登录操作信息管理方法和装置与流程

[0001]
本申请涉及计算机技术领域，具体而言，涉及一种登录操作信息管理方法和装置。


背景技术：

[0002]
为了保障服务器正常运行，需要记录用户登录服务器的日志，同时也需要对用户登录服务器后执行的操作命令进行记录。如此，可以防止在被非法用户入侵后，无法追溯非法用户的破坏行为的问题，同时也可以在服务器出现异常时，对之前的登录用户操作命令进行排查，此外可以起到警示的作用，提示操作人员谨慎操作。
[0003]
为了实现上述目的，目前最为常用的是使用开源的jump server堡垒机系统以实现。jump server堡垒机系统是一种分布式系统，支持身份认证、账号管理、授权控制、安全审计等，符合4a规范，是一个优秀的堡垒机系统。但是jump server堡垒机系统的实现机制是，增加一层服务端，操作人员通过在jump server堡垒机系统的终端仿真页面上执行命令，命令会通过jump server调度到实际服务器上执行。虽然jump server是一个功能强大的堡垒机系统，但是会在中间插入一层服务端，用户的所有操作需要改为到终端仿真页面上操作，或者通过jump server登录到服务器上操作，在登录、操作服务器时多了中间可感知的一层服务端，影响用户体验。


技术实现要素：

[0004]
本申请的目的包括，例如，提供了一种登录操作信息管理方法和装置，其能够在用户无感知的情形下实现登录信息、操作信息等的记录和审计。
[0005]
本申请的实施例可以这样实现：
[0006]
第一方面，本申请实施例提供一种登录操作信息管理方法，应用于linux服务器，所述方法包括：
[0007]
在检测到登录操作时，运行预先设置的配置脚本以记录所述登录操作下的登录信息，根据所述登录信息生成登录日志并写入本地日志系统；
[0008]
在检测到执行操作命令时，通过预先配置的解析器基于所述执行操作命令生成操作命令日志并写入本地日志系统；
[0009]
将所述登录日志和所述操作命令日志发送至中心服务器，以使所述中心服务器将所述登录日志和所述操作命令日志存入数据库以供审计操作。
[0010]
在可选的实施方式中，所述方法还包括预先设置所述配置脚本的步骤，该步骤包括：
[0011]
在系统指定目录中增加自定义脚本文件，所述自定义脚本文件中包含立即执行函数。
[0012]
在可选的实施方式中，所述方法还包括预先配置所述解析器的步骤，该步骤包括：
[0013]
通过原始解析器开启指定编译选项；
[0014]
在所述指定编译选项对应的脚本中执行自定义命令以重新编译所述原始解析器；
[0015]
利用重新编译后得到的解析器替换所述原始解析器。
[0016]
在可选的实施方式中，所述登录信息至少包括登录用户名、登录源id及登录时间。
[0017]
在可选的实施方式中，所述将所述登录日志和所述操作命令日志发送至中心服务器的步骤，包括：
[0018]
运行本地日志系统中的配置文件，通过所述配置文件预先添加的转发功能命令将所述登录日志和所述操作命令日志转发至中心服务器。
[0019]
第二方面，本申请实施例提供一种登录操作信息管理方法，应用于中心服务器，所述方法包括：
[0020]
在接收到linux服务器发送的登录日志和操作命令日志时，调用预先配置的日志处理脚本以将所述登录日志和所述操作命令日志写入数据库中；
[0021]
从所述数据库中调取存储的登录日志和操作命令日志，对所述登录日志和操作命令日志进行审计得到审计结果。
[0022]
在可选的实施方式中，所述方法还包括：
[0023]
显示预先配置的审计页面，将从所述数据库调取的登录日志和操作命令日志展示在所述审计页面。
[0024]
在可选的实施方式中，所述对所述登录日志和操作命令日志进行审计得到审计结果的步骤，包括：
[0025]
检测所述登录日志中包含的登录源ip是否与预设ip集合中的任一ip匹配，若不匹配，则生成表征非法登录的提示信息；
[0026]
检测所述操作命令日志中是否包含删除系统中指定文件的操作，若包含，则生成表征非法操作的提示信息。
[0027]
第三方面，本申请实施例提供一种登录操作信息管理装置，应用于linux服务器，所述装置包括：
[0028]
记录模块，用于在检测到登录操作时，运行预先设置的配置脚本以记录所述登录操作下的登录信息，根据所述登录信息生成登录日志并写入本地日志系统；
[0029]
生成模块，用于在检测到执行操作命令时，通过预先配置的解析器基于所述执行操作命令生成操作命令日志并写入本地日志系统；
[0030]
发送模块，用于将所述登录日志和所述操作命令日志发送至中心服务器，以使所述中心服务器将所述登录日志和所述操作命令日志存入数据库以供审计操作。
[0031]
第四方面，本申请实施例提供一种登录操作信息管理装置，应用于中心服务器，所述装置包括：
[0032]
写入模块，用于在接收到linux服务器发送的登录日志和操作命令日志时，调用预先配置的日志处理脚本以将所述登录日志和所述操作命令日志写入数据库中；
[0033]
审计模块，用于从所述数据库中调取存储的登录日志和操作命令日志，对所述登录日志和操作命令日志进行审计得到审计结果。
[0034]
本申请实施例的有益效果包括，例如：
[0035]
本申请实施例提供的登录操作信息管理方法和装置，在实现登录操作信息管理时，在检测到登录操作时，通过预先设置的配置脚本以记录登录操作下的登录信息，根据登录信息生成登录日志并写入本地日志系统，且在检测到执行操作命令时，通过预先配置的
解析器基于执行操作命令生成操作命令日志并写入本地日志系统。最后，将登录日志和操作命令日志发送至中心服务器，以使中心服务器将登录日志和操作命令日志存入数据库以供审计操作。该方案中，通过预先生成配置脚本和重新配置解析器的方式，无需改变原有服务器的登录和操作模式、无需额外增加中间层的情形下，可直接得到登录日志和操作命令日志，避免了由于额外增加中间层造成的用户感知而导致的用户体验不佳的问题。
附图说明
[0036]
为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0037]
图1为本申请实施例提供的登录操作信息管理方法的应用场景示意图；
[0038]
图2为本申请实施例提供的应用于本地服务器的登录操作信息管理方法的流程图；
[0039]
图3为本申请实施例提供的预先配置解析器的方法的流程图；
[0040]
图4为本申请实施例提供的应用于中心服务器的登录操作信息管理方法的流程图；
[0041]
图5为本申请实施例提供的应用于管理系统的登录操作信息管理方法的流程图；
[0042]
图6为本申请实施例提供的管理系统的架构示意图；
[0043]
图7为本申请实施例提供的电子设备的结构框图；
[0044]
图8为本申请实施例提供的应用于本地服务器的登录操作信息管理装置的功能模块框图；
[0045]
图9为本申请实施例提供的应用于中心服务器的登录操作信息管理装置的功能模块框图。
[0046]
图标：10-本地服务器；20-中心服务器；110-存储介质；120-处理器；130-机器可执行指令；1311-记录模块；1312-生成模块；1313-发送模块；1321-写入模块；1322-审计模块；140-通信接口；30-终端设备。
具体实施方式
[0047]
为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
[0048]
因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0049]
应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
[0050]
在本申请的描述中，需要说明的是，在不冲突的情况下，本申请的实施例中的特征可以相互结合。
[0051]
以下首先对本申请实施例中所涉及到的专用名词进行解释说明：
[0052]
linux服务器：这里指安装linux操作系统的服务器。linux是一个开源的操作系统统称，包含如ubuntu、centos。
[0053]
堡垒机：即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。
[0054]
ssh：secure shell是一种加密的网络传输协议，ssh通过在网络中建立安全隧道来实现ssh终端设备与服务器之间的连接。ssh最常见的用途是远程登录系统，通常利用ssh来传输命令行界面和远程执行命令。
[0055]
shell：命令行界面的解析器，为用户提供和操作系统交互的工具，是一个泛称，大部分linux系统默认的shell是bash。
[0056]
bash：gnu bourne-again shell，是shell的一种，也是大部分linux系统默认的shell。
[0057]
syslog：日志系统，用于收集、分类、转发日志，并对日志进行处理。
[0058]
请参阅图1，为本申请实施例提供的登录操作信息管理方法的应用场景示意图，该应用场景中包括本地服务器10和远程的中心服务器20，其中，本地服务器10可为多个，多个本地服务器10分别与中心服务器20通信连接，各个本地服务器10可与中心服务器20实现数据、信息的交互。
[0059]
其中，本地服务器10可为linux服务器，本地服务器10可与多个终端设备30通信连接，用户可以通过终端设备30登录至本地服务器10，从而在本地服务器10上执行多种操作。为了保障本地服务器10的正常运行，因此需要记录用户登录服务器的登录信息日志，并且需要对用户登录本地服务器10后所执行的操作命令进行记录，以便后续在出现异常情况时，对该异常情况进行追溯。
[0060]
本地服务器10可将记录获得的用户的登录日志和操作命令日志等转发至中心服务器20，以统一在中心服务器20进行审计操作。
[0061]
现有技术中，本地服务器10在进行登录信息和操作命令的记录时，通常是采用jumpserver堡垒机系统以实现，jumpserver堡垒机系统的实现机制是增加一层服务端，终端设备30可通过在jumpserver堡垒机系统的终端仿真页面上执行命令，命令再通过jumpserver调度到本地服务器10上执行。由于引入jumpserver堡垒机系统会额外增加一层服务端，用户在登录服务器以及登录服务器之后执行操作命令的过程中，由于多了中间可感知的服务端，导致用户体验不佳的问题。
[0062]
为了解决上述技术问题，本申请实施例提供一种登录操作信息管理方案，通过预先设置配置脚本以及重新编译解析器的方式，可在无需采用jumpserver堡垒机系统的基础上，实现登录信息和操作命令信息的记录，避免了额外增加可感知的服务层的方式所导致的用户体验不佳的问题。
[0063]
请参阅图2，为本申请实施例提供的登录操作信息管理方法的流程示意图。该登录操作信息管理方法应用于上述linux服务器，应当理解，在其它实施例中，本实施例的登录
操作信息管理方法其中部分步骤的顺序可以根据实际需要相互交换，或者其中的部分步骤也可以省略或删除。该登录操作信息管理方法的详细步骤介绍如下。
[0064]
步骤s110，在检测到登录操作时，运行预先设置的配置脚本以记录所述登录操作下的登录信息，根据所述登录信息生成登录日志并写入本地日志系统。
[0065]
步骤s120，在检测到执行操作命令时，通过预先配置的解析器基于所述执行操作命令生成操作命令日志并写入本地日志系统。
[0066]
步骤s130，将所述登录日志和所述操作命令日志发送至中心服务器20，以使所述中心服务器20将所述登录日志和所述操作命令日志存入数据库以供审计操作。
[0067]
本实施例中，通过linux服务器对用户的登录信息和操作命令信息进行审计记录，以将记录获得的信息转发至中心服务器20进行审计操作。本实施例中，可预先进行配置脚本的定义，通过该配置脚本可进行用户登录信息的记录，其中，用户的登录信息至少可包括登录用户名、登录源id和登录时间。
[0068]
此外，终端设备30一般都是通过ssh登录至本地服务器10进行维护和变更操作等，用户的所有操作都是基于解析器shell之上进行的。shell是一个命令语言解析器，有自己内建的shell命令集，shell也能被系统中其他应用程序所调用。用户在提示符下输入的命令都由shell先解释然后传给linux的核心处理模块。
[0069]
由于用户的操作都是基于shell之上进行的，本实施例中，可预先配置解析器，通过对解析器进行重新编译的方式，使重新编译的解析器可对用户的操作命令进行记录，进而生成操作命令日志。本实施例中，所述的解析器可以是bash解析器。
[0070]
本实施例中，通过预先进行配置脚本的设置并重新编译解析器的方式，可通过运行脚本文件和重新编译的解析器，获得登录信息和操作命令，并基于登录信息和操作命令生成登录日志和操作命令日志，以写入本地日志系统中。在此基础上，可从本地日志系统将存储的登录日志和操作命令日志发送至中心服务器20，由中心服务器20统一进行审计操作。在本地服务器10一侧由于并未采用jumpserver而额外引入一层可感知的服务层，因此，可避免用户操作过程中的体验不佳的问题。
[0071]
此外，本实施例中，由于用户的登录和操作都是基于解析器之上进行的，而每个用户具有唯一的登录账号，因此，服务器层面已经具有用户认证管理的功能，只需要进行用户登录和操作命令的记录和审计即可，可避免采用原有的jumpserver堡垒机系统所存在的仅仅需要登录和操作审计功能时，额外增加的用户认证和权限管理所导致的管理成本增加的缺陷。
[0072]
在本实施例中，在上述进行登录日志和操作命令日志生成之前，可预先进行配置脚本的设置，可选地，可预先在系统指定目录中增加自定义脚本文件，该自定义脚本文件中包含立即执行函数。其中，所述的指定目录可为/etc/profile.d/，在该目录下增加一个自定义脚本，该脚本内容即写syslog。通过该配置脚本，后续在终端设备30登录至本地服务器10时，可通过运行该配置脚本以记录用户的登录信息。进而根据登录信息生成登录日志，以写入至内地日志系统。
[0073]
此外，在上述进行登录日志和操作命令日志生成之前，还需预先进行解析器的重新编译。请结合参阅图3，本实施例中，可预先通过以下步骤进行解析器的重新编译。
[0074]
步骤s210，通过原始解析器开启指定编译选项。
[0075]
步骤s220，在所述指定编译选项对应的脚本中执行自定义命令以重新编译所述原始解析器。
[0076]
步骤s230，利用重新编译后得到的解析器替换所述原始解析器。
[0077]
本实施例中，通过原始解析器，例如bash，打开指定编译选项。该指定编译选项可为syslog_history。在该指定编译选项下执行自定义命令，该自定义命令可为`./configure`和`make`，从而对原始解析器进行重新编译。重新编译后的解析器可打开将执行操作命令记录到日志中的功能。可利用重新编译后得到的解析器替换原始解析器。
[0078]
本实施例中，通过重新编译解析器的方式，使重新编译后的解析器具有记录操作命令信息的功能，从而可在后续用户登录服务器执行操作命令时，对用户的操作命令进行记录，进而根据操作命令生成操作命令日志以写入本地日志系统。
[0079]
本实施例中，直接针对解析器的源码进行编译进行直接配置，用户在进行操作时，解析器可直接基于操作命令生成对应的操作命令日志。
[0080]
本实施例中，还可预先在本地服务器10中进行日志转发配置，以实现将本地日志系统中的登录日志和操作命令日志转发至中心服务器20的功能。
[0081]
可选地，可在配置文件中增加转发功能命令，例如*.*:omrelp:<中心syslog服务器ip>:514，从而实现转发配置。在进行上述的登录日志和操作命令日志的转发时，可运行本地日志系统中的配置文件，通过配置文件预先添加的转发功能命令将登录日志和操作命令日志转发至中心服务器20。
[0082]
请参阅图4，本申请实施例还提供一种应用于上述中心服务器20的登录操作信息管理方法，应当理解，在其它实施例中，本实施例的登录操作信息管理方法其中部分步骤的顺序可以根据实际需要相互交换，或者其中的部分步骤也可以省略或删除。该登录操作信息管理方法的详细步骤介绍如下。
[0083]
步骤s310，在接收到linux服务器发送的登录日志和操作命令日志时，调用预先配置的日志处理脚本以将所述登录日志和所述操作命令日志写入数据库中。
[0084]
步骤s320，从所述数据库中调取存储的登录日志和操作命令日志，对所述登录日志和操作命令日志进行审计得到审计结果。
[0085]
本实施例中，可预先在中心服务器20中配置日志处理脚本，以在接收到linux服务器发送的登录日志和操作命令日志时，运行该日志处理脚本将登录日志和操作命令日志写入数据库中。
[0086]
本实施例中，可在中心服务器20对登录日志和操作命令日志进行审计，从而可及时发现非法用户登录或非法操作等。对于登录日志和操作命令日志的审计可通过以下方式实现：
[0087]
检测登录日志中包含的登录源ip是否与预设ip集合中的任一ip匹配，若不匹配，则生成表征非法登录的提示信息。
[0088]
如此，在某用户的登录日志中显示登录源ip不是来自之前常用的ip集合中的ip时，则存在疑似非法用户盗用账号进行登录，可及时生成提示信息以提示管理人员。
[0089]
此外，还可检测操作命令日志中是否包含删除系统中指定文件的操作，若包含，则生成表征非法操作的提示信息。
[0090]
其中，指定文件可为预先进行标记的较为重要的文件。通过操作命令日志可对用
户的非法操作进行追溯，例如，基于操作命令日志检测到用户删除了一些重要文件时，则存在疑似非法操作的行为，可及时生成提示信息以提示管理人员。
[0091]
本实施例中，基于操作命令日志可确定非法操作的影响范围。例如，用户修改了系统上的哪些文件、删除了哪些文件等，便于快速修复服务器系统。
[0092]
本实施例中，对登录日志和操作命令日志的审计得到审计结果后，可基于审计结果生成审计日志，并进行存储。基于获得的审计日志，还可用于管理人员定期通过审计日志，以进行部门人员操作的规范性的检查。
[0093]
若用户在维护服务器时，由于错误操作引发了事故，后续可以根据操作命令日志、登录日志、审计日志等，排查定位事故原因，进而加强操作管理。
[0094]
在本实施例中，还可预先进行审计页面的配置，在审计操作时，可显示预先配置的审计页面，将从数据库调取的登录日志和操作命令日志展示在审计页面。如此，基于审计页面进行登录日志和操作命令日志的展示，可供管理人员进行查看并审核，以便能够及时发现非法用户和非法操作等。
[0095]
本申请实施例还提供一种应用于管理系统的登录操作信息管理方法，该管理系统即为包含上述通信连接的本地服务器10和中心服务器20的通信系统。请参阅图5，为应用于管理系统的登录操作信息管理方法的流程示意图，请结合参阅图5和图6，以对该登录操作信息管理方法包括的各个步骤进行介绍。
[0096]
步骤s410，各所述linux服务器在检测到登录操作时，运行预先配置的配置脚本以记录所述登录操作下的登录信息，根据所述登录信息生成登录日志并写入本地日志系统；
[0097]
步骤s420，各所述linux服务器在检测到执行操作命令时，通过预先配置的解析器基于所述执行操作命令生成操作命令日志并写入本地日志系统；
[0098]
步骤s430，各所述linux服务器将本地日志系统中存储的登录日志和操作命令日志发送至中心服务器20；
[0099]
步骤s440，中心服务器20在接收到登录日志和操作命令日志后，调用预先配置的日志处理脚本以将登录日志和操作命令日志写入数据库中；
[0100]
步骤s450，中心服务器20显示预先配置的审计页面，从数据库中调取登录日志和操作命令日志展示在审计页面；
[0101]
步骤s460，中心服务器20基于登录日志和操作命令日志获得审计结果，基于审计结果生成审计日志并存储。
[0102]
通过上述方式，对linux服务器进行配置脚本和解析器的重新编译以实现登录日志和操作命令日志的记录，并对中心服务器20进行日志处理脚本的配置，以实现登录日志和操作命令日志的审计操作。记录和审计操作对用户而言透明无感知，且无需改变常规运维操作系统的情况下增加记录和审计。
[0103]
请参阅图7，为本申请实施例提供的电子设备的示例性组件示意图。该电子设备可为上述的本地服务器10或中心服务器20，该电子设备可包括存储介质110、处理器120、机器可执行指令130(该机器可执行指令130可以为应用于本地服务器10的登录操作信息管理装置，或者应用于中心服务器20的登录操作信息管理装置)及通信接口140。本实施例中，存储介质110与处理器120均位于电子设备中且二者分离设置。然而，应当理解的是，存储介质110也可以是独立于电子设备之外，且可以由处理器120通过总线接口来访问。可替换地，存
储介质110也可以集成到处理器120中，例如，可以是高速缓存和/或通用寄存器。
[0104]
机器可执行指令130可以理解为上述电子设备，或电子设备的处理器120，也可以理解为独立于上述电子设备或处理器120之外的在电子设备控制下实现上述登录操作信息管理方法的软件功能模块。
[0105]
如图8所示，上述应用于本地服务器10的登录操作信息管理装置可以包括记录模块1311、生成模块1312和发送模块1313。下面分别对登录操作信息管理装置的各个功能模块的功能进行详细阐述。
[0106]
记录模块1311，用于在检测到登录操作时，运行预先设置的配置脚本以记录所述登录操作下的登录信息，根据所述登录信息生成登录日志并写入本地日志系统。
[0107]
可以理解，该记录模块1311可以用于执行上述步骤s110，关于该记录模块1311的详细实现方式可以参照上述对步骤s110有关的内容。
[0108]
生成模块1312，用于在检测到执行操作命令时，通过预先配置的解析器基于所述执行操作命令生成操作命令日志并写入本地日志系统。
[0109]
可以理解，该生成模块1312可以用于执行上述步骤s120，关于该生成模块1312的详细实现方式可以参照上述对步骤s120有关的内容。
[0110]
发送模块1313，用于将所述登录日志和所述操作命令日志发送至中心服务器20，以使所述中心服务器20将所述登录日志和所述操作命令日志存入数据库以供审计操作。
[0111]
可以理解，该发送模块1313可以用于执行上述步骤s130，关于该发送模块1313的详细实现方式可以参照上述对步骤s130有关的内容。
[0112]
在一种可能的实现方式中，上述的登录操作信息管理装置还包括用于预先进行配置脚本设置的设置模块，该设置模块用于：
[0113]
在系统指定目录中增加自定义脚本文件，所述自定义脚本文件中包含立即执行函数。
[0114]
在一种可能的实现方式中，上述的登录操作信息管理装置还包括用于预先解析器配置的配置模块，该配置模块用于：
[0115]
通过原始解析器开启指定编译选项；
[0116]
在所述指定编译选项对应的脚本中执行自定义命令以重新编译所述原始解析器；
[0117]
利用重新编译后得到的解析器替换所述原始解析器。
[0118]
在一种可能的实现方式中，所述登录信息至少包括登录用户名、登录源id及登录时间。
[0119]
在一种可能的实现方式中，上述发送模块1313用于通过以下方式进行日志的发送：
[0120]
运行本地日志系统中的配置文件，通过所述配置文件预先添加的转发功能命令将所述登录日志和所述操作命令日志转发至中心服务器20。
[0121]
如图9所示，上述应用于中心服务器20的登录操作信息管理装置可以包括写入模块1321和审计模块1322。下面分别对登录操作信息管理装置的各个功能模块的功能进行详细阐述。
[0122]
写入模块1321，用于在接收到linux服务器发送的登录日志和操作命令日志时，调用预先配置的日志处理脚本以将所述登录日志和所述操作命令日志写入数据库中。
[0123]
可以理解，该写入模块1321可以用于执行上述步骤s310，关于该写入模块1321的详细实现方式可以参照上述对步骤s310有关的内容。
[0124]
审计模块1322，用于从所述数据库中调取存储的登录日志和操作命令日志，对所述登录日志和操作命令日志进行审计得到审计结果。
[0125]
可以理解，该审计模块1322可以用于执行上述步骤s320，关于该审计模块1322的详细实现方式可以参照上述对步骤s320有关的内容。
[0126]
在一种可能的实现方式中，上述登录操作信息管理装置还可包括显示模块，该显示模块用于：
[0127]
显示预先配置的审计页面，将从所述数据库调取的登录日志和操作命令日志展示在所述审计页面。
[0128]
在一种可能的实现方式中，所述审计模块1322用于通过以下方式得到审计结果：
[0129]
检测所述登录日志中包含的登录源ip是否与预设ip集合中的任一ip匹配，若不匹配，则生成表征非法登录的提示信息；
[0130]
检测所述操作命令日志中是否包含删除系统中指定文件的操作，若包含，则生成表征非法操作的提示信息。
[0131]
关于装置中的各模块的处理流程、以及各模块之间的交互流程的描述可以参照上述方法实施例中的相关说明，这里不再详述。
[0132]
本申请实施例提供的登录操作信息管理方法和装置，在实现登录操作信息管理时，在检测到登录操作时，通过预先设置的配置脚本以记录登录操作下的登录信息，根据登录信息生成登录日志并写入本地日志系统，且在检测到执行操作命令时，通过预先配置的解析器基于执行操作命令生成操作命令日志并写入本地日志系统。最后，将登录日志和操作命令日志发送至中心服务器20，以使中心服务器20将登录日志和操作命令日志存入数据库以供审计操作。该方案中，通过预先生成配置脚本和重新配置解析器的方式，无需改变原有服务器的登录和操作模式、无需额外增加中间层的情形下，可直接得到登录日志和操作命令日志，避免了由于额外增加中间层造成的用户感知而导致的用户体验不佳的问题。
[0133]
以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。