专利名称:处理审计记录的系统和方法
技术领域:
本发明涉及一种用于处理记录的系统和方法,并且更特别地涉及一种用于处理审计记录的系统和方法。
背景技术:
保健机构典型地支持产生涉及安全和/或保健的审计的多个应用。为了监控应用的合适使用,管理者或审计员的任务是将由单个储存库中的多个应用所产生的审计记录收集在一起,以对这些审计记录进行观察或报告。收集审计记录和对聚集的数据做出合适分析的困难之一在于,在一些非集中式系统中,在机器上收集审计记录,在所述机器上,不利用适当地用于将本地收集的记录转移至单个储存库的机制来产生这些审计记录。在收集审计记录和对聚集的数据做出合适分析中遇到的另一个困难在于,即使在相同的机器上,仍将不同的应用写到不同的储存库。因此,通过分批处理机制来完成审计记录从不同的储存库到一个中央储存库的任何聚集,所述分批处理机制不同于收集记录的系统。在这种情况中,审计员无法肯定,重要的审计事件将要送交给中央储存库。
对于并不写到中央储存库的那些系统(也就是非集中式系统),审计员需要人工检查多个本地储存库,这使得聚集的数据的合适分析困难或不可能。对于写到中央储存库的那些系统(也就是集中式系统),如果网络变得不可用,则不能收集审计记录。任一类型(集中式或非集中式)的现有保健系统无法保证将记录送交给中央储存库。任一类型(集中式或非集中式)的当今系统的另一缺陷是安全和保健审计数据与诸如诊断和登录信息的非审计信息的共同混合。
发明概述因此,期望提供一种系统和方法,该系统和方法从多个来源收集涉及保健和安全的审计记录并将这些审计记录路由到中央审计记录储存库,以对这些审计记录进行观察和报告。此外,为了确保不丢失重要的审计事件,该系统和方法需要利用政策限定来保证将被认为重要的审计记录送交给中央审计记录储存库。
通过提供审计跟踪系统和方法,本发明克服了现有技术的上面提及的和其他的缺陷,该审计跟踪系统和方法用于聚集源自不同系统上的不同应用的不同格式的涉及保健和安全的审计记录,并将这些审计记录路由到中央审计记录储存库,以允许审计员有效地监控被审计的应用。通过存储转发机制在路线中的每一“路程段(hop)”处来保证审计记录的送交,该路线是从记录创建到最后存储在中央审计记录储存库中。策略限定的适当使用允许审计跟踪系统选择性地收集与特定位置处的审计员相关的那些审计记录,从而使得数据分析更容易并降低存储和分析数据的成本。
本发明的某些示例性实施例提供了一种用于处理审计记录的系统,该系统包括采集处理器,用于采集包括表示特定类型的审计记录的数据的消息数据。审计数据处理器用于创建接收到的审计记录的副本,响应于确定审计记录处理要求的预定配置信息来将表示接收到的审计记录的数据传送到目的地,接收指示确认目的地已经成功接收到所传送的审计记录的消息数据,以及响应于无法接收到确认来将接收到的审计记录的副本重新传送到所指示的目的地。
附图简述通过下面的详细说明和附图可以更好地理解多个可能的实施例,其中;
图1是其中可以实施本发明的系统1000的示例性实施例的框图;图2是根据一个实施例处理审计数据的方法2000的示例性实施例的流程图;图3是示例性审计记录消息3000的图解说明;以及图4是策略管理屏幕4000的图解说明,该策略管理屏幕4000根据一个实施例允许管理者添加、删除或修改现有的审计策略。
定义当在此使用下面的术语时,应用随附的定义客户机-在其上运行的信息装置和/或过程,该信息装置和/或过程使用某类协议请求在其(“服务器”)上运行的另一信息装置或过程的业务并接收服务器的响应。客户机是客户机服务器软件体系结构的部分。例如,请求来自文件服务器的文件的内容的计算机是文件服务器的客户机。
数据库-一个或多个所构造的持久数据集合,通常与更新或查询数据的软件相关联。简单的数据库可以是包括多个记录的单个文件,其中各个记录利用相同的字段组。数据库可以包括映射,其中根据各种因素来组织各种标识符,这些因素诸如标识、物理位置、网络上的位置、功能等可执行应用-代码或机器可读指令,用于例如响应于用户命令或输入来实施包括那些操作系统、保健信息系统或其它信息处理系统的预定功能。
可执行程序-代码(机器可读指令)段、子程序、或代码的其它各别部分或可执行应用的部分,用于执行一个或多个特定过程,并且可以包括对接收到的输入参数(或响应于接收到的输入参数)执行操作以及提供得到的输出参数。
HIPAA-1996年的健康保险流通与责任法案(Health InsurancePortability and Accountability Act),包括其任何修正或后继方案。
信息-数据网络-两个或多个信息装置的耦合,用于共享资源(诸如打印机或CD-ROM)、交换文件或允许其之间的电子通信。网络上的信息装置经由各种有线或无线介质可被物理和/或通信耦合,该介质诸如电缆、电话线、电源线、光纤、无线电波、微波、超宽带波、光束等。
处理器-如在此所使用的处理器是用于执行任务的机器可读指令的装置和/或集合。如在此所使用的那样,处理器包括硬件、固件和/或软件中的任何一种或组合。处理器通过操纵、分析、修改、转换或传送信息来对信息起作用,以用于由可执行程序或信息装置使用,和/或通过将信息路由到输出装置来对信息起作用。处理器可以使用或包括控制器或微处理器的能力。
储存库-存储器和/或数据库对象-如在此使用的那样,包括一组数据、可执行指令或两者的组合,或可执行程序。
患者-被安排在某时间进行保健、已被许可进行保健、或已接收保健的人。
服务器-信息装置和/或软件,其经由网络提供用于其它所连接的信息装置的一些业务。
用户接口-工具和/或装置,用于给用户者提供信息和/或从用户请求信息。用户接口包括文本元素、图形元素、音频元素、视频元素、动画元素和/或触觉元素中的至少一种。
详细说明在优选实施例中,在此描述一种系统,用于将源自不同系统上的不同应用的不同格式的涉及保健和安全的审计记录聚集到用于统一报告保健应用和系统上的审计事件的中央审计记录储存库中,以用于横越的,审计员分析来有效地监控被审计或作为历史纪录的应用。
当在此在其中多个审计保健应用创建审计记录的保健企业网站的环境中描述该系统时,通过例子对这种情况进行讨论。本领域的熟练技术人员将理解,该系统提供对期望审计数据并具有在中央储存库中所收集的审计记录的任何应用的解决方案。也就是,该系统可用于处理和存储指示与特定用户初始化在对象上所执行的动作相关联的事件的审计记录,所述对象诸如是数据项或多个数据项、动作或可执行程序。
在保健企业网站的环境中,该系统提供把敏感动作追溯到做出这些敏感动作的个体的跟踪能力。这些敏感动作可以是涉及安全的(如注册到该系统)或者是涉及保健的(如医生修改病历)。在任一情况下,HIPP AA规则要求,产生、存储动作的持久记录,并使该持久记录在其使用期是机密的。除了提供对之前所提及的要求的解决方案之外,认识到,大多数(否则所有)应用具有要求审计的敏感动作。如果从这些应用所产生的审计记录已被写到独立的、不同的数据存储,则该系统对于管理者是困难的并且难以审计。因此,该系统将来自多个应用的审计记录(不考虑其敏感度)写到中央储存库,在该中央储存库中能容易地对这些审计记录进行观察和管理。
在此所述的系统优选地被实现为平台独立的Java实现方案。然而,利用其他熟知的实现方案可以各种实施例来实现该系统,诸如用C++来实现该系统。如在此所述的可执行应用是被存储在运行Windows2000、S390上的Linux和Solaris的任何合适的计算机上的主存储器和辅助存储器内的计算机程序(也被称为计算机控制逻辑)。当执行时,这些计算机程序允许处理器执行本发明的特征。利用市场上可买到的研发工具,程序设计员可实现如在此所述的系统。明显地,当技术改变时,其他计算机和/或操作系统在将来可以是优选的。
除了上面所述的特征,该系统提供超过现有技术系统的多个特定特征和优点,这些特征和优点包括但不限于将审计数据收集到中央审计记录储存库中;保证将审计跟踪记录送交给中央审计记录储存库;确保将审计记录送交给中央审计记录储存库一次;中央审计记录储存库中的审计记录的持续,直至如通过相关管理要求和/或用户管理者指定的那样不再需要这些审计记录;确保没有审计记录丢失;确保审计记录在其使用期的完整性和机密性;基于策略的审计记录过滤的使用,以消除将不想要和无关数据收集到中央储存库中,这减小存储和传输成本并使所收集的数据较容易分析;统一报告应用和系统上的可审计的事件;使相关审计数据可用于分析;在传输期间对审计数据进行加密,以避免未授权观察敏感的审计数据;数字标记的数据,以确保在传输期间不窜改敏感的审计数据;将数据从(源应用所提供的)初始审计数据记录格式翻译成中央审计记录储存库所要求的格式,从而确保系统支持新的记录格式,而无须为了适应新的记录格式而改变系统配置;定制配置系统来选择性地记录或不记录,策略目录上的某些类型的审计记录被包括为系统的部分;到单个工作站的企业;以及整个规格上的成本效用。
该系统能够接受由第三方部件经由标准协议产生的标准兼容审计记录。更特别地,该系统能够接受符合通过各种标准组织公布的标准的审计记录,这些标准组织诸如IHE(综合保健环境协会(IntegratedHealthcare Environment consortium))。该IHE公布其标准的多个版本,也就是“年度(year)4”审计记录标准和“年度6”审计记录标准。该系统能够接受根据IHE年度4和年度6标准的审计记录。该系统也支持用于在如标准组织所定义的审计系统之间的网络传输的机制、诸如用于在系统之间传送审计记录的“secure syslog”标准。该系统支持“secure syslog”的目前的和未来的版本作为其传输协议。
图1是其中可以实现本发明的系统1000的框图。系统1000包括一个或多个工作站1200(为了简明示出两个)。该工作站1200可以包括产生由事件信息构成的审计记录10的一个或者多个应用210(为了简明与工作站1200相关联地示出两个)。产生审计记录的一些典型应用210的例子包括但不限于验证用户已输入正确口令的应用。这种应用可以审计无效的口令尝试。另一例子是允许医生给患者开被管理的药物。这种应用可以审计受控物质的药方。还有另外的例子是允许用户定购设备和供给的应用。这种应用可以审计超过某一美元数量的定单。
在使用中,应用210产生包含事件信息的审计记录10。事件信息与初始化在对象上所执行的动作的特定用户相关联,所述对象诸如一个或多个数据项、动作或可执行程序。审计记录客户机212接收通过应用210所产生的审计记录10,该审计记录客户机212作为通过应用210可随时支付的一组公共应用编程接口(API)对本发明的系统的主接口。审计记录客户机212将信息增加到审计记录10。所增加的信息在此称为“审计记录包络(envelope)”。被增加到审计记录10的信息包括下列信息中的至少两个标识所述审计记录的类型的记录类型标识符,记录数据格式标识符,标识与所述审计记录相关联的时间和日期的时间和日期标识符,和用于标识所述接收到的审计记录要被传送到其的目的地的信息。数据格式标识符被用于选择程序,以用于处理表示适用于到中央数据储存库252的传送的所述审计记录的数据,或处理表示适用于到中央数据储存库252的传送的审计记录10的数据。
结合审计记录包络的审计记录10包括在此被称为“审计记录消息”12。审计记录消息12被存储在工作站1200的本地审计记录队列213中,直至通过审计收集器代理214将这些审计记录消息12转发到路线中的下一“路程段”(也就是服务器1600)的审计收集器目的地218。审计记录消息12的副本被保持在本地审计记录队列213中,同时将另一副本传输到路线中的下一“路程段”的审计收集器目的地218。在路线中的下一“路程段”的审计收集器目的地218提供其已经接收到整个审计记录消息12的肯定确认以及已在目的地的本地审计记录队列220中复制审计记录消息12之后,发送‘路程段’可以安全地删除其审计记录消息12的所存储的副本。如果审计记录消息12被传输到另一机器上的目的地,并且没有接收到确认,则发送系统上的审计收集器代理214、222将重新开始该过程。特别地,审计收集器代理214、222建立与目的地的通信,转移记录,并等待确认。在实践中,审计收集器代理具有对在放弃和写入/发送指示目的地好像是永久不可用或非功能性的错误消息之前它试图进行多少次的限制。
根据“存储转发”协议继续这种代理-目的地交互作用,直至审计记录消息12到达服务器1800的集中式审计记录储存库252。在将审计记录10存储到中央审计记录储存库252中之前,在路线中的最后“路程段”(例如服务器1700)处,出现反向的过程,从而拆析审计记录消息12(也就是去除包络),以提取用于存储于集中式审计记录储存库中的审计记录10。
在图1的系统1000中,根据“存储转发”协议,工作站1200和服务器1600以及1700表示从审计记录创建到最后存储在审计记录储存库252中的路线中的“路程段”。路线中的“路程段”包括审计收集器代理、本地审计记录队列和审计收集器目的地。需要注意的是,在第一和最后‘路程段’出现微小变化,参照表I在下面进行描述。
在路线中的每一‘路程段’处,实现存储转发协议。特别地,通过(当前‘路程段’的)本地审计收集器目的地,将从路线中的前一‘路程段’的审计收集器代理接收到的审计记录消息12写到(当前‘路程段’的)本地审计记录收集器队列。通过被发送到路线中的下一路程段的审计收集器目的地的(当前‘路程段’的)审计收集器代理,此后从本地审计记录收集器队列异步读取被写到(当前‘路程段’的)本地审计记录收集器队列的审计记录消息。
提供表I来图解说明路线中的中间‘路程段’(例如服务器1600)与第一和最后‘路程段’(工作站1200和服务器1700)之间的区别。应理解,当系统1000图解说明单个中间节点时,如需要可采用多个中间节点。
表I
注意1对于路线的第一“路程段”,也就是应用210作用就象审计收集器代理,其中应用210将审计记录发送或“转发”到系统1000中。然而,不是如在此所限定的“审计收集器代理”(例如审计收集器代理214)。
注意2对于路线中的第一“路程段”,也就是1200,审计记录客户机212作用就像传统的“审计收集器目的地”,其中该审计记录客户机212将审计记录10写到本地审计记录队列213。然而,审计记录客户机212可与传统的“审计收集器目的地”区别开来,因为传统的审计收集器目的地被实施为集中式业务,所述集中式业务经由网络连接被耦合到服务器1600。审计记录客户机212并不要求网络连接,并替代地为了增加的可靠性而本地写入审计记录10。通过将审计记录客户机212直接耦合到本地审计记录队列来实现本地写入记录。直接耦合防止由网络故障引起的任何潜在问题的发生。
进一步需要注意的是当路线中的“路程段”包括本地审计记录队列(例如队列213、220、228)时,路线中的第一和最后“路程段”(也就是工作站1200和服务器1700)具有特定的考虑,因为它们与系统外的部件连接。特别地,工作站1200连接各种应用210,并且服务器1700连接审计记录储存库252。
进一步需要注意的是审计记录储存库252(不是本发明的系统的元件)优选地被实现为任何公知的数据库管理系统,但也可以另外被实现为任何公知的存储装置。
如上面简略讨论的那样,审计收集器目的地(例如目的地218)是集中式业务,所述集中式业务从与一个或多个工作站1200相关联的各种应用210的收集器代理接收审计记录10,并且所述集中式业务确保基于来自配置子系统223的配置信息来将审计记录10写到审计记录储存库252。审计收集器目的地被配置来将审计记录10写到本地审计记录队列(例如队列220),以用于存储,直至送交给下一审计收集器代理,或根据“存储转发”协议已经确认审计记录储存库252。
审计收集器目的地是支持两种不同的目的地类型的抽象接口,这取决于被包含在配置子系统223中的配置信息。两种不同的目的地类型包括转移目的地类型和解包器目的地类型。对于转移目的地类型,通过转移目的地代理类型来接收审计记录10。转移目的地代理类型(例如转移未接触到审计收集器队列的审计记录10。对于解包器目的地类型,如果必需,审计记录10首先提取和解密审计记录,然后动态例示审计储存库解包器,并将审计记录10转到解包器224。解包器224负责将审计记录10最后布置在审计记录储存库252中。图1图解说明了转移目的地代理类型218(被示为服务器1600的部件)以及解包器目的地类型226(被示为服务器1700的部件)。在某些实施例中,解包器目的地类型226可被实现为审计记录储存库252的一部分。
描述可被利用的不同类型的解包器在该点处是指导性的。该系统的一个特征在于它是可延伸的,意味着支持审计记录的多于一个的格式。例如,存在通过IHE(标准体)指定的中间审计记录方案(被称为“IHE年度4方案”)和最后审计记录方案(被称为“IHE年度6方案”)。由于记录格式是不同的,所以采用不同的解包逻辑,以提取审计记录信息并将该审计记录信息写到审计记录储存库252。解包器查询记录消息包络来确定格式并调用“合适的”解包器(理解该信息的解包器)。因此,存在针对IHE年度4和年度6方案的独立解包器。给出确定的格式,该解包器查询配置系统223来确定“合适的”解包器,并调用那个解包器。如果引入新的格式(例如假设的IHE年度8),则新的解包器被写入并与配置系统223中的新的录入项一起被增加到系统,以允许其被调用。
继续参照图1,工作站1200经由通信网络(LAN)40被耦合到“时间业务”服务器1400,所述“时间业务”服务器1400包括时间业务部件1410和“策略目录”服务器1500,所述“策略目录”服务器1500包括审计策略目录230和审计策略管理模块232。该“时间业务”服务器1400和“策略目录”服务器1500充当与工作站1200有客户机-服务器关系的服务器,如图1中所示。然而,在某些实施例中,“时间业务”服务器1400和“策略目录”服务器1500也可以组成被包括在工作站1200中的不同部件。
通过提供针对时间采样审计记录10的可信时间源(trusted timesource),该“时间业务”服务器1400支持该系统。该“时间业务”服务器1400包括时间业务部件1410,以可靠地以UTC格式提供当前时间。多个应用210和审计记录客户机212使用时间业务部件1410作为时间戳的授权源或作为周期检查,以确保本地时间和授权时间之间的差在如配置部件223内所指定的限度内。需要注意,时间业务供应是可选的,并且在其中本地服务器时间是可靠的那些情况下没有被要求。
“策略目录”服务器1500包括审计策略目录部件230和审计策略管理模块232,通过工作站1200的审计记录客户机212来呼叫所述审计策略目录部件230和审计策略管理模块232,以确定通过该系统创建和存储哪些审计记录10。审计策略目录230被配置来在审计记录创建和坐标策略管理之前执行策略检查。实现不同的策略,这些策略取决于法律条例和企业或部门战略。该策略描述了在其下出现审计产生的情况。通过将所产生的审计记录10映射到特定的审计策略来执行策略检查。被包括在审计策略目录230内的策略以两个状态(允许和禁止)中的一个存在。在其中允许策略的情况下,收集被包括在该策略中的审计记录类型。相反,在其中禁止策略的情况下,不收集并废弃被包括在策略中的记录类型。
在某些示例性实施例中,被存储在审计策略目录部件230中的策略可以包括数据保持时间,不管特定类型的审计记录10是否被传送到目的地,并且不管是否获取特定类型的审计记录10,该数据保持时间是要被保持在中央审计记录储存库252中的策略目录中所包括的类型的时间审计记录的最小量。
可以理解,对被包括在审计记录策略内的审计记录类型的数量不存在限制。此外,可以多于一个审计记录策略地包括审计记录类型。如果审计记录类型出现在多个审计记录策略中,则收集该审计记录类型,如果至少一个审计记录策略出现,则它是允许的。如果审计记录类型并不出现在任何审计记录策略中,则决不收集该记录类型。
继续参照图1,系统100进一步包括远程服务器1600、1700和1800。在某些实施例中,该远程服务器1600、1700、1800可被配置为本地的或远程的,则取决于主要涉及网络带宽要求和成本的多个因素。
远程服务器1600包括本地审计收集器目的地218、本地审计记录队列220、本地审计收集器代理222和配置子系统223。通过提供关于系统的必需子部件的位置的信息,配置子系统223支持该系统。作为配置子系统223可以接受具有名称值对的静态文件(诸如Windows INI文件)。审计收集器代理222负责将审计记录消息12发送到路线中的下一“路程段”(例如服务器1700)。审计收集器目的地218负责从路线中的前一“路程段”(例如工作站1200)的审计收集器代理214接收到审计记录消息12。本地审计记录队列220存储审计记录消息12,直至可将所述审计记录消息12转发到路线中的下一“路程段”(也就是服务器1700)。
远程服务器1700包括本地审计收集器目的地226、本地审计记录收集器队列228和解包器224。需要注意,因为远程服务器1700存在于系统的边界(也就是在存储审计记录10之前的最后转发器)上,不要求如通过其他“路程段”所要求的审计收集器代理。类似地,因为工作站1200存在于系统的边界(也就是在审计记录10的第一转发器)上,不要求如适用其他“路程段”的审计收集器目的地。服务器1700的解包器224以与审计收集器代理相同的方式从本地审计记录收集器队列228读取。此外,还将审计记录10写到服务器1800的审计记录储存库252。在解包器224将审计记录10写到审计记录储存库252之前,该解包器224呼叫专用于事件信息的格式的例行程序,以从审计记录消息12中“解包”事件信息,如上面所讨论的那样。需要注意,解包操作是通过应用210所执行的反向操作,所述应用210将事件信息“打包”到审计记录10中。
远程服务器1800包括集中式审计记录储存库(数据库)252,其中最终永久存储审计记录10。储存库252阻止对所存储的审计记录10的未授权访问并确保在存储这些审计记录10之后不修改这些审计记录10。储存库252也负责根据如在服务器1500的审计策略目录230中所定义的系统策略来存档和清除审计记录。
应注意,在可替换的实施例中,预期采用多个数据储存库来适应不同的记录类型。例如,多个数据储存库可被用来将侵入窃密检测记录存储在一个储存库中并将管理的审计记录存储在另一储存库中。也可以理解,多个数据储存库的使用不限于通过记录类型来存储并且可以根据应用的需要取决于其他标准。
图2是用于处理审计记录的本发明的方法2000的示例性实施例的流程图。
在动作205,应用210在工作站1200创建涉及安全和/或保健的审计记录10。审计记录10被配置为包括对应于单个可审计事件的数据的标准数据结构。特别地,审计记录10由用来分类记录的审计记录“类型”、格式标识符、必须用来将审计记录10路由到审计记录储存库252的时间戳和配置信息构成。
在动作210,工作站1200的审计记录客户机212查询驻留在服务器1500处的审计策略目录230,以确定是否允许审计记录“类型”。被包括在审计策略目录230内的策略以两个状态(允许或禁止)之一存在。在其中允许策略的情况下,收集被包括在策略中的审计记录类型。相反地,在其中禁止策略的情况下,不收集被包括在策略中的记录类型。
在动作215,确定是否允许或禁止该审计记录类型。
在动作220,基于禁止该审计记录类型的动作215处的确定来废弃该审计记录10。
在动作225,审计记录客户机212将“成功”指示符返回到产生审计记录的应用210,所述审计记录指示已经废弃该审计记录。过程返回到动作205,以处理下一审计记录。
在动作230,审计记录客户机212查询时间业务服务器1400的时间业务模块1410来检索准确时间。
在动作235,审计记录客户机212建立审计记录消息包络,以封装审计记录10并创建审计记录消息12。审计记录消息12被创建来包括系统所需要的附加信息(诸如用于存储审计记录10的审计记录储存库252的位置)。该附加信息也可例如包括为其产生审计记录10的用户的标识。审计记录消息包络需要包括使审计记录10到达审计记录储存库252所必需的信息以及被认为必需的任何诊断信息(也就是例如建立日期和时间包络)。这种信息被存储在配置子系统223(被示为服务器1600的部件)中。从配置子系统223中检索到与系统有关的附加信息,并将该附加信息增加到被称作“包络”的机制中的审计记录10。该附加信息与审计记录10放在一起,同时该附加信息在系统1000内被存储和转发。在将审计记录10存储在审计记录储存库252中之前,从审计记录消息12中去除“包络”,并将审计记录10恢复到其初始状态。
审计记录“包络”包括指示审计记录10中的数据格式的格式标识符和审计记录被送交给其的审计记录储存库的标识符。被示为远程服务器1700的部件的解包器224使用格式标识符和审计记录储存库252的标识符来查询配置子系统223,以标识要被使用的合适的解包器。这在路线中的最后“路程段”处被执行,下面进行描述。
在动作240,审计记录客户机212加密审计记录消息12。
在动作245,审计记录客户机212数字标记审计记录消息12。
应注意,在动作250至275,执行上面所述的存储转发机制。针对与网络中可存在的“路程段”一样多的中间“路程段”重复这些动作。
在动作250,审计记录消息12通过工作站1200的本地审计收集器代理214被发送到路线中的下一“路程段”(例如服务器1600)的审计收集器目的地218。
在动作260,从服务器1600的本地审计收集器目的地218将审计记录消息12写到服务器1600的本地审计记录收集器队列220。
在动作265,从工作站1200的审计收集器代理214向应用210返回发送“成功”指示,该应用210产生指示成功处理审计记录10的事件。
在动作270,服务器1600的本地审计收集器代理222异步读取被存储在服务器1600的本地审计记录收集器队列220中的审计记录消息12。
在动作275,服务器1600的本地审计收集器代理222将审计记录消息12发送到与路线中的下一“路程段”(例如服务器1700)相关联的审计收集器目的地。
在动作280,前一“路程段”的审计收集器代理222删除审计记录消息12。
在动作285,审计记录消息12被写到服务器1700的本地审计记录队列228。
在动作290,在审计收集器代理的能力方面作用的解包器224从服务器1700的本地审计记录队列228中读取审计记录消息12。服务器1700表示路线中的最后“路程段”。在过程中的该点,审计记录消息12从本发明的系统移至外部系统。服务器1700存在于系统的边界上。这样,该服务器1700不采用审计收集代理和在其位置上利用解包器224。
在动作295,从审计记录消息12中提取审计记录10。
在动作300,验证所提取的审计记录10的数字标记。
在动作305,解密审计记录10。
在动作310,针对所提取的审计记录10的记录类型而从配置子系统223中读取解包器信息。
在动作315,加载合适的解包器例行程序。
在动作320,解包器224解包审计记录10。
在动作325,通过解包器224将审计记录10写到服务器1800的审计记录储存库252。
在动作330,前一“路程段”(也就是服务器1600)的审计收集器代理222删除审计记录10。
在动作335,通过解包器24将审计记录10写到审计记录储存库252。
在动作340,前一“路程段”的审计收集器代理222删除审计记录10。
图3是示例性审计记录消息3000的图解说明。第1行包括标准XML标题。第2-4行和第33行上所示出的“satevent”标记包括审计记录消息。换句话说,XML(其是采样记录的格式)的语法限定开始标记和结束标记。标记指的是开始和结束之间的所有事物。结束标记类似于开始标记,除了在开始处存在“/”。satevent标记因此涉及并包括第2行(开始标记)至第33行(结束标记)之间并包括第33行在内的所有事物。该satevent具有描述系统的版本的特性和针对审计记录消息12的唯一标识符。在第5行和第11行上所示出的“satcontext”标记包括调配专用的配置信息。该配置信息允许系统合适地路由和存储审计记录10。特别地,“satrepository”标记规定必需绑定到审计记录储存库252的信息。在第12行和第32行上所示出的“satmessage”标记包括实际审计的信息。该标记包括用以描述所包括的审计的格式(该“格式=”特性)和事件的ID(该“事件=”特性)的特性。也存在用于描述底层的审计记录的长度的特性。
图4图解说明了策略管理屏幕4000的一个实施例,所述策略管理屏幕4000图解说明了示例性的用户接口(UI)屏幕,以允许管理者增加、删除或修改现有的审计策略。在该示例性实施例中,策略管理屏幕4000被提供为MicroSoft WindowTM-类型显示器,作为主策略管理屏幕。如所示出的那样,在策略管理屏幕4000的左手侧上的窗口302中示出现有策略(例如策略d、e和f),并且当前所选择的策略(策略“e”)被示为允许的并在策略管理屏幕4000的右手侧上的窗口304中中包括三个事件(a、b和c)。管理者可以指定关于策略的附加信息,该附加信息包括在策略管理屏幕4000的下部中所示出的针对策略的保持时间306。需要注意,保持时间可被规定为“永久”(从不被清除),或经由下拉菜单307被规定为以天为单位的“指定时间”。策略管理屏幕4000也包括均在策略管理屏幕4000的上部中所示出的策略名称308和策略说明310入口箱。
尽管已参照其特定实施例描述了本发明,仍可以理解大量变型、修改和附加的实施例是可能的,并且因此,所以这种变型、修改和实施例被认为在本发明的精神和范围内。因此,附图和说明书被认为实质上是描述性的而非局限性的。
权利要求
1.一种用于处理审计记录的系统,所述审计记录指示与初始化在特定对象上所执行的动作的特定用户相关联的事件,该系统包括采集处理器,用于采集包括表示特定类型的审计记录的数据的消息数据;审计数据处理器,用于创建所述接收到的审计记录的副本,响应于确定审计记录处理要求的预定配置信息,将表示所述接收到的审计记录的数据传送到目的地,接收指示确认所述目的地已经成功接收到所述所传送的审计记录的消息数据,以及响应于无法接收到确认,将所述接收到的审计记录的副本重新传送到所述所指示的目的地。
2.根据权利要求1所述的系统,其中响应于接收确认所述目的地已经成功接收到所述所传送的审计记录,所述审计数据处理器删除所述所创建的所述接收到的审计记录的副本。
3.一种用于处理审计记录的系统,所述审计记录指示与初始化在特定对象上所执行的动作的特定用户相关联的事件,该系统包括采集处理器,用于采集包括表示特定类型的审计记录的数据的消息数据;指示特定类型的审计记录是否被传送到目的地的信息的储存库;以及审计数据处理器,用于创建所述接收到的审计记录的副本,响应于所述储存库中的所述信息,将表示所述接收到的审计记录的数据传送到目的地,接收指示所述目的地已经成功接收到表示所述审计记录的所述所传送的数据的确认消息,以及响应于无法接收到确认,将表示所述接收到的审计记录的副本的数据重新传送到所述所指示的目的地。
4.根据权利要求3所述的系统,其中响应于接收确认所述目的地已经成功接收到所述所传送的审计记录,所述审计数据处理器删除所述所创建的所述接收到的审计记录的副本,以及在所述传送和重新传送步骤中,所述审计数据处理器分别将表示以下信息中的至少一个的数据传送和重新传送到所述目的地(a)所述接收到的审计记录的副本和(b)所述接收到的审计记录的原始版本。
5.根据权利要求3所述的系统,其中所述特定对象包括(a)数据项、(b)多个数据项、(c)动作和(d)可执行程序中的至少一种。
6.根据权利要求3所述的系统,其中所述消息数据包括表示所述审计记录的数据,所述审计记录包括以下信息中的至少两种(a)标识所述审计记录的类型的记录类型标识符,(b)记录数据格式标识符,(c)标识与所述审计记录相关联的时间和日期的时间和日期标识符,以及(d)用于标识所述接收到的审计记录要被传送到其的目的地的信息。
7.根据权利要求3所述的系统,其中所述储存库中的所述信息指示包括以下情况中的至少一种的规则(a)特定类型的审计记录是否要被传送到目的地,(b)特定类型的审计记录是否要被采集,以及(c)特定类型的审计记录的保持要求,以及所述储存库中的所述信息包括针对多个不同的审计记录类型的规则。
8.根据权利要求3所述的系统,其中所述审计数据处理器加密表示审计记录的数据并将所加密的审计记录数据传送到目的地。
9.一种用于处理审计记录的系统,所述审计记录指示与初始化在特定对象上所执行的动作的特定用户相关联的事件,该系统包括采集处理器,用于接收包括表示审计记录的数据的消息数据;审计数据处理器,用于,从所述接收到的消息数据提取指示所述审计记录的数据格式的数据格式标识符,和指示目的地储存库的标识符,用于保持所述审计记录,以及利用所述目的地储存库标识符来选择程序用于处理表示适用于传送到所述目的地储存库的所述审计记录的数据;以及存储处理器,用于将表示所述处理过的数据的数据传送到所述目的地储存库,以用于保持所述审计记录,所述处理过的数据表示所述审计记录。
10.根据权利要求9所述的系统,其中所述审计数据处理器利用所述数据格式标识符来进行以下动作中的至少一种(a)选择程序来用于处理表示适用于传送到所述目的地储存库的所述审计记录的数据,以及(b)处理表示适用于传送到所述目的地储存库的所述审计记录的数据,以及所述采集处理器接收到包括表示审计记录的所加密的数据的消息数据,所述审计数据处理器解密表示所述审计记录的所述所加密的数据,以提供适用于传送到所述目的地储存库的所解密的审计记录。
11.根据权利要求9所述的系统,其中所述审计数据处理器适应性地从多个程序中选择程序来用于处理表示所述审计记录的数据,以及所述多个程序被用于处理相对应的多个审计记录,所述多个审计记录具有(a)不同的记录类型、(b)不同的目的地储存库和(c)不同的数据格式中的至少一个。
12.根据权利要求9所述的系统,其中所述审计数据处理器适应性地初始化所选择的程序的实例,以用于处理表示所述审计记录的数据。
13.一种支持用于处理审计记录的方法的用户配置的用户接口系统,所述审计记录指示与初始化在特定对象上所执行的动作的特定用户相关联的事件,该系统包括显示发生器,用于初始化允许用户指示和存储包括以下信息中的至少一种的配置信息的至少一个显示图像的产生目的地储存库,以及审计记录数据格式,与特定类型的接收到的审计记录相关联,审计数据处理器,用于从表示审计记录类型的所述接收到的消息数据中提取以及将表示所述审计记录类型的所述数据与所述配置信息进行比较,以选择程序来用于处理表示适用于存储在所述目的地储存库中的所述审计记录的数据。
全文摘要
提供一种系统和方法,用于处理审计记录,所述审计记录指示与初始化在特定对象上所执行的动作的特定用户相关联的事件。本发明的系统包括采集处理器,用于采集包括表示特定类型的审计记录的数据的消息数据;审计数据处理器,用于创建所述接收到的审计记录的副本,用于响应于确定审计记录处理要求的预定配置信息来将表示接收到的审计记录的数据传送到目的地,用于接收指示确认所述目的地已经成功接收到所传送的审计记录的消息数据,以及用于响应于无法接收确认来将所述接收到的审计记录的副本重新传送到所指示的目的地。
文档编号G06F19/00GK1922622SQ200580005886
公开日2007年2月28日 申请日期2005年2月28日 优先权日2004年2月26日
发明者D·霍弗 申请人:西门子医疗健康服务公司