日志查询方法、装置、存储介质以及电子设备与流程

1.本技术涉及大数据领域，具体而言，涉及一种日志查询方法、装置、存储介质以及电子设备。


背景技术：

2.对于大型数据中心，生产系统集中存储着大量的客户敏感信息和重要数据资产，因此为防止用户非法入侵系统获取重要数据，系统的用户安全管理需求日益迫切，除了事后的安全审计以外，用户信息的安全监控应该成为数据中心安全管理不可缺少的一个环节。
3.当前使用的安全监控方法依赖于系统的生产日志，然而，由于大型数据中心存在大量的生产服务器，每项操作可能会涉及多个生产服务器，因此，每个生产服务器中的生产日志存在如下问题：1、生产日志记录不全，风险操作无法被全面监测。2、生产日志类型繁杂，缺乏高效、完整的分析能力。3、生产运维方式复杂多样，操作溯源困难。
4.因此，在对用户信息进行监控的时候，当某个生产服务器进行某项操作的时候，会由于上述问题导致无法及时的获取该操作对应的全部生产日志，从而无法快速的对该操作进行溯源，也即无法及时准确的对数据中心的生产日志进行准确监控，进而无法及时的在出现异常操作的情况下发出警报，导致用户信息泄露的现象发生。
5.针对相关技术中由于生产日志分布在多个服务器中，导致无法根据生产日志准确及时地对相关操作进行溯源的问题，目前尚未提出有效的解决方案。


技术实现要素：

6.本技术提供一种日志查询方法、装置、存储介质以及电子设备，以解决相关技术中由于生产日志分布在多个服务器中，导致无法根据生产日志准确及时地对相关操作进行溯源的问题。
7.根据本技术的一个方面，提供了一种日志查询方法。该方法包括：获取用户端发送的目标操作的操作命令，并在数据库中确定存储有目标操作的日志文件，得到第一日志文件，其中，数据库中存储多个日志文件集合，每个日志文件集合中包括多个已执行操作的日志文件，已执行操作中包含目标操作；从第一日志文件中获取操作命令关联的多个日志内容，并从多个目标日志文件集合中获取与多个日志内容相关联的日志文件，得到多个关联日志文件，其中，目标日志文件集合为与第一日志文件所在的日志文件集合不同的日志文件集合；依次从多个关联日志文件中获取与至少一个日志内容相关联的日志内容，得到多个关联日志内容；将关联日志内容和多个日志内容进行组合，得到目标操作的操作日志文件，并将操作日志文件发送至用户端。
8.可选地，在从多个目标日志文件集合中获取与多个日志内容相关联的日志文件之前，该方法还包括：获取多个设备的已执行操作的日志文件，得到多个日志文件；确定每个日志文件的日志类型，并根据日志类型为每个日志文件生成标记戳，得到多个标记戳；根据
标记戳对多个日志文件进行分类，得到多个日志文件集合。
9.可选地，在获取多个设备的已执行操作的日志文件，得到多个日志文件之前，该方法还包括：获取每个设备的设备类型，得到多个设备类型；依次向每个设备中配置与设备类型相匹配的日志采集程序；获取每个日志采集程序发送的设备的已执行操作的日志文件。
10.可选地，获取多个设备的已执行操作的日志文件，得到多个日志文件包括：获取多个设备的初始日志文件，得到多个初始日志文件；获取每个初始日志文件的文件格式，得到多个文件格式；依次判断每个文件格式是否为预设文件格式；在文件格式不是预设文件格式的情况下，将初始日志文件的文件格式转换为预设文件格式，将更新后的初始日志文件确定为日志文件；在文件格式是预设文件格式的情况下，将初始日志文件确定为日志文件。
11.可选地，日志内容中具有用户权限信息，在将操作日志文件发送至用户端之前，该方法还包括：从操作日志文件中的日志内容中获取用户权限信息；判断用户权限信息中是否包括执行操作命令的权限信息；在用户权限信息中不包括执行操作命令的权限信息的情况下，生成第一告警信息，其中，第一告警信息表征操作命令的执行用户异常；将第一告警信息添加至操作日志文件中，得到更新后的操作日志文件，并根据更新后的操作日志文件执行将操作日志文件发送至用户端的步骤。
12.可选地，目标操作是操作发起设备登陆多个设备中的任一设备发起的，在将操作日志文件发送至用户端之前，该方法还包括：从操作日志文件中获取发起目标操作的操作发起设备的地址；判断操作发起设备的地址是否具有发起目标操作的权限；在操作发起设备的地址不具有发起目标操作的权限的情况下，生成第二告警信息，其中，第二告警信息表征操作命令的执行地址异常；将第二告警信息添加至操作日志文件中，得到更新后的操作日志文件，并根据更新后的操作日志文件执行将更新后的操作日志文件发送至用户端的步骤。
13.可选地，多个日志文件集合至少包括以下之一：访问日志文件集合、操作行为日志文件集合、运维终端日志文件集合。
14.根据本技术的另一方面，提供了一种日志查询装置。该装置包括：第一确定单元，用于获取用户端发送的目标操作的操作命令，并在数据库中确定存储有目标操作的日志文件，得到第一日志文件，其中，数据库中存储多个日志文件集合，每个日志文件集合中包括多个已执行操作的日志文件，已执行操作中包含目标操作；第一获取单元，用于从第一日志文件中获取操作命令关联的多个日志内容，并从多个目标日志文件集合中获取与多个日志内容相关联的日志文件，得到多个关联日志文件，其中，目标日志文件集合为与第一日志文件所在的日志文件集合不同的日志文件集合；第二获取单元，用于依次从多个关联日志文件中获取与至少一个日志内容相关联的日志内容，得到多个关联日志内容；组合单元，用于将关联日志内容和多个日志内容进行组合，得到目标操作的操作日志文件，并将操作日志文件发送至用户端。
15.根据本发明实施例的另一方面，还提供了一种计算机存储介质，计算机存储介质用于存储程序，其中，程序运行时控制计算机存储介质所在的设备执行一种日志查询方法。
16.根据本发明实施例的另一方面，还提供了一种电子设备，包含一个或多个处理器和存储器；存储器中存储有计算机可读指令，处理器用于运行计算机可读指令，其中，计算机可读指令运行时执行一种日志查询方法。
17.通过本技术，采用以下步骤：获取用户端发送的目标操作的操作命令，并在数据库中确定存储有目标操作的日志文件，得到第一日志文件，其中，数据库中存储多个日志文件集合，每个日志文件集合中包括多个已执行操作的日志文件，已执行操作中包含目标操作；从第一日志文件中获取操作命令关联的多个日志内容，并从多个目标日志文件集合中获取与多个日志内容相关联的日志文件，得到多个关联日志文件，其中，目标日志文件集合为与第一日志文件所在的日志文件集合不同的日志文件集合；依次从多个关联日志文件中获取与至少一个日志内容相关联的日志内容，得到多个关联日志内容；将关联日志内容和多个日志内容进行组合，得到目标操作的操作日志文件，并将操作日志文件发送至用户端。解决了相关技术中由于生产日志分布在多个服务器中，导致无法根据生产日志准确及时地对相关操作进行溯源的问题。通过从存储有该操作的生产日志文件中获取日志内容，并根据日志内容在其余日志文件中获取与日志内容关联的内容，从而将日志内容以及关联的日志内容作为目标操作对应的日志内容，从而根据目标操作对应的日志内容对该操作进行溯源，进而达到了及时的对操作进行溯源的效果。
附图说明
18.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
19.图1是根据本技术实施例提供的日志查询方法的流程图；
20.图2是根据本技术实施例提供的可选地日志采集程序配置的示意图；
21.图3是根据本技术实施例提供的日志查询装置的示意图；
22.图4为根据本技术实施例提供的一种电子设备的示意图。
具体实施方式
23.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
24.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
25.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
26.需要说明的是，本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。例如，本系统和相关用户或机构间设置有接口，在获取相关信
息之前，需要通过接口向前述的用户或机构发送获取请求，并在接收到前述的用户或机构反馈的同意信息后，获取相关信息。
27.需要说明的是，本公开所确定的日志查询方法、装置、存储介质以及电子设备可用于大数据领域，也可用于除大数据领域之外的任意领域，本公开所确定的日志查询方法、装置、存储介质以及电子设备的应用领域不做限定。
28.根据本技术的实施例，提供了一种日志查询方法。
29.图1是根据本技术实施例提供的日志查询方法的流程图。如图1所示，该方法包括以下步骤：
30.步骤s101，获取用户端发送的目标操作的操作命令，并在数据库中确定存储有目标操作的日志文件，得到第一日志文件，其中，数据库中存储多个日志文件集合，每个日志文件集合中包括多个已执行操作的日志文件，已执行操作中包含目标操作。
31.具体的，可以通过日志处理平台接收到用户端发送的目标操作的操作指令，其中，目标操作为用户端待溯源查询的操作，操作指令也即在执行目标操作的时候输入的操作指令。例如，目标操作可以为删除某生产系统中的数据表，则操作指令即为“deletexx表”命令。
32.在日志处理平台接收到目标操作的操作指令后，可以确定存储有该目标操作的日志文件。需要说明的是，日志处理平台中集中存储有所有生产服务器中的生产日志。因此，可以在多个生产服务器中确定存储有该目标操作的日志文件。例如，目标操作可以为a服务器宕机，则可以从操作行为日志中获取a服务器宕机对应的日志文件，得到第一日志文件。其中，操作行为日志中可以存储多个服务器的宕机行为日志，则可以根据a服务器宕机的信息从操作行为日志中获取a服务器宕机对应的日志文件。
33.步骤s102，从第一日志文件中获取操作命令关联的多个日志内容，并从多个目标日志文件集合中获取与多个日志内容相关联的日志文件，得到多个关联日志文件，其中，目标日志文件集合为与第一日志文件所在的日志文件集合不同的日志文件集合。
34.具体的，在得到第一日志文件后，可以输入目标操作对应的操作命令，从而查找与该操作命令相关的日志内容，并根据日志内容从多个目标日志文件集合中获取与多个日志内容相关联的日志文件。
35.例如，a服务器宕机的操作命令可以为“shutdown
–
a”，则可以从操作行为日志中的第一日志文件中获取此次宕机操作对应执行时间，从而得到日志内容。并以该执行时间为条件查询其余日志文件，例如访问日志、运维终端日志等，并从中获取包含该时间的日志文件。
36.步骤s103，依次从多个关联日志文件中获取与至少一个日志内容相关联的日志内容，得到多个关联日志内容。
37.具体的，在得到多个关联的日志文件后，可以获取与日志内容相关联的其余日志内容，从而得到多个关联日志内容。
38.例如，以该执行时间为条件查询访问日志，获取执行时间内用户登录记录，包括登录时间、服务器用户名等信息，并以该执行时间为条件查询运维终端日志，查询该执行时刻服务器的被调用情况，获取调用人员的用户信息，操作源终端、操作源地址信息，从而得到多个关联内容日志。
39.步骤s104，将关联日志内容和多个日志内容进行组合，得到目标操作的操作日志文件，并将操作日志文件发送至用户端。
40.具体的，在得到多个关联日志内容后，可以将其与第一日志文件中的日志内容进行组合，从而得到目标操作对应的完成日志，也即操作日志文件，并将该完整日志返回至用户端，从而使得用户端可以根据操作日志文件对目标操作进行溯源操作。
41.例如，可以将时间信息连同执行期间内用户登录记录，包括登录时间、服务器用户名等信息，以及服务器的被调用情况，获取调用人员的用户信息，操作源终端、操作源地址信息，并将上述信息确定为操作日志文件，从而可以根据操作日志文件中的信息进行溯源，例如，可以根据操作源地址信息和服务器的用户名定位该命令的执行人和发起源地址从而对目标操作进行溯源。
42.本技术实施例提供的日志查询方法，通过获取用户端发送的目标操作的操作命令，并在数据库中确定存储有目标操作的日志文件，得到第一日志文件，其中，数据库中存储多个日志文件集合，每个日志文件集合中包括多个已执行操作的日志文件，已执行操作中包含目标操作；从第一日志文件中获取操作命令关联的多个日志内容，并从多个目标日志文件集合中获取与多个日志内容相关联的日志文件，得到多个关联日志文件，其中，目标日志文件集合为与第一日志文件所在的日志文件集合不同的日志文件集合；依次从多个关联日志文件中获取与至少一个日志内容相关联的日志内容，得到多个关联日志内容；将关联日志内容和多个日志内容进行组合，得到目标操作的操作日志文件，并将操作日志文件发送至用户端。解决了相关技术中由于生产日志分布在多个服务器中，导致无法根据生产日志准确及时地对相关操作进行溯源的问题。通过从存储有该操作的生产日志文件中获取日志内容，并根据日志内容在其余日志文件中获取与日志内容关联的内容，从而将日志内容以及关联的日志内容作为目标操作对应的日志内容，从而根据目标操作对应的日志内容对该操作进行溯源，进而达到了及时的对操作进行溯源的效果。
43.可选地，在本技术实施例提供的日志查询方法中，在从多个目标日志文件集合中获取与多个日志内容相关联的日志文件之前，该方法还包括：获取多个设备的已执行操作的日志文件，得到多个日志文件；确定每个日志文件的日志类型，并根据日志类型为每个日志文件生成标记戳，得到多个标记戳；根据标记戳对多个日志文件进行分类，得到多个日志文件集合。
44.具体的，设备可以为生产服务器，也可以为运维系统、运维工具等设备，日志处理平台可以定期从多个设备中获取已执行操作的日志文件，并根据每个日志文件中包含的信息确定每个日志文件的日志类型，并对每个日志类型添加对应的标记戳，此时，在日志处理平台接收到多个日志文件后，即可根据标记戳确定日志类型，并根据日志类型将日志文件添加至对应的日志文件集合中，从而完成日志文件集合的创建和更新。
45.例如，在本技术实施例提供的日志查询方法中，多个日志文件集合至少包括以下之一：访问日志文件集合、操作行为日志文件集合、运维终端日志文件集合。日志集中处理平台收集到各个设备中的日志文件后，可以将包含时间信息、服务器用户信息、目标服务器信息的日志文件的文件类型确定为访问日志，将包含时间信息、操作命令信息的日志文件的文件类型确定为操作行为日志，将包含时间信息、人员用户信息、操作终端信息的日志文件确定为源运维终端日志。并根据日志类型添加对应的标记戳，并根据标记戳在日志集中
处理平台中将每个日志文件添加至对应的日志文件集合中。
46.可选地，在本技术实施例提供的日志查询方法中，在获取多个设备的已执行操作的日志文件，得到多个日志文件之前，该方法还包括：获取每个设备的设备类型，得到多个设备类型；依次向每个设备中配置与设备类型相匹配的日志采集程序；获取每个日志采集程序发送的设备的已执行操作的日志文件。
47.具体的，图2是根据本技术实施例提供的可选地日志采集程序配置的示意图，如图2所示，为了可以获取到每个设备的生产日志，因此，需要在每个设备中设置采集程序，由于生产服务器的种类不同，因此使用的日志采集程序也需要与对应的设备相适配，从而保证可以正常的接收到每个设备中的生产日志，其中，设备可以为生产服务器，也可以为运维系统、运维工具等设备。
48.例如，在所有生产服务器本地部署日志采集程序，并根据服务器类型的不同针对性配置日志采集程序,比如大型主机系统可以部署smf采集程序、windows服务器可以部署nxlog采集程序、unix服务器可以部署syslog采集程序、数据库服务器可以部署流量采集插件等，从而保证了日志的成功接收。
49.可选地，在本技术实施例提供的日志查询方法中，获取多个设备的已执行操作的日志文件，得到多个日志文件包括：获取多个设备的初始日志文件，得到多个初始日志文件；获取每个初始日志文件的文件格式，得到多个文件格式；依次判断每个文件格式是否为预设文件格式；在文件格式不是预设文件格式的情况下，将初始日志文件的文件格式转换为预设文件格式，将更新后的初始日志文件确定为日志文件；在文件格式是预设文件格式的情况下，将初始日志文件确定为日志文件。
50.具体的，为了将日志文件进行统一，从而可以更加便捷的获取日志文件中的内容，可以在通过日志采集程序获取到设备的初始日志文件后，对每个初始日志文件的文件格式进行检查，并在文件格式不是预设文件格式的情况下，将初始日志文件的文件格式转换为预设文件格式，从而保证存储至日志处理平台中的日志文件的格式统一并且均为预设格式，进而在后续对日志文件进行操作的时候可以保证操作的稳定性。
51.可选地，在本技术实施例提供的日志查询方法中，日志内容中具有用户权限信息，在将操作日志文件发送至用户端之前，该方法还包括：从操作日志文件中的日志内容中获取用户权限信息；判断用户权限信息中是否包括执行操作命令的权限信息；在用户权限信息中不包括执行操作命令的权限信息的情况下，生成第一告警信息，其中，第一告警信息表征操作命令的执行用户异常；将第一告警信息添加至操作日志文件中，得到更新后的操作日志文件，并根据更新后的操作日志文件执行将操作日志文件发送至用户端的步骤。
52.具体的，为了实现操作的实施监测以及精准监测，需要在获取到操作日志文件后，对文件中的用户权限信息进行检查，并判断用户权限信息中是否包括执行操作命令的权限信息，在用户权限信息中不包括执行操作命令的权限信息的情况下，表征该用户无权进行被查看的操作，此时，需要将告警信息添加至操作日志文件中，从而使得用户端在接收到操作日志文件后，可以获取到该告警信息，并根据告警信息的内容以及操作日志文件中的信息对操作命令进行溯源，也即，可以准确确定发出该操作命令的用户，进而可以对每个操作进行准确监控和检查。
53.例如，某管理员用户在某个业务时间段登录某个系统对其数据表进行删除，在该
用户的用户权限信息包括删除该数据表的情况下，则无需报警，若该用户的用户权限信息不包括删除该数据表，则表征该操作为非法操作，需要在操作文件日志中添加告警信息，从而使得用户端可以及时对该告警信息进行相应的操作。
54.可选地，在本技术实施例提供的日志查询方法中，目标操作是操作发起设备登陆多个设备中的任一设备发起的，在将操作日志文件发送至用户端之前，该方法还包括：从操作日志文件中获取发起目标操作的操作发起设备的地址；判断操作发起设备的地址是否具有发起目标操作的权限；在操作发起设备的地址不具有发起目标操作的权限的情况下，生成第二告警信息，其中，第二告警信息表征操作命令的执行地址异常；将第二告警信息添加至操作日志文件中，得到更新后的操作日志文件，并根据更新后的操作日志文件执行将更新后的操作日志文件发送至用户端的步骤。
55.具体的，为了实现操作的实施监测以及精准监测，还需要在获取到操作日志文件后，从操作日志文件中获取发起目标操作的操作发起设备的地址，并判断该地址是否可以执行此次目标操作，在该地址无执行此次操作的权限的情况下，需要将告警信息添加至操作日志文件中，从而使得用户端在接收到操作日志文件后，可以获取到该告警信息，并根据告警信息的内容以及操作日志文件中的信息对操作命令进行溯源，也即，可以准确确定发出该操作命令的地址以及对应的用户信息，进而可以对每个操作进行准确监控和检查。从而保证了用户异常操作行为的追踪和溯源，并且实现了对大型数据中心用户非法出入侵行为、内部违规操作、敏感数据泄露等风险行为的实时监测的效果。
56.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
57.本技术实施例还提供了一种日志查询装置，需要说明的是，本技术实施例的日志查询装置可以用于执行本技术实施例所提供的用于日志查询方法。以下对本技术实施例提供的日志查询装置进行介绍。
58.图3是根据本技术实施例提供的日志查询装置的示意图。如图3所示，该装置包括：第一确定单元31，第一获取单元32，第二获取单元33，组合单元34。
59.第一确定单元31，用于获取用户端发送的目标操作的操作命令，并在数据库中确定存储有目标操作的日志文件，得到第一日志文件，其中，数据库中存储多个日志文件集合，每个日志文件集合中包括多个已执行操作的日志文件，已执行操作中包含目标操作。
60.第一获取单元32，用于从第一日志文件中获取操作命令关联的多个日志内容，并从多个目标日志文件集合中获取与多个日志内容相关联的日志文件，得到多个关联日志文件，其中，目标日志文件集合为与第一日志文件所在的日志文件集合不同的日志文件集合。
61.第二获取单元33，用于依次从多个关联日志文件中获取与至少一个日志内容相关联的日志内容，得到多个关联日志内容。
62.组合单元34，用于将关联日志内容和多个日志内容进行组合，得到目标操作的操作日志文件，并将操作日志文件发送至用户端。
63.本技术实施例提供的日志查询装置，通过第一确定单元31获取用户端发送的目标操作的操作命令，并在数据库中确定存储有目标操作的日志文件，得到第一日志文件，其中，数据库中存储多个日志文件集合，每个日志文件集合中包括多个已执行操作的日志文
件，已执行操作中包含目标操作。第一获取单元32从第一日志文件中获取操作命令关联的多个日志内容，并从多个目标日志文件集合中获取与多个日志内容相关联的日志文件，得到多个关联日志文件，其中，目标日志文件集合为与第一日志文件所在的日志文件集合不同的日志文件集合。第二获取单元33依次从多个关联日志文件中获取与至少一个日志内容相关联的日志内容，得到多个关联日志内容。组合单元34将关联日志内容和多个日志内容进行组合，得到目标操作的操作日志文件，并将操作日志文件发送至用户端。解决了相关技术中由于生产日志分布在多个服务器中，导致无法根据生产日志准确及时地对相关操作进行溯源的问题。通过从存储有该操作的生产日志文件中获取日志内容，并根据日志内容在其余日志文件中获取与日志内容关联的内容，从而将日志内容以及关联的日志内容作为目标操作对应的日志内容，从而根据目标操作对应的日志内容对该操作进行溯源，进而达到了及时的对操作进行溯源的效果。
64.可选地，在本技术实施例提供的日志查询装置中，该装置还包括：第三获取单元，用于获取多个设备的已执行操作的日志文件，得到多个日志文件；第二确定单元，用于确定每个日志文件的日志类型，并根据日志类型为每个日志文件生成标记戳，得到多个标记戳；分类单元，用于根据标记戳对多个日志文件进行分类，得到多个日志文件集合。
65.可选地，在本技术实施例提供的日志查询装置中，该装置还包括：第四获取单元，用于获取每个设备的设备类型，得到多个设备类型；配置单元，用于依次向每个设备中配置与设备类型相匹配的日志采集程序；第五获取单元，用于获取每个日志采集程序发送的设备的已执行操作的日志文件。
66.可选地，在本技术实施例提供的日志查询装置中，第四获取单元包括：第一获取模块，用于获取多个设备的初始日志文件，得到多个初始日志文件；第二获取模块，用于获取每个初始日志文件的文件格式，得到多个文件格式；判断模块，用于依次判断每个文件格式是否为预设文件格式；转换模块，用于在文件格式不是预设文件格式的情况下，将初始日志文件的文件格式转换为预设文件格式，将更新后的初始日志文件确定为日志文件；确定模块，用于在文件格式是预设文件格式的情况下，将初始日志文件确定为日志文件。
67.可选地，在本技术实施例提供的日志查询装置中，日志内容中具有用户权限信息，该装置还包括：第六获取单元，用于从操作日志文件中的日志内容中获取用户权限信息；第一判断单元，用于判断用户权限信息中是否包括执行操作命令的权限信息；第一生成单元，用于在用户权限信息中不包括执行操作命令的权限信息的情况下，生成第一告警信息，其中，第一告警信息表征操作命令的执行用户异常；第一添加单元，用于将第一告警信息添加至操作日志文件中，得到更新后的操作日志文件，并根据更新后的操作日志文件执行将操作日志文件发送至用户端的步骤。
68.可选地，在本技术实施例提供的日志查询装置中，目标操作是操作发起设备登陆多个设备中的任一设备发起的，该装置还包括：第七获取单元，用于从操作日志文件中获取发起目标操作的操作发起设备的地址；第二判断单元，用于判断操作发起设备的地址是否具有发起目标操作的权限；第二生成单元，用于在操作发起设备的地址不具有发起目标操作的权限的情况下，生成第二告警信息，其中，第二告警信息表征操作命令的执行地址异常；第二添加单元，用于将第二告警信息添加至操作日志文件中，得到更新后的操作日志文件，并根据更新后的操作日志文件执行将更新后的操作日志文件发送至用户端的步骤。
69.可选地，在本技术实施例提供的日志查询装置中，多个日志文件集合至少包括以下之一：访问日志文件集合、操作行为日志文件集合、运维终端日志文件集合。
70.上述日志查询装置包括处理器和存储器，上述第一确定单元31，第一获取单元32，第二获取单元33，组合单元34等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
71.处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来解决了相关技术中由于生产日志分布在多个服务器中，导致无法根据生产日志准确及时地对相关操作进行溯源的问题。
72.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
73.本发明实施例提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现所述日志查询方法。
74.本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述日志查询方法。
75.如图4所示，本发明实施例提供了一种电子设备，电子设备40包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：获取用户端发送的目标操作的操作命令，并在数据库中确定存储有目标操作的日志文件，得到第一日志文件，其中，数据库中存储多个日志文件集合，每个日志文件集合中包括多个已执行操作的日志文件，已执行操作中包含目标操作；从第一日志文件中获取操作命令关联的多个日志内容，并从多个目标日志文件集合中获取与多个日志内容相关联的日志文件，得到多个关联日志文件，其中，目标日志文件集合为与第一日志文件所在的日志文件集合不同的日志文件集合；依次从多个关联日志文件中获取与至少一个日志内容相关联的日志内容，得到多个关联日志内容；将关联日志内容和多个日志内容进行组合，得到目标操作的操作日志文件，并将操作日志文件发送至用户端。本文中的设备可以是服务器、pc、pad、手机等。
76.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：获取用户端发送的目标操作的操作命令，并在数据库中确定存储有目标操作的日志文件，得到第一日志文件，其中，数据库中存储多个日志文件集合，每个日志文件集合中包括多个已执行操作的日志文件，已执行操作中包含目标操作；从第一日志文件中获取操作命令关联的多个日志内容，并从多个目标日志文件集合中获取与多个日志内容相关联的日志文件，得到多个关联日志文件，其中，目标日志文件集合为与第一日志文件所在的日志文件集合不同的日志文件集合；依次从多个关联日志文件中获取与至少一个日志内容相关联的日志内容，得到多个关联日志内容；将关联日志内容和多个日志内容进行组合，得到目标操作的操作日志文件，并将操作日志文件发送至用户端。
77.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产
品的形式。
78.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
79.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
80.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
81.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
82.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
83.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
84.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
85.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。