一种日志处理方法、装置、电子设备及存储介质与流程

1.本发明涉及计算机安全技术领域，尤其涉及一种日志处理方法、装置、电子设备及存储介质。


背景技术：

2.外部的黑客攻击或者内部用户的异常操作行为都会对云平台造成危害，相关技术通对云平台进行操作行为检测，将检测到的可能会对云平台造成危害的操作行为都生成日志文件并进行存储，方便后续进行安全事件的追溯。相关技术将所有日志文件都进行存储，存储的日志文件过于冗余，不利于后续进行安全事件分析。


技术实现要素：

3.为了解决上述问题，本发明实施例提供了一种日志处理方法、装置、电子设备及存储介质，以至少解决相关技术存储的日志文件过于冗余的问题。
4.本发明的技术方案是这样实现的：
5.第一方面，本发明实施例提供了一种日志处理方法，该方法包括：
6.获取云主机的日志文件；所述日志文件用于记录所述云主机中发生的设定操作事件；
7.确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则；所述设定规则库存储有至少一种类型的安全事件的第一规则；所述第一规则表征安全事件对应的操作数据的特征；
8.在所述特征命中所述设定规则库中的第一规则的情况下，确定所述特征是否命中设定白名单中的第二规则；
9.在所述特征没有命中所述设定白名单中的第二规则的情况下，将所述日志文件存储在第一数据库中。
10.在上述方案中，所述确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则，包括：
11.确定所述日志文件的第一字段的字段信息；所述第一字段表征所述设定操作事件对应的操作数据的特征；
12.确定所述字段信息是否在所述设定规则库中；
13.在所述字段信息在所设定规则库中的情况下，确定所述特征命中所述设定规则库中的第一规则。
14.在上述方案中，所述方法还包括：
15.在所述特征没有命中所述设定规则库中的第一规则的情况下，将所述日志文件存储在第二数据库中。
16.在上述方案中，在将所述日志文件存储在第二数据库后，所述方法还包括：
17.记录所述日志文件存储在所述第二数据库的起始时间；
18.在距离所述起始时间达到设定时长的情况下，删除所述第二数据库中的所述日志文件。
19.在上述方案中，所述确定所述特征是否命中设定白名单中的第二规则，包括：
20.基于所述设定白名单中的第二规则，对所述日志文件进行正则匹配；
21.在所述正则匹配成功的情况下，确定所述特征命中设定白名单中的第二规则。
22.在上述方案中，在确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则之前，所述方法还包括：
23.将所述日志文件的第二字段的数据格式进行转换；所述第二字段表征时间戳。
24.在上述方案中，在将所述日志文件存储在第一数据库中之后，所述方法还包括：
25.将所述第一数据库中的日志文件通过前端页面进行展示。
26.第二方面，本发明实施例提供了一种日志处理装置，该装置包括：
27.获取模块，用于获取云主机的日志文件；所述日志文件用于记录所述云主机中发生的设定操作事件；
28.第一确定模块，用于确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则；所述设定规则库存储有至少一种类型的安全事件的第一规则；所述第一规则表征安全事件对应的操作数据的特征；
29.第二确定模块，用于在所述特征命中所述设定规则库中的第一规则的情况下，确定所述特征是否命中设定白名单中的第二规则；
30.存储模块，用于在所述特征没有命中所述设定白名单中的第二规则的情况下，将所述日志文件存储在第一数据库中。
31.第三方面，本发明实施例提供了一种电子设备，包括处理器和存储器，所述处理器和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行本发明实施例第一方面提供的日志处理方法的步骤。
32.第四方面，本发明实施例提供了一种计算机可读存储介质，包括：所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本发明实施例第一方面提供的日志处理方法的步骤。
33.本发明实施例通过获取云主机的日志文件，确定日志文件中设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则，在特征命中设定规则库中的第一规则的情况下，确定特征是否命中设定白名单中的第二规则，在特征没有命中设定白名单中的第二规则的情况下，将日志文件存储在第一设定数据库中。其中，日志文件用于记录所述云主机中发生的设定操作事件，设定规则库存储有至少一种类型的安全事件的第一规则，第一规则表征安全事件对应的操作数据的特征。本发明实施例通过设定规则库检测出异常的日志文件，再通过设定白名单对异常的日志文件的过滤，实现对不必要的日志文件的过滤，减少不必要的日志文件的存储，使得第一数据库中存储的都是比较重要的日志文件，解决了相关技术存储的日志文件过于冗余的问题。
附图说明
34.图1是本发明实施例提供的一种日志处理方法的实现流程示意图；
35.图2是本发明实施例提供的另一种日志处理方法的实现流程示意图；
36.图3是本发明实施例提供的另一种日志处理方法的实现流程示意图；
37.图4是本发明实施例提供的另一种日志处理方法的实现流程示意图；
38.图5是本发明实施例提供的一种云主机的日志上报流程的示意图；
39.图6是本发明实施例提供的一种云服务器的日志处理流程的示意图；
40.图7是本发明应用实施例提供的一种日志处理流程的示意图；
41.图8是本发明实施例提供的一种日志处理装置的示意图；
42.图9是本发明一实施例提供的电子设备的示意图。
具体实施方式
43.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
44.云主机是采用虚拟化技术将一台物理主机分割成若干个相互隔离的虚拟专用主机，每个云主机拥有独立的cpu、内存、硬盘、ip和带宽。在相关技术中，云主机只记录和展示存在风险的操作行为，而是否存在风险由云主机的规则库进行判断。存在风险的行为包括入侵行为(instrusion behavior)和可疑行为(dubious behavior)，能够准确命中云端规则库规则的终端行为定义为黑客的入侵行为，如暴力破解、webshell后门等；终端的远程命令执行、文件下载、用户变更、文件权限变更、web脚本变更、端口新增等高度敏感的行为被称之为可疑行为。可疑行为本身可能并不具有威胁性，但是往往是入侵主机的前置操作。相关技术将检测到的可能存在风险的操作行为生成日志文件并进行保存，方便后续发生安全事件时进行分析。相关技术将所有生成的日志文件都进行存储，这样存储的日志文件过于冗余，不利于后续进行日志文件的定位和分析。
45.针对上述相关技术的缺点，本发明实施例提供了一种日志处理方法，至少能够解决相关技术存储的日志文件过于冗余的问题。为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。
46.图1是本发明实施例提供的一种日志处理方法的实现流程示意图，所述日志处理方法的执行主体为电子设备，电子设备包括台式电脑、笔记本电脑和服务器等。参考图1，日志处理方法包括：
47.s101，获取云主机的日志文件；所述日志文件用于记录所述云主机中发生的设定操作事件。
48.本发明实施例主要应用于云服务器，通过云服务器接收云主机发送的日志文件。
49.日志文件用于记录云主机中发生的设定操作事件，设定操作事件是云主机中预先设定好的操作事件，如果发生这些操作事件，云主机就生成日志并发送至云服务器。
50.设定操作事件可以指可能会对云主机造成安全危害的敏感操作行为，比如暴力破解、终端的远程命令执行、文件下载、用户变更、文件权限变更、web脚本变更、端口新增等高度敏感的操作行为。
51.云主机对设定操作事件进行监控，在发生设定操作事件时生成日志文件，将日志
文件发送给云服务器。
52.日志是按照某种规范表达出来的信息系统的行为记录，比如对云主机中的特殊目录(如/bin、/sbin等)进行监控，如存在文件变动或文件权限的变动时，生成日志文件。或者，对云主机中的特定文件进行监控，当文件变动时触发生成日志文件。或者，当云主机信息或者用户信息发生变动时，生成日志文件。日志文件记录了这些操作行为发生的时间、操作者身份、具体操作行为内容等信息。
53.在一实施例中，在确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则之前，所述方法还包括：
54.将所述日志文件的第二字段的数据格式进行转换；所述第二字段表征时间戳。
55.这里转换主要指将日志文件的时间戳转换为格式化时间，日志文件是通过时间戳记录设定操作事件发生的时间，需要转换为云服务器可识别的格式化时间。比如日志文件中的时间戳为1626376074，其对应的格式化时间为2021-07-1603:07:54。
56.云服务器接收到日志文件后，需要对日志文件进行再处理，改写为云服务器可识别的数据结构。除了将时间戳转换为格式化时间之外，还可以统一所有日志文件中的字段名，方便后续对日志文件进行统一管理和分析。
57.s102，确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则；所述设定规则库存储有至少一种类型的安全事件的第一规则；所述第一规则表征安全事件对应的操作数据的特征。
58.云主机将发生设定操作事件时的操作数据写入日志文件中，操作数据包括设定操作事件发生的时间、操作者身份、具体操作内容等信息。
59.设定操作事件对应的操作数据的特征是日志文件中描述设定操作事件的字段信息，比如，设定操作事件是将云主机的文件路径设置为/root，则日志文件中的字段信息“文件路径＝/root”就是该设定操作事件的操作数据的特征。
60.设定规则库记录的是安全事件的规则，安全事件指尝试改变信息系统安全状态(例如改变访问控制措施、改变安全级别、改变用户口令等)的任何事件。将这些安全事件的日志文件中操作数据的特征写入设定规则库中，作为设定规则库中的第一规则。设定规则库中的第一规则可以来源于日常主机维护，或者从第三方购买。
61.设定规则库存储有至少一种类型的安全事件的规则，至少一种类型的安全事件包括以下任意一项：
62.可疑类型的安全事件；
63.入侵类型的安全事件；
64.所述可疑类型的安全事件表征所述入侵类型的安全事件的前置操作。
65.能够准确命中云端规则库规则的终端行为定义为入侵类型的安全事件，如暴力破解、webshell后门等；终端的远程命令执行、文件下载、用户变更、文件权限变更、web脚本变更、端口新增等高度敏感的行为被称之为可疑类型的安全事件。可疑类型的安全事件本身可能并不具有威胁性，但是往往是入侵类型的安全事件的前置操作。即云主机先发生可疑类型的安全事件，再发生入侵类型的安全事件。
66.参考图2，在一实施例中，所述确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则，包括：
67.s201，确定所述日志文件的第一字段的字段信息；所述第一字段表征所述设定操作事件对应的操作数据的特征。
68.在日志文件中，不同的字段记录操作数据的不同内容，比如时间戳字段记录的是设定操作事件发生的时间，而第一字段记录的是设定操作事件对应的操作数据的特征，比如，第一字段的字段信息“文件路径＝/root”是设定操作事件的操作数据的特征。直接读取日志文件的第一字段的字段信息，可快速获取到设定操作事件的操作数据的特征。
69.s202，确定所述字段信息是否在所述设定规则库中。
70.通过按键找值的方式，确定设定规则库中是否包括该字段信息。
71.s203，在所述字段信息在所设定规则库中的情况下，确定所述特征命中所述设定规则库中的第一规则。
72.用日志文件中设定操作事件对应的操作数据的特征在设定规则库中进行匹配，如果设定规则库中包括该特征，则设定操作事件对应的操作数据的特征命中设定规则库中的第一规则。比如，设定规则库包括第一规则“文件路径＝/root”，如果设定操作事件的操作数据的特征也是“文件路径＝/root”，则确定设定操作事件对应的操作数据的特征命中设定规则库中的第一规则。
73.这里的命中并不是指完全一致，只要特征包含设定规则库中的第一规则，即认为命中。设定操作事件可能执行了多个操作，例如，设定操作事件对应的操作数据的特征为“设置文件路径为/root，同时设置进程为chmod”，比如，第一规则为“设置文件路径为/root”，特征中包含第一规则，即认为命中。或者，第一规则为“设置进程为chmod”，同样认为命中。
74.s103，在所述特征命中所述设定规则库中的第一规则的情况下，确定所述特征是否命中设定白名单中的第二规则。
75.这里，设定白名单中存储的是一部分操作事件对应的操作数据的特征，设定白名单支持客户主动设置，如果客户认为操作事件不会对云主机安全造成威胁，客户可以主动将该操作事件对应的操作数据的特征写入设定白名单中。或者，操作事件经过验证，确定不会对云主机安全造成威胁，则将该操作事件对应的操作数据的特征写入设定白名单中。
76.比如，云主机发生的操作事件是文件权限变更事件，由于文件权限变更事件是敏感可疑行为，该文件权限变更事件对应的操作数据的特征命中了设定规则库，但是客户并不在意这个路径下的文件权限变更，所以该规则又会出现在设定白名单中。
77.设定白名单中存储的第二规则并不一定要与第一规则相同，比如，第一规则为“设置文件路径为/root，同时设置进程为chmod”，而第二规则可以为“设置文件路径为/root”，或第二规则可以为“设置进程为chmod”。又比如，第一规则为“设置文件路径为/root”或“设置进程为chmod”，第二规则为“设置文件路径为/root，同时设置进程为chmod”。
78.参考图2，在一实施例中，所述确定所述特征是否命中设定白名单中的第二规则，包括：
79.s301，基于所述设定白名单中的第二规则，对所述日志文件进行正则匹配。
80.有些第二规则需要同时满足多个条件，比如第二规则为“设置文件路径为/root，同时进程是chmod”，该规则同时需要满足2个条件。这种情况下，可以使用正则匹配来判断日志文件是否包括满足上述条件。正则匹配即使用正则表达式来判断日志文件是否包括设
定白名单中的第二规则。
81.正则表达式(regular expression)描述了一种字符串匹配的模式(pattern)，可以用来检查一个串是否含有某种子串、将匹配的子串替换或者从某个串中取出符合某个条件的子串等。将设定白名单中的规则使用正则表达式进行描述，如果日志文件中的字符串匹配某个正则表达式，说明日志文件包括设定白名单中的第二规则。
82.s302，在所述正则匹配成功的情况下，确定所述特征命中设定白名单中的第二规则。
83.如果日志文件中的字符串匹配某个正则表达式，说明正则匹配成功，日志文件包括设定白名单中的第二规则。
84.s104，在所述特征没有命中所述设定白名单中的第二规则的情况下，将所述日志文件存储在第一数据库中。
85.如果日志文件中设定操作事件对应的操作数据的特征命中设定规则库中的第一规则，但是并没有命中设定白名单中的第二规则，则将该日志文件存储在第一数据库中，留待后续如果出现安全事件时根据日志文件进行分析。
86.在实际应用中，设定白名单的设置是非常严谨的，设定规则库的第一规则要尽可能多，这样可以检测出更多的云主机敏感操作行为。再通过设定白名单进行过滤，排除掉其中无关紧要的敏感操作行为，实现对不必要的日志文件的过滤，减少不必要的日志文件的存储，使得第一数据库中存储的都是比较重要的日志文件，解决了相关技术存储的日志文件过于冗余的问题。而且通常云主机发生的大部分事件都是正常事件，对云主机造成危害的事件占比非常少，因此很多日志文件都是无关紧要的，大量对这些日志文件进行存储将造成存储空间不足，以及查询速度变慢，而只存储关键事件的日志文件，能够快速进行日志文件的定位，便于后续根据日志文件进行事件分析。
87.本发明实施例通过获取云主机的日志文件，确定日志文件中设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则，在特征命中设定规则库中的第一规则的情况下，确定特征是否命中设定白名单中的第二规则，在特征没有命中设定白名单中的第二规则的情况下，将日志文件存储在第一设定数据库中。其中，日志文件用于记录所述云主机中发生的设定操作事件，设定规则库存储有至少一种类型的安全事件的第一规则，第一规则表征安全事件对应的操作数据的特征。本发明实施例通过设定规则库检测出异常的日志文件，再通过设定白名单对异常的日志文件的过滤，实现对不必要的日志文件的过滤，减少不必要的日志文件的存储，使得第一数据库中存储的都是比较重要的日志文件，解决了相关技术存储的日志文件过于冗余的问题。
88.在一实施例中，所述方法还包括：
89.在所述特征没有命中所述设定规则库中的第一规则的情况下，将所述日志文件存储在第二数据库中。
90.如果设定规则库并不包括设定操作事件对应的操作数据的特征，有可能该设定操作事件并不会对云主机安全造成威胁，但是也有可能是设定规则库的规则不全，属于漏判和误判的情况，这种情况下将日志文件存储在第二数据库中。
91.参考图4，在一实施例中，在将所述日志文件存储在第二数据库后，所述方法还包括：
92.s401，记录所述日志文件存储在所述第二数据库的起始时间。
93.s402，在距离所述起始时间达到设定时长的情况下，删除所述第二数据库中的所述日志文件。
94.对于没有命中设定规则库的日志文件，将之存储在第二数据库中，但只在第二数据库存储设定时长，达到设定时长就在第二数据库中删除该日志文件。这样可以可以在设定规则库出现漏判和误判时，出现安全事件能够进行溯源和追踪。达到设定时长就删除掉日志文件，可以避免第二数据库存储过多无用的日志文件，节省第二数据库的存储空间。
95.在一实施例中，在将所述日志文件存储在第一数据库中之后，所述方法还包括：
96.将所述第一数据库中的日志文件通过前端页面进行展示。
97.云服务器与前端进行通信，可以通过前端页面对第一数据库中的日志文件进行可视化展示，让用户知道哪些事件可能会对云主机造成危害，实现尽早防范。
98.参考图5，图5是本发明实施例提供的一种云主机的日志上报流程的示意图，云主机包括监管进程、采集进程、响应进程和上报进程。
99.本发明实施例以linux系统为例，通过注册守护进程对全部进程进行监管，以保证云主机功能的可靠性，防止部分进程异常后采集功能失效。
100.采集进程包括网络采集、进程采集、文件监控、文件扫描和主机信息采集，其中，网络采集和进程采集利用linux内核的kprobe调试技术来获取系统的网络和进程信息。kprobes调试技术是linux为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术，可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。kprobes技术目前提供了3种探测手段：kprobe、jprobe和kretprobe，其中jprobe和kretprobe是基于kprobe实现的，他们分别应用于不同的探测场景中。
101.文件监控主要针对系统的特殊目录(如/bin、/sbin等)进行监控，如存在文件变动或文件权限的变动则发送日志文件给云端，云端指云服务器。图中，fanotify是一个linux内核特性，它监控文件系统，并且及时向专门的应用程序发出相关的事件警告。相比inotify，fanotify不仅可以用来监控文件和目录，还能对挂载点进行监控，并且能够获取到操作文件的进程id。inotify是一个linux内核特性，它监控文件系统，并且及时向专门的应用程序发出相关的事件警告。inotify可以用于监控文件和目录的创建、(内容/权限)修改、删除、移动等。
102.文件扫描(主要针对web目录)会在文件变动后触发，触发后对文件内容进行读取，如检测到文件类型为脚本文件，则通过文件内容识别、虚拟化执行等方式来对文件是否有害进行判断，最终上报日志文件。
103.主机信息采集主要通过读取linux系统的相关文件来获取，如用户信息可通过读取/etc/passwd文件来获取。
104.采集进程对上述信息进行采集，生成日志文件，通过上报进程发送给云端。
105.终端的多个采集模块可以配合工作，如对于可疑行为中的用户变更来说，终端通过文件监控获取到/etc/passwd文件变更后，通知主机信息采集模块去重新读取用户信息进行上报，从而对比得到新增用户。通过这样的方式，可以在实现减少上报次数的情况下，又保证了上报的及时性。
106.参考图6，图6是本发明实施例提供的一种云服务器的日志处理流程的示意图，云服务器包括通信模块、监管进程、云端处理模块、数据库和kafka模块。
107.图6中的云端指云服务器，终端指云主机。云主机将日志文件发送给云服务器，服务器通过通信模块接收日志文件。云服务器通过supervisor工具来进行进程的托管，以保证功能的可靠性，通过kafka进行进程间的数据交换。supervisor：是命令行管理工具，可以用来执行stop、start、restart等命令，来对这些子进程进行管理。公共网关接口(cgi，common gateway interface)是web服务器运行时外部程序的规范，按cgi编写的程序可以扩展服务器功能。cgi应用程序能与浏览器进行交互，还可通过数据api与数据库服务器等外部数据源进行通信，从数据库服务器中获取数据。
108.云端处理模块包括：日志转换模块、规则引擎模块、白名单模块和cgi模块。其中，日志转换模块对终端上报的日志文件进行再处理，改写为云端可识别的数据结构，比如将时间戳转换为格式化时间。
109.规则引擎主要用来匹配入侵行为和可疑行为，将匹配成功的事件发送给白名单模块进行过滤。
110.白名单模块对规则引擎匹配成功的日志文件进行过滤，如果日志文件中不包含白名单中的字段，则将日志文件存储在数据库中，这样可以减少数据库中不必要的日志文件的存储，解决了相关技术存储的日志文件过于冗余的问题。
111.cgi主要用来提供给前端展示和处理(包括加白、忽略、隔离云主机等)事件。前端主要是指web网站的前台页面，在打开一个网站所看到网页界面的内容以及交互体验，一般都是由前端工程师进行开发设计的页面，该内容属于前端部分。
112.参考图7，图7是本发明应用实施例提供的一种日志处理流程的示意图，日志处理流程包括：
113.首先，通过云服务器的通信模块接收云主机发送的日志文件，对日志文件进行转换，改写为云服务器可识别的数据结构，比如将时间戳转换为格式化时间。
114.然后，对日志文件进行规则匹配，确定日志文件是否包括设定规则库中的规则。这里，设定规则库包括入侵行为规则和可疑行为规则，能够准确命中云端规则库规则的终端行为定义为入侵行为，如暴力破解、webshell后门等；终端的远程命令执行、文件下载、用户变更、文件权限变更、web脚本变更、端口新增等高度敏感的行为被称之为可疑行为。可疑行为本身可能并不具有威胁性，但是往往是入侵主机的前置操作。
115.只要匹配到设定规则库中的任意一个规则，就将日志文件匹配白名单中的规则，如果匹配设定白名单中的规则失败，就将日志文件存储在第一数据库中。
116.对于没有匹配到设定规则库中的规则的日志文件，将之存储在第二数据库，但只在第二数据库存储设定时长，达到设定时长就在第二数据库中删除该日志文件。
117.本发明应用实施例通过设定规则库检测出异常的日志文件，再通过设定白名单对异常的日志文件的过滤，实现对不必要的日志文件的过滤，减少不必要的日志文件的存储，使得第一数据库中存储的都是比较重要的日志文件，解决了相关技术存储的日志文件过于冗余的问题。设定规则库没有检测出异常的日志文件存储在第二数据库，可以在设定规则库出现漏判和误判时，出现安全事件能够进行溯源和追踪。达到设定时长就删除掉日志文件，可以避免第二数据库存储过多无用的日志文件，节省第二数据库的存储空间。
118.应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
119.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
120.需要说明的是，本发明实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。
121.另外，在本发明实施例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。
122.参考图8，图8是本发明实施例提供的一种日志处理装置的示意图，如图8所示，该装置包括：获取模块、第一确定模块、第二确定模块和存储模块。
123.获取模块，用于获取云主机的日志文件；所述日志文件用于记录所述云主机中发生的设定操作事件；
124.第一确定模块，用于确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则；所述设定规则库存储有至少一种类型的安全事件的第一规则；所述第一规则表征安全事件对应的操作数据的特征；
125.第二确定模块，用于在所述特征命中所述设定规则库中的第一规则的情况下，确定所述特征是否命中设定白名单中的第二规则；
126.存储模块，用于在所述特征没有命中所述设定白名单中的第二规则的情况下，将所述日志文件存储在第一数据库中。
127.在一实施例中，第一确定模块在确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则时，用于：
128.确定所述日志文件的第一字段的字段信息；所述第一字段表征所述设定操作事件对应的操作数据的特征；
129.确定所述字段信息是否在所述设定规则库中；
130.在所述字段信息在所设定规则库中的情况下，确定所述特征命中所述设定规则库中的第一规则。
131.在一实施例中，所述存储模块还用于：
132.在所述特征没有命中所述设定规则库中的第一规则的情况下，将所述日志文件存储在第二数据库中。
133.在一实施例中，在将所述日志文件存储在第二数据库后，所述装置还包括：
134.记录模块，用于记录所述日志文件存储在所述第二数据库的起始时间；
135.生成模块，用于在距离所述起始时间达到设定时长的情况下，删除所述第二数据库中的所述日志文件。
136.在一实施例中，所述第二确定模块在确定所述特征是否命中设定白名单中的第二规则时，用于：
137.基于所述设定白名单中的第二规则，对所述日志文件进行正则匹配；
138.在所述正则匹配成功的情况下，确定所述特征命中设定白名单中的第二规则。
139.在一实施例中，在确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则之前，所述装置还包括：
140.转换模块，用于将所述日志文件的第二字段的数据格式进行转换；所述第二字段表征时间戳。
141.在一实施例中，在将所述日志文件存储在第一数据库中之后，所述装置还包括：
142.展示模块，用于将所述第一数据库中的日志文件通过前端页面进行展示。
143.实际应用时，所述接收模块、转换模块、和发送模块可通过电子设备中的处理器，比如中央处理器(cpu，central processing unit)、数字信号处理器(dsp，digital signal processor)、微控制单元(mcu，microcontroller unit)或可编程门阵列(fpga，field－programmable gatearray)等实现。
144.需要说明的是：上述实施例提供的日志处理装置在进行日志处理时，仅以上述各模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的模块完成，即将装置的内部结构划分成不同的模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的日志处理装置与日志处理方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
145.基于上述程序模块的硬件实现，且为了实现本技术实施例的方法，本技术实施例还提供了一种电子设备。图9为本技术实施例电子设备的硬件组成结构示意图，如图9所示，电子设备包括：
146.通信接口，能够与其它设备比如网络设备等进行信息交互；
147.处理器，与所述通信接口连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述电子设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在存储器上。
148.当然，实际应用时，电子设备中的各个组件通过总线系统耦合在一起。可理解，总线系统用于实现这些组件之间的连接通信。总线系统除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图9中将各种总线都标为总线系统。
149.本技术实施例中的存储器用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括：用于在电子设备上操作的任何计算机程序。
150.可以理解，存储器可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom，read only memory)、可编程只读存储器(prom，programmable read-only memory)、可擦除可编程只读存储器(eprom，erasable programmable read-only memory)、电可擦除可编程只读存储器(eeprom，electrically erasable programmable read-only memory)、磁性随机存取存储器(fram，ferromagnetic random access memory)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(cd-rom，compact disc read-only memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram，random access memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，static random access memory)、同步静态随机存取存储器(ssram，synchronous static random access memory)、动态随机存取存储器(dram，
dynamic random access memory)、同步动态随机存取存储器(sdram，synchronous dynamic random access memory)、双倍数据速率同步动态随机存取存储器(ddrsdram，double data rate synchronous dynamic random access memory)、增强型同步动态随机存取存储器(esdram，enhanced synchronous dynamic random access memory)、同步连接动态随机存取存储器(sldram，synclink dynamic random access memory)、直接内存总线随机存取存储器(drram，direct rambus random access memory)。本技术实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
151.上述本技术实施例揭示的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、dsp，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器，处理器读取存储器中的程序，结合其硬件完成前述方法的步骤。
152.可选地，所述处理器执行所述程序时实现本技术实施例的各个方法中由电子设备实现的相应流程，为了简洁，在此不再赘述。
153.在示例性实施例中，本技术实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的第一存储器，上述计算机程序可由电子设备的处理器执行，以完成前述方法所述步骤。计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flash memory、磁表面存储器、光盘、或cd-rom等存储器。
154.在本技术所提供的几个实施例中，应该理解到，所揭露的装置、电子设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
155.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
156.另外，在本技术各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
157.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
158.或者，本技术上述集成的单元如果以软件功能模块的形式实现并作为独立的产品
销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本技术各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
159.需要说明的是，本技术实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。
160.另外，在本技术实例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。
161.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。