本发明属于计算机技术领域,尤其涉及一种基于分布式存储系统的访问审计方法及系统。
背景技术
随着互联网的快速发展,使用户在信息获取方面愈加方便,但同时也带来了更高的网络危险性。
目前,当用户访问时,对用户的访问动作不做具体的日志记录,仅仅记录用户的登录和退出等大事件,作为日志文件保存,供管理进行查询,但是该合法用户登录服务器后,在服务器进行中各种操作时,可能因为重命名、写、读以及删除等操作,破坏了系统文件,或更改了文件内容,带来安全隐患,但是目前的日志文件并没有具体的定位功能,无法对问题点进行定位。
技术实现要素:
本发明的目的在于提供一种基于分布式存储系统的访问审计方法,旨在解决现有技术中目前的日志文件并没有具体的定位功能,无法对问题点进行定位的问题。
本发明是这样实现的,一种基于分布式存储系统的访问审计方法,所述方法包括下述步骤:
当接收到用户访问指令时,判断是否开启访问审计功能;
当已开启访问审计功能时,获取当前访问审计等级信息;
依据获取到的房前访问审计等级信息,对用户的访问操作进行日志记录,并生成日志记录文件,所述日志记录文件记录的审计信息包括客户端访问ip、访问的文件名、操作字以及操作结果信息;
将所述日志记录文件保存在指定目录下。
作为一种改进的方案,所述方法还包括下述步骤:
预先对访问审计功能的开启状态和对用户访问的操作进行访问审计等级进行设置,所述访问审计等级表征对用户访问操作内容记录的不同等级。
作为一种改进的方案,所述审计等级包括高级、中级和低级;
其中,当采用网络文件系统nfs时,所述高级审计等级包括rename、remove和rmdir操作,所述中级审计等级包括create、read、setattr、write、link、symlink、mkdir操作及高级别对应的操作;所述低级审计等级包括access、commit、getattr、lookup、readdir、readdirplus、readlink操作及高、中级别对应的操作;
当采用公共互联网文件系统cifs时,所述高级审计等级包括rename、unlink和rmdir操作,所述中级审计等级包括read、pread、write、pwrite、pread_send、pread_recv、pwrite_send、pwrite_recv操作及高级别对应的操作;所述低级审计等级包括用户所有访问操作。
作为一种改进的方案,所述方法还包括下述步骤:
接收管理员输入的查询指令,并根据所述查询指令调用保存在指定目录的所述日志记录文件;
控制在所述日志记录文件中,对访问审计内容进行查阅。
本发明的另一目的在于提供一种基于分布式存储系统的访问审计系统,其特征在于,所述系统包括:
判断模块,用于当接收到用户访问指令时,判断是否开启访问审计功能;
审计等级信息获取模块,用于当已开启访问审计功能时,获取当前访问审计等级信息;
日志记录模块,用于依据获取到的房前访问审计等级信息,对用户的访问操作进行日志记录,并生成日志记录文件,所述日志记录文件记录的审计信息包括客户端访问ip、访问的文件名、操作字以及操作结果信息;
日志记录文件保存模块,用于将所述日志记录文件保存在指定目录下。
作为一种改进的方案,所述系统还包括:
预先设置模块,用于预先对访问审计功能的开启状态和对用户访问的操作进行访问审计等级进行设置,所述访问审计等级表征对用户访问操作内容记录的不同等级。
作为一种改进的方案,所述审计等级包括高级、中级和低级;
其中,当采用网络文件系统nfs时,所述高级审计等级包括rename、remove和rmdir操作,所述中级审计等级包括create、read、setattr、write、link、symlink、mkdir操作及高级别对应的操作;所述低级审计等级包括access、commit、getattr、lookup、readdir、readdirplus、readlink操作及高、中级别对应的操作;
当采用公共互联网文件系统cifs时,所述高级审计等级包括rename、unlink和rmdir操作,所述中级审计等级包括read、pread、write、pwrite、pread_send、pread_recv、pwrite_send、pwrite_recv操作及高级别对应的操作;所述低级审计等级包括用户所有访问操作。
作为一种改进的方案,所述系统还包括:
查询指令接收模块,用于接收管理员输入的查询指令;
日志记录文件调用模块,用于根据所述查询指令调用保存在指定目录的所述日志记录文件;
查阅定位模块,用于控制在所述日志记录文件中,对访问审计内容进行查阅。
在本发明实施例中,当接收到用户访问指令时,判断是否开启访问审计功能;当已开启访问审计功能时,获取当前访问审计等级信息;依据获取到的房前访问审计等级信息,对用户的访问操作进行日志记录,并生成日志记录文件;将所述日志记录文件保存在指定目录下,从而实现对用户访问操作的安全监控,提高文件数据的安全性,保证数据安全,也同时便于对操作问题的准确定温和查阅,为管理员提供便利。
附图说明
图1是本发明提供的基于分布式存储系统的访问审计方法的实现流程图;
图2是本发明提供的基于分布式存储系统的访问审计系统的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示出了本发明提供的基于分布式存储系统的访问审计方法的实现流程图,其具体包括下述步骤:
在步骤s101中,当接收到用户访问指令时,判断是否开启访问审计功能,是则执行步骤s102,否则结束。
在该步骤中,当开启访问审计功能时,则该需要按照设置的访问审计等级进行相应的操作动作的信息记录,当没有开启时,则按照常规的用户访问流程执行,在此不再赘述。
在步骤s102中,当已开启访问审计功能时,获取当前访问审计等级信息。
在该步骤中,管理预先设置多级访问审计等级,并保存在指定的目录下,然后当需要获知该信息,则在该指定的目录的查阅即可,在此不再赘述。
在步骤s103中,依据获取到的房前访问审计等级信息,对用户的访问操作进行日志记录,并生成日志记录文件,所述日志记录文件记录的审计信息包括客户端访问ip、访问的文件名、操作字以及操作结果信息。
在步骤s104中,将所述日志记录文件保存在指定目录下。
其中,该指定目录的设置是为便于查找该日志记录文件,提高查阅效率和调用效率。
在本发明实施例中,在执行上述步骤s101之前,还需要执行下述步骤:
预先对访问审计功能的开启状态和对用户访问的操作进行访问审计等级进行设置,所述访问审计等级表征对用户访问操作内容记录的不同等级;
该审计等级包括高级、中级和低级;
其中,当采用网络文件系统nfs时,所述高级审计等级包括rename、remove和rmdir操作,所述中级审计等级包括create、read、setattr、write、link、symlink、mkdir操作及高级别对应的操作;所述低级审计等级包括access、commit、getattr、lookup、readdir、readdirplus、readlink操作及高、中级别对应的操作;
当采用公共互联网文件系统cifs时,所述高级审计等级包括rename、unlink和rmdir操作,所述中级审计等级包括read、pread、write、pwrite、pread_send、pread_recv、pwrite_send、pwrite_recv操作及高级别对应的操作;所述低级审计等级包括用户所有访问操作。
在该实施例中,nfs是分布式计算系统的一个组成部分,可实现在异种网络上共享和装配远程文件系统。其最大的功能就是可以通过网络,让不同操作系统的计算机可以共享数据,nfs可以将远程主机上的文件系统挂载到本地系统中,从而可以像使用本地文件系统中的文件一样使用那些远程文件系统中的文件。
cifs是当前主流异构平台共享文件系统之一。主要应用在nt/windows环境下,是由microsoft公司开发。其工作原理是让cifs协议运行于tcp/ip通信协议之上,让linux计算机可以在网络邻居上被windows计算机看到,在linux下cifs共享由samba实现。
在本发明实施例中,当对日志记录文件存储后,接收管理员输入的查询指令,并根据所述查询指令调用保存在指定目录的所述日志记录文件;
控制在所述日志记录文件中,对访问审计内容进行查阅;
从而便于管理员对出现故障故障或问题的内容进行定位和查看。
在本发明实施例中,对分布式存储系统的访问审计功能,能够为管理员更直观的体现访问操作,主要在安全性方面有重大意义,提供更可靠的大数据平台;
该访问审计功能,能够提供访问操作的日志文件,可以让管理员直观的看到所要查看的操作字的信息,并且通过设置不同的访问级别,来查看不同访问级别的审计信息:客户端访问ip、访问的文件名、操作字、操作结果等;主要优势在于给管理员提供更直观的访问操作监控,提高文件数据的安全性,保证了数据安全。
图2示出了本发明提供的基于分布式存储系统的访问审计系统的结构框图,为了便于说明,图中仅给出了与本发明实施例相关的部分。
基于分布式存储系统的访问审计系统具体包括:
判断模块11,用于当接收到用户访问指令时,判断是否开启访问审计功能;
审计等级信息获取模块12,用于当已开启访问审计功能时,获取当前访问审计等级信息;
日志记录模块13,用于依据获取到的房前访问审计等级信息,对用户的访问操作进行日志记录,并生成日志记录文件,所述日志记录文件记录的审计信息包括客户端访问ip、访问的文件名、操作字以及操作结果信息;
日志记录文件保存模块14,用于将所述日志记录文件保存在指定目录下。
其中,预先设置模块15,用于预先对访问审计功能的开启状态和对用户访问的操作进行访问审计等级进行设置,所述访问审计等级表征对用户访问操作内容记录的不同等级。
在本发明实施例中,所述系统还包括:
查询指令接收模块16,用于接收管理员输入的查询指令;
日志记录文件调用模块17,用于根据所述查询指令调用保存在指定目录的所述日志记录文件;
查阅定位模块18,用于控制在所述日志记录文件中,对访问审计内容进行查阅。
其中上述各个模块的功能如上述方法实施例所记载,在此不再赘述。
在本发明实施例中,当接收到用户访问指令时,判断是否开启访问审计功能;当已开启访问审计功能时,获取当前访问审计等级信息;依据获取到的房前访问审计等级信息,对用户的访问操作进行日志记录,并生成日志记录文件;将所述日志记录文件保存在指定目录下,从而实现对用户访问操作的安全监控,提高文件数据的安全性,保证数据安全,也同时便于对操作问题的准确定温和查阅,为管理员提供便利。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。