志发送给该服务器；服务器根据联盟链系统为其分配的私钥对加密日志记录进行解密得到日志查看指令对应的日志记录。

在从联盟链系统中的多个同等节点获取该日志查看指令对应的日志记录的情况下，可以将从多个同等节点获取到的该日志查看指令对应的多份日志记录进行比较，如果从这多个同等节点获取到的该日志查看指令对应的多份日志记录均相同，则从该多份日志中选择任意一份日志记录确定为从联盟链系统中获取到的日志查看指令对应的日志记录；如果从这多个同等节点获取到的该日志查看指令对应的多份日志记录不全相同，则将该多份日志记录中相同数量更多的其中一份日志记录确定为从联盟链系统中获取到的日志查看指令对应的日志记录。

举例来进行说明，假设分别从同等节点1、同等节点2、同等节点3、同等节点4以及同等节点5获取该日志查看指令对应的日志记录，获取到的日志记录分别为日志记录1、日志记录2、日志记录3、日志记录4以及日志记录5，如果获取到的这5份日志记录全部相同，则从这5份日志记录选择任意一份日志记录作为从联盟链系统中获取到的日志查看指令对应的日志记录；如果获取到的这5份日志记录不全相同，例如，日志记录1、日志记录2、日志记录3以及日志记录4相同，日志记录5与日志记录1、日志记录2、日志记录3以及日志记录4不同，则从日志记录1、日志记录2、日志记录3以及日志记录4中选择其中一份日志记录作为从联盟链系统中获取到的日志查看指令对应的日志记录

S305，如果从本地获取到的所述日志查看指令对应的日志记录与从所述联盟链系统获取到的所述日志查看指令对应的日志记录相同，则所述服务器确定本地保存的所述日志查看指令对应的日志记录未被篡改并且未被删除。

例如，从本地获取到的日志记录为日志记录1～500，从联盟链系统中获取到的日志记录为1’～500’，其中，日志记录1与日志记录1’相同，日志记录2日志记录1与日志记录2’相同，…，日志记录500与日志记录500’相同，则确定从本地获取到的该日志查看指令对应的日志记录和从联盟链系统中获取到的日志查看指令对应的日志记录相同。

S306，如果从本地获取到的所述日志查看指令对应的日志记录与所述从所述联盟链系统获取到的所述日志查看指令对应的日志记录不同，则所述服务器确定本地保存的所述日志查看指令对应的日志记录被篡改或者被删除。

例如，从本地获取到的日志记录为日志记录1～450，从联盟链系统中获取到的日志记录为1’～500’，则确定服务器上该日志查看指令对应的日志记录被删除。

例如，本地获取到的日志记录为日志记录1～500，从联盟链系统中获取到的日志记录为1’～500’，其中，日志记录50与日志记录50’不同，则确定服务器上该日志查看指令对应的日志记录被篡改。

本申请实施例中，由于从联盟链系统获取到的日志记录是真实而可靠的，通过将本地保存的日记录与联盟链系统中获取到的日志记录进行比较，则可确定本地保存的日志记录是否被篡改或者删除，进而可以确定正确的日志记录。

在一种可能的实施方式中，在步骤S306之后，还可以包括以下步骤：

所述服务器删除本地保存的所述日志查看指令对应的日志记录；所述服务器将所述从所述联盟链系统获取到的所述日志查看指令对应的日志记录保存到本地。

通过将联盟链系统中获取到的日志记录保存到本地，并删除本地保存的日志记录，可以对被篡改或者被删除的日志记录进行还原。

所述服务器确定第一日志记录，所述第一日志记录为所述日志查看指令对应的日志记录中被篡改或者被删除的日志记录；所述服务器根据所述第一日志记录进行攻击路径还原。

这里，根据该第一日志记录进行攻击路径还原是指根据第一日志记录确定黑客的入侵步骤。具体实现中，服务器可以通过以下方式进行攻击路径还原：首先，确定该第一日志记录对应的正确的日志记录，其中，正确的日志记录是指未被篡改且未被删除的日志记录；然后，扫描服务器的网站目录以判断该服务器是否存在网页后门(webshell)，在确定该服务器存在网页后门的情况下，确定该网页后门对应的文件名，根据该文件名在该正确的日志记录中查找网页后门(webshell)对应的日志记录；最后，在查找到网页后门对应的日志记录的情况下，确定该网页后门对应的访问互联网地址(IP地址)，根据该访问互联网地址在本地存储的所有日志记录中查找与该访问互联网地址对应的日志记录，根据该访问互联网地址对应的日志记录确定黑客的入侵行为。

通过对被篡改或被删除的日志记录进行攻击路径还原，可以确定黑客在系统上的操作，便于安全运维人员确定系统面临的风险或遭受的攻击。

参见图6，图6是本申请实施例提供的另一种保存服务器日志的方法的流程示意图，如图所示，所述方法包括：

S401，在检测到目标事件在服务器上产生的情况下，所述服务器生成所述目标事件对应的日志记录，所述日志事件对应的日志记录包括所述目标事件产生的时间以及所述目标事件的事件内容。

S402，所述服务器将所述目标事件对应的日志记录发布至所述服务器对应的联盟链系统。

S403，所述服务器获取日志查看指令。

S404，所述服务器从本地以及所述联盟链系统获取所述日志查看指令对应的日志记录。

这里，步骤S401～S404的具体实现方式可参考上述图5对应的实施例的描述，此处不再赘述。

S405，所述服务器根据从本地获取到所述日志查看指令对应的日志查看记录以及从所述联盟链系统中获取到的所述日志查看指令对应的日志记录确定所述日志查看指令对应的正确的日志记录。

如果从本地获取到的所述日志查看指令对应的日志记录与从所述联盟链系统获取到的所述日志查看指令对应的日志记录相同，则将所述从本地获取到的所述日志查看指令对应的日志记录确定为所述日志查看指令对应的正确的日志记录。如果从本地获取到所述日志查看指令对应的日志记录与所述从所述联盟链系统获取到的所述日志查看指令对应的日志记录不同，则将从所述联盟链系统获取到的所述日志查看指令对应的日志记录确定为所述日志查看指令对应的正确的日志记录。

S406，所述服务器从所述正确的日志记录中获取web日志记录，所述web日志记录包括URL。

具体实现中，可以将该正确的日志记录与“http”或“https”匹配从而获取到包含URL的web日志记录。

S407，所述服务器将所述web日志记录中的URL与目标正则表达式进行匹配。

S408，如果所述web日志记录中的URL符合所述目标正则表达式，则所述服务器确定所述服务器遭受过所述目标正则表达式对应的web攻击。

本申请实施例中，通过从联盟链系统中获取与日志查看指令对应的日志记录从而可以确定与日志查看指令对应的正确的日志记录，然后利用正则表达式对正确的日志记录中的web记录进行分析确定系统遭受过的web攻击，省去安全运维人员手动对日志记录进行分析，减轻安全运维人员的负担。

上面介绍了本申请实施例的方法，下面介绍本申请实施例的装置。

参见图7，图7是本申请实施例提供的一种保存服务器日志的装置的组成结构示意图，该装置可以为服务器或服务器的一部分，如图所示，所述装置50包括：

日志生成模块501，用于在检测到目标事件在服务器上产生的情况下，生成所述目标事件对应的日志记录，所述目标事件对应的日志记录包括所述目标事件产生的时间以及所述目标事件的事件内容；

事务生成模块502，用于生成所述目标事件对应的日志记录的日志发布事务，所述日志发布事务包括所述目标事件对应的日志记录；

事务背书模块503，用于将所述日志发布事务发送给所述联盟链系统中的背书节点进行事务背书，所述背书节点为基于智能合约设置的背书策略中的节点；

事务排序模块504，用于在根据所述背书节点返回的背书结果确定已完成对所述日志发布事务的事务背书的情况下，将所述日志发布事务发送给所述联盟链系统中的命令节点，以使所述命令节点对所述日志发布事务进行排序并形成所述日志发布事务对应的区块。

在一种可能的设计中，该装置还包括：

区块接收模块505，用于接收所述命令节点发送的所述日志发布事务对应的区块；

区块保存模块506，用于在对所述区块的验证通过的情况下，在本地保存所述区块。

在一种可能的设计中，所述装置50还包括：

指令获取模块507，用于获取日志查看指令；

日志记录获取模块508，用于从本地以及所述联盟链系统获取所述日志查看指令对应的日志记录；

日志判定模块509，用于如果日志记录获取模块508从本地获取到的所述日志查看指令对应的日志记录与从所述联盟链系统获取到的所述日志查看指令对应的日志记录相同，则确定本地保存的所述日志查看指令对应的日志记录未被篡改并且未被删除；

日志判定模块509还用于如果日志记录获取模块508从本地获取到的所述日志查看指令对应的日志记录与所述从所述联盟链系统获取到的所述日志查看指令对应的日志记录不同，则确定本地保存的所述日志查看指令对应的日志记录被篡改或者被删除。

在一种可能的设计中，所述装置50还包括：

第一日志确定模块510，用于确定第一日志记录，所述第一日志记录为所述日志查看指令对应的日志记录中被篡改或者被删除的日志记录；

路径还原模块511，用于根据所述第一日志记录进行攻击路径还原。

在一种可能的设计中，所述路径还原模块512具体用于：

确定所述第一日志记录对应的正确的日志记录；

在所述服务器的网站目录中查找网页后门对应的文件名；

在查找到所述文件名的情况下，根据所述文件名在所述正确的日志记录中查找所述网页后门对应的日志记录；

在查找到所述网页后门对应的日志记录的情况下，根据所述网页后门对应的日志记录确定所述网页后门对应的访问互联网地址；

根据所述访问互联网地址在本地存储的所有日志记录中查找与所述访问互联网地址对应的所有日志记录。

在一种可能的设计中，所述装置50还包括：

第二日志确定模块512，用于确定所述日志查看指令对应的正确的日志记录；

web日志获取模块513，用于从所述正确的日志记录中获取web日志记录，所述web日志记录包括统一资源定位符；

匹配模块514，用于将所述web日志记录中的统一资源定位符与目标正则表达式进行匹配；

攻击确定模块515，如果所述web日志记录中的统一资源定位符符合所述目标正则表达式，则确定所述服务器遭受过所述目标正则表达式对应的web攻击。

在一种可能的设计中，所述装置50还包括：

所述确定所述日志查看指令对应的日志记录被篡改或被删除之后，还包括：

删除模块516，用于删除本地保存的所述日志查看指令对应的日志记录；

日志保存模块517，用于将所述从所述联盟链系统获取到的所述日志查看指令对应的日志记录保存到本地。

需要说明的是，图7对应的实施例中未提及的内容可参见方法实施例的描述，这里不再赘述。

本申请实施例中，可以起到对日志记录进行备份的作用并且保证了日志记录的真实性和可靠性。

参见图8，图8是本申请实施例提供的另一种保存服务器日志的装置的组成结构示意图，该装置可以为服务器或服务器的一部分，如图所示，该装置60包括处理器601、存储器602以及输入输出接口603。处理器601连接到存储器602和通信接口603，例如处理器601可以通过总线连接到存储器602和通信接口603。

处理器601被配置为支持所述保存服务器日志的装置执行图3-图6所述的保存服务器日志的方法中相应的功能。该处理器601可以是中央处理器(Central Processing Unit，CPU)，网络处理器(Network Processor，NP)，硬件芯片或者其任意组合。上述硬件芯片可以是专用集成电路(Application-Specific Integrated Circuit，ASIC)，可编程逻辑器件(Programmable Logic Device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(Complex Programmable Logic Device，CPLD)，现场可编程逻辑门阵列(Field-Programmable Gate Array，FPGA)，通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。

存储器602存储器用于存储程序代码等。存储器602可以包括易失性存储器(Volatile Memory，VM)，例如随机存取存储器(Random Access Memory，RAM)；存储器702也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如只读存储器(Read-Only Memory，ROM)，快闪存储器(flash memory)，硬盘(Hard Disk Drive，HDD)或固态硬盘(Solid-State Drive，SSD)；存储器602还可以包括上述种类的存储器的组合。本申请实施例中，存储器602用于存储保存服务器日志的应用程序。

所述通信接口603用于输入或输出数据，具体实现中，该输入输出接口可包括显示屏、键盘或鼠标等部件。

处理器601可以调用所述程序代码以执行以下操作：

在检测到目标事件在服务器上产生的情况下，生成所述目标事件对应的日志记录，所述目标事件对应的日志记录包括所述目标事件产生的时间以及所述目标事件的事件内容；

生成所述目标事件对应的日志记录的日志发布事务，所述日志发布事务包括所述目标事件对应的日志记录；

将所述日志发布事务发送给联盟链系统中的背书节点进行事务背书，所述背书节点为基于智能合约设置的背书策略中的节点；

在根据所述背书节点返回的背书结果确定已完成对所述日志发布事务的事务背书的情况下，将所述日志发布事务发送给所述联盟链系统中的命令节点，以使所述命令节点对所述日志发布事务进行排序并形成所述日志发布事务对应的区块。

需要说明的是，各个操作的实现还可以对应参照图3-图6所示的方法实施例的相应描述；所述处理器601还可以与通信接口603配合执行上述方法实施例中的其他操作。

本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被计算机执行时使所述计算机执行如前述实施例所述的方法，所述计算机可以为上述提到的保存服务器日志的装置的一部分。例如为上述的处理器601。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上所揭露的仅为本申请较佳实施例而已，当然不能以此来限定本申请之权利范围，因此依本申请权利要求所作的等同变化，仍属本申请所涵盖的范围。

Claims

一种保存服务器日志的方法，其特征在于，包括：

在检测到目标事件在服务器上产生的情况下，所述服务器生成所述目标事件对应的日志记录，所述目标事件对应的日志记录包括所述目标事件产生的时间以及所述目标事件的事件内容；

所述服务器生成所述目标事件对应的日志记录的日志发布事务，所述日志发布事务包括所述目标事件对应的日志记录；

所述服务器将所述日志发布事务发送给联盟链系统中的背书节点进行事务背书，所述背书节点为基于智能合约设置的背书策略中的节点；

在根据所述背书节点返回的背书结果确定已完成对所述日志发布事务的事务背书的情况下，所述服务器将所述日志发布事务发送给所述联盟链系统中的命令节点，以使所述命令节点对所述日志发布事务进行排序并形成所述日志发布事务对应的区块。
根据权利要求1所述的方法，其特征在于，所述服务器将所述日志发布事务发送给所述联盟链系统中的命令节点之后，还包括：

所述服务器接收所述命令节点发送的所述日志发布事务对应的区块；

在对所述区块的验证通过的情况下，所述服务器在本地保存所述区块。
根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述服务器获取日志查看指令；

所述服务器从本地以及所述联盟链系统获取所述日志查看指令对应的日志记录；

如果从本地获取到的所述日志查看指令对应的日志记录与从所述联盟链系统获取到的所述日志查看指令对应的日志记录相同，则所述服务器确定本地保存的所述日志查看指令对应的日志记录未被篡改并且未被删除；

如果从本地获取到的所述日志查看指令对应的日志记录与所述从所述联盟链系统获取到的所述日志查看指令对应的日志记录不同，则所述服务器确定本地保存的所述日志查看指令对应的日志记录被篡改或者被删除。
根据权利要求3所述的方法，其特征在于，所述服务器确定本地保存的所述日志查看指令对应的日志记录被篡改或者被删除之后，还包括：

所述服务器确定第一日志记录，所述第一日志记录为所述日志查看指令对应的日志记录中被篡改或者被删除的日志记录；

所述服务器根据所述第一日志记录进行攻击路径还原。
根据权利要求4所述的方法，其特征在于，所述服务器根据所述第一日志记录进行攻击路径还原包括：

所述服务器确定所述第一日志记录对应的正确的日志记录；

所述服务器在所述服务器的网站目录中查找网页后门对应的文件名；

在查找到所述文件名的情况下，所述服务器根据所述文件名在所述正确的日志记录中查找所述网页后门对应的日志记录；

在查找到所述网页后门对应的日志记录的情况下，所述服务器根据所述网页后门对应的日志记录确定所述网页后门对应的访问互联网地址；

所述服务器根据所述访问互联网地址在本地存储的所有日志记录中查找与所述访问互联网地址对应的所有日志记录。
根据权利要求3所述的方法，其特征在于，所述方法还包括：

所述服务器确定所述日志查看指令对应的正确的日志记录；

所述服务器从所述正确的日志记录中获取web日志记录，所述web日志记录包括统一资源定位符；

所述服务器将所述web日志记录中的统一资源定位符与目标正则表达式进行匹配；

如果所述web日志记录中的统一资源定位符符合所述目标正则表达式，则所述服务器确定所述服务器遭受过所述目标正则表达式对应的web攻击。
根据权利要求3所述的方法，其特征在于，所述服务器确定所述日志查看指令对应的日志记录被篡改或被删除之后，还包括：

所述服务器删除本地保存的所述日志查看指令对应的日志记录；

所述服务器将所述从所述联盟链系统获取到的所述日志查看指令对应的日志记录保存到本地。
一种保存服务器日志的装置，其特征在于，包括：

日志生成模块，用于在检测到目标事件在服务器上产生的情况下，生成所述目标事件对应的日志记录，所述目标事件对应的日志记录包括所述目标事件产生的时间以及所述目标事件的事件内容；

事务生成模块，用于生成所述目标事件对应的日志记录的日志发布事务，所述日志发布事务包括所述目标事件对应的日志记录；

事务背书模块，用于将所述日志发布事务发送给所述联盟链系统中的背书节点进行事务背书，所述背书节点为基于智能合约设置的背书策略中的节点；

事务排序模块，用于在根据所述背书节点返回的背书结果确定已完成对所述日志发布事务的事务背书的情况下，将所述日志发布事务发送给所述联盟链系统中的命令节点，以使所述命令节点对所述日志发布事务进行排序并形成所述日志发布事务对应的区块。
根据权利要求8所述的装置，其特征在于，所述装置还包括：

区块接收模块，用于接收所述命令节点发送的所述日志发布事务对应的区块；

区块保存模块，用于在对所述区块的验证通过的情况下，在本地保存所述区块。
根据权利要求8或9所述的装置，其特征在于，所述装置还包括：

指令获取模块，用于获取日志查看指令；

日志记录获取模块，用于从本地以及所述联盟链系统获取所述日志查看指令对应的日志记录；

日志判定模块，用于如果日志记录获取模块从本地获取到的所述日志查看指令对应的日志记录与从所述联盟链系统获取到的所述日志查看指令对应的日志记录相同，则确定本地保存的所述日志查看指令对应的日志记录未被篡改并且未被删除；

日志判定模块还用于如果日志记录获取模块从本地获取到的所述日志查看指令对应的日志记录与所述从所述联盟链系统获取到的所述日志查看指令对应的日志记录不同，则确定本地保存的所述日志查看指令对应的日志记录被篡改或者被删除。
根据权利要求10所述的装置，其特征在于，所述装置还包括：

第一日志确定模块，用于确定第一日志记录，所述第一日志记录为所述日志查看指令对应的日志记录中被篡改或者被删除的日志记录；

路径还原模块，用于根据所述第一日志记录进行攻击路径还原。
根据权利要求11所述的装置，其特征在于，所述路径还原模块具体用于：

确定所述第一日志记录对应的正确的日志记录；

在所述服务器的网站目录中查找网页后门对应的文件名；

在查找到所述文件名的情况下，根据所述文件名在所述正确的日志记录中查找所述网页后门对应的日志记录；

在查找到所述网页后门对应的日志记录的情况下，根据所述网页后门对应的日志记录确定所述网页后门对应的访问互联网地址；

根据所述访问互联网地址在本地存储的所有日志记录中查找与所述访问互联网地址对应的所有日志记录。
根据权利要求10所述的装置，其特征在于，所述装置还包括：

第二日志确定模块，用于确定所述日志查看指令对应的正确的日志记录；

web日志获取模块，用于从所述正确的日志记录中获取web日志记录，所述web日志记录包括统一资源定位符；

匹配模块，用于将所述web日志记录中的统一资源定位符与目标正则表达式进行匹配；

攻击确定模块，如果所述web日志记录中的统一资源定位符符合所述目标正则表达式，则确定所述服务器遭受过所述目标正则表达式对应的web攻击。
根据权利要求10所述的装置，其特征在于，所述装置还包括：

所述确定所述日志查看指令对应的日志记录被篡改或被删除之后，还包括：

删除模块，用于删除本地保存的所述日志查看指令对应的日志记录；

日志保存模块，用于将所述从所述联盟链系统获取到的所述日志查看指令对应的日志记录保存到本地。
一种保存服务器日志的装置，包括处理器、存储器以及通信接口，所述处理器、存储器和通信接口相互连接，其中，所述通信接口用于传输数据，所述存储器用于存储程序代码，所述处理器用于调用所述程序代码，执行以下操作：

在检测到目标事件在服务器上产生的情况下，所述服务器生成所述目标事件对应的日志记录，所述目标事件对应的日志记录包括所述目标事件产生的时间以及所述目标事件的事件内容；

生成所述目标事件对应的日志记录的日志发布事务，所述日志发布事务包括所述目标事件对应的日志记录；

将所述日志发布事务发送给联盟链系统中的背书节点进行事务背书，所述背书节点为基于智能合约设置的背书策略中的节点；

在根据所述背书节点返回的背书结果确定已完成对所述日志发布事务的事务背书的情况下，所述服务器将所述日志发布事务发送给所述联盟链系统中的命令节点，以使所述命令节点对所述日志发布事务进行排序并形成所述日志发布事务对应的区块。
根据权利要求15所述的装置，其特征在于，所述处理器还用于执行以下操作：

接收所述命令节点发送的所述日志发布事务对应的区块；

在对所述区块的验证通过的情况下，在本地保存所述区块。
根据权利要求15或16所述的装置，其特征在于，所述处理器还用于执行以下操作：

获取日志查看指令；

从本地以及所述联盟链系统获取所述日志查看指令对应的日志记录；

如果从本地获取到的所述日志查看指令对应的日志记录与从所述联盟链系统获取到的所述日志查看指令对应的日志记录相同，则确定本地保存的所述日志查看指令对应的日志记录未被篡改并且未被删除；

如果从本地获取到的所述日志查看指令对应的日志记录与所述从所述联盟链系统获取到的所述日志查看指令对应的日志记录不同，则确定本地保存的所述日志查看指令对应的日志记录被篡改或者被删除。
根据权利要求17所述的装置，其特征在于，所述处理器还用于执行以下操作：

确定第一日志记录，所述第一日志记录为所述日志查看指令对应的日志记录中被篡改或者被删除的日志记录；

根据所述第一日志记录进行攻击路径还原。
根据权利要求18所述的装置，其特征在于，所述处理器还用于执行以下操作：

确定所述第一日志记录对应的正确的日志记录；

在所述服务器的网站目录中查找网页后门对应的文件名；

在查找到所述文件名的情况下，根据所述文件名在所述正确的日志记录中查找所述网页后门对应的日志记录；

在查找到所述网页后门对应的日志记录的情况下，根据所述网页后门对应的日志记录确定所述网页后门对应的访问互联网地址；

根据所述访问互联网地址在本地存储的所有日志记录中查找与所述访问互联网地址对应的所有日志记录。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。