的时间段可以预先定义。
[0050]在任何情形,只读目标的监控爬虫410的使用(例如监控爬虫本身不能执行任何可以影响实际虚拟磁盘320的写入)确保虚拟服务器磁盘320的状态没有变化或者不能够对虚拟服务器磁盘320的状态做出改变。相反的,在虚拟服务器310访问储存器304的同时试图通过虚拟服务器310的虚拟服务器磁盘320访问储存器304可能不会直接成功,即使执行只读操作。这是因为,对于活虚拟服务器(live virtual servers) 310,虚拟服务器磁盘320本质上是肮脏的状态,因为这种操作系统级别缓存和文件系统日志的性能最大化的解决方案往往被用来吸收对设备做出的改变并在稍后的时间间隔刷新它们。这些解决方案的后果,期望干净磁盘(如离线VM的情形)或者冲洗磁盘日志以洁净肮脏状态的能力的标准安装方法将失败和/或需要执行这种冲洗过程而引入对虚拟服务器磁盘320不希望的改变。
[0051]为了获得活VM虚拟磁盘320的可靠处理,本发明可以利用一个或多个附加的技术。在一个实施例中,写时复制C0W(COpy-Onirite)储存器404可以被创建。C0W储存器404可以位于监控爬虫410内部,爬虫框架402的内部或外部的任何地方。在任何情形,C0W储存器404可以被用来保证获取的信息包括已作出的任何变化但是未传送到储存器304。为了实现这个,虚拟服务器磁盘320可以将虚拟服务器310对它的磁盘做出的任何变化作为副本传送到C0W储存器404。用这种方法,监控爬虫410可以行进好像它正在访问可读媒介,而储存器304没有块级别的变化,例如日志刷新被反映在实际目标VM磁盘中,但是被临时传送到C0W储存器404。当获取特征集合时,监控爬虫410可以从C0W储存器404获取已改变的特征同时通过只读目标406从适当的VM块获取未改变的特征。这个方法有另一个重要的优点,通过进行额外的C0W操控,VM永久磁盘的“实时性”显著地改善,即使在磁盘状态变化实际与实际服务器磁盘320文件系统同步之前,磁盘状态变化也可以经常被观察至丨J。对虚拟服务器磁盘320做出的任何变化可以通过监控爬虫410实质地、立即地被观察到(完成抓取过程花费的额外的时间的可能的例外,这可以在几秒钟的数量级)。
[0052]这个问题的可选方法是使用可代替的超级块访问,一种磁盘取证使用的技术。使用这种解决方案,通过可替代的超级块,映射磁盘布局的只读目标406的主要超级块可以被绕过并且可以被访问。用可替代的超级块,具有肮脏状态的虚拟服务器磁盘320可以被访问而无需获得初始恢复。然而,该访问可以产生稍微不完整的虚拟服务器磁盘320的视图,因为部分数据或元数据在被访问的肮脏状态可能是陈旧的。这个解决方案在这种情形下更有用:设备的确切状态更关键,但是它一般更容易出错并且实施依赖于整个文件系统分布ο
[0053]在任何情况,一旦所需的特征已被用来获取这些特征的组件获得,那么这些特征就可以被丢弃。例如,只读目标406与虚拟磁盘之间的关联可以被分离并且通过dm-dup设备432或iscsi目标472映射的设备可以被移除。写时复制储存器404和/或只读目标406也可以被丢弃。此外,当不再使用时,爬虫框架通常被最小化。
[0054]再参照图1,由计算机系统102执行的特征分析器模块148可以分析一个或多个获取的特征154来执行虚拟服务器310 (图5)的被动监控。被动监控可以包括诸如如下的活动:扫描文件系统以执行以执行合规性检查,扫描目录以确定当前哪些应用被安装在系统上,安全性扫描,文件系统检查,许可使用监控等等。
[0055]现在参照图7,示出根据一个实施例的分析环境500。示出的分析环境包括根据本发明实施例的具有爬虫VM 540的物理服务器510。如图所示,在分析环境500中爬虫VM540与物理服务器510上的虚拟服务器530分离,并且本身可以是虚拟服务器530。然而,如之前所述的,其它的配置是可以的。爬虫VM 450包含爬虫代理542,对于多个虚拟服务器530的每个,爬虫代理542可以从储存器系统518获取提取的特征534,从而对整个物理服务器510执行被动监控服务。通过只读目标406(图5)爬虫代理542可以访问对应于任何虚拟服务器530的储存器系统518中的块来执行被动监控所需的所有功能。一旦需要的提取的特征534已被获取,这些提取的特征534可以被保存在爬虫文档仓库(crawl docstore) 538中,例如用于进一步处理和/或发送至另一个地点用于处理。非常基本的,爬虫文档仓库538可以作为由特征获取模块146和特征分析模块148产生的爬虫文档的数据仓库。爬虫文档仓库538可以用各种媒介和格式(例如简单的文件系统存储、关系数据库、非关系数据库诸如文档、键值、表、图形存储和/或类似的)存储这个信息。从更一般的角度,爬虫文档仓库538可以作为一个完整的知识库,其在基础数据仓库之上建立额外的逻辑并且执行进一步的文件处理以为VM内部、VM之间和VM状态信息的时间分析提供查询范围和分析能力。
[0056]这个设计的优点在于它允许要卸载的索引逻辑物理上与需要被监控的系统实际运行的位置紧邻,从而提高了它的可扩展性。例如,在虚拟化数据中心环境200中存在100个物理服务器210、212、214、216 (图2),并且每个物理服务器宿主25个虚拟服务器310 (图3)。通过在每个物理服务器210、212、214、216 (图2)运行爬虫VM 540 (即在每个物理服务器210、212、214、216上的第26个虚拟服务器230),爬虫VM 540的单个实例可以向与其共同定位的25个虚拟服务器530提供索引服务。作为优化,当索引操作不运行时,包括爬虫VM 540的虚拟服务器530 (图3)可以保持暂停(这样它可以很少使用或不使用物理服务器200上的CPU和/或存储器资源)。
[0057]这个设计的另一个优点在于它允许管理员用户120 (图1)执行网络220 (图2)的简单带宽优化以降低将提取的特征534传送回中心检测服务器550的数据量。例如,本发明将自从早期扫描改变的提取特征334发送至中心被动监控服务器550。这个优化可以极大地减少通过网络220 (图2)发送的数据量。
[0058]所执行的分析可以基于正在被执行的被动监测的类型进行区分。例如,在漂移检测分析中,特征分析模块148可以对提取的特征534的一个或多个元素与对应预配置的软件堆栈552的至少部分进行比较。通过比较这两者,特征分析模块148可以计算出文件系统结构、内容、状态等每个之间的差异。这个区别可以包括例如三部分:已被添加的数据、已被删除的数据以及已被修改的数据,所有与预配置的软件堆栈552相关。相对照,在恶意软件类型分析中,提取的特征534可以与已知的恶意软件代理的签名进行比较。在其它类型的分析中,提取的特征可以基于一组规则554进行分析,例如确定某些需求是否已被满足。规则554也可以通过分析发生在多个虚拟服务器530的耐受度差异统计地被推断出;可以通过自动地将文件分类为不变(例如可执行文件)、很少改变(配置文件)或不断变化(日志文件)被推断出;和/或可以基于评估工具执行的评估从外部信息源例如集群配置的描述被推断出。类似的基于规则的不变量可以被用来检测存储器状态的异常或恶意的行为。这些示例包括但不限于:检测未知的过程、可疑的网络连接以及代码段的修改。
[0059]现在转到图8,示出根据本发明实施例的示例流程图。如图所示,在S1,由计算机系统102 (图1)执行的只读设备创建模块142 (图1)创建只读目标406 (图5)。这个只读目标406(图5)可以基于虚拟服务器磁盘320(图5)的配置被创建,虚拟服务器310利用只读目标406访问与其相关联的储存器304。在S2,由计算机系统102 (图1)执行的虚拟磁盘暴露模块144 (图1)将只读目标406 (图5)与虚拟服务器磁盘320相关联。在S3,由计算机系统102 (图1)执行的特征获取模块146 (图1)从虚拟服务器磁盘320 (图4)获取了关于虚拟服务器310 (图5)的特征集合154。这个获取可以利用只读目标406(图5)由监控爬虫410 (图5)来执行。在S4,由计算机系统102 (图1)执行的特征分析模块148 (图1)分析获取的特征154 (图1)来执行虚拟服务器330 (图5)的被动监控。
[0060]虽然在此示出和描述了用于被动监控计算机系统的方法和系统,但是应该理解本发明的方面进一步提供了可选实施例。例如,在一个实施例中,本发明提供了在至少一个计算机可读介质中固定的计算机程序,当计算机程序被执行时,能够使计算机系统被动监控计算机系统。就此而言,计算机可读介质包括程序代码例如被动监控程序140 (图1),其实现在此描述的部分或全部过程。应该理解术语“计算机可读介质”包括现在已知的或后来开发的一个或多个任何类型的有形表达介质,通过“计算机可读介质”程序代码的副本可以被接收、复制或者由计算设备传送。例如,计算机可读介质可以包括:一个或多个便携式制造物的储存物件;计算设备的一个或多个存储器/储存器组件;和/或类似的。
[0061]在另一个实施例中,本发明提供一种提供程序代码副本的方法,例如被动监控程序140(图1),其实现了在此描述的部分或全部过程。在这种情况下,计算机系统可以处理实现了在此描述的过程的部分或全部程序代码的副本以产生并发送,用于在不同的位置1秒内接收具有一个或多个特征集合和/或以数据信号集合中的程序代码的副本进行编码的方式改变的数据信号集合。类似地,本发明的实施例提供了一种获取程序代码的副本的方法,其实现了在此描述的部分或全部过程,并且包括接收在此描述的数据信号集的计算机系统,以及将所述数据信号集转换为在至少一个计算机可读介质中固定的计算机程序的副本。在任何情况,使用任何类型的通信链接,数据信号集可以被发送/接收。
[0062]在又一实施例中,本发明提供一种产生用于被动监控计算机系统的系统的方法。在这种情形,计算机系统例如计算机系统120(图1)可以被获得