专利名称:自动化网络基础设施审计系统的制作方法
技术领域:
本发明涉及改进的计算系统。更具体地,本发明涉及用于审计资源管理系统的受管理区域中的基础设施的方法和装置。
背景技术:
在数据处理系统中,术语基础设施可以被看作支持信息流动和信息处理的一切东西。该术语包括互连硬件和软件,以及被互连的计算机和其他设备。监控基础设施的状态对于系统管理员特别重要。在任何给定时间,机器的基础设施的状态应该是期望它处于的状态很有必要。
数据处理系统所遇到的问题是在没有管理员认可的情况下系统的基础设施可能改变或被改变。理想情况,对系统基础设施的所有改变应该被管理,以使基础设施的“应该是(should be)”状态被适当地更新。但是,在正确的机制以外可能发生结构上的改变。这种未被许可的改变是不合需要的,因为它们造成了基础设施内的不一致性。例如,如果Windows端点具有规定了日志文件的路径的设置,并且该设置偶然地被用UNIX格式表述,则可能出现寻找该日志文件的错误,如同该日志文件丢失,即使文件就在那里。另一个例子将是规定端点应该被扫描为Windows机器而非高级交互执行(Advanced InteractiveExecutive,AIX)机器的设置在扫描产生几个错误时,可能导致很多错误。在大规模的复杂系统中,未被许可的改变尤其麻烦,因为改变可能是一百万基础设施设置中的一个很小的设置。传统上,如果管理员们试图定位该改变,则他们面临冗长且单调的过程,因为管理员们不得不逐一检查每一个设置。
因此,具有用于审计基础设施的结构的系统和方法将是有益的,所述方法和系统通过将储存的状态数据和后来检索到的数据进行比较来定位基础设施的结构中的差异,以证实系统的状态是它应该处于的状态。具有用于审计基础设施的结构的自动化方法也将是有益的。
发明内容
本发明提供了用于审计资源管理系统的受管理区域中的基础设施的自动化方法和系统。利用本发明的装置和方法,资源管理区域为了得到基础设施结构信息查询端点或客户端。端点可以从结构文件收集基础设施结构信息,结构文件可以被放置在端点内或者资源管理区域上。例如,通过执行预先定义的命令,可以从来自命令行接口的运行命令收集基础设施结构信息,所述预先定义的命令例如由Tivoli所开发的那些,它们返回一些值。在资源管理区域从端点检索到基础设施结构信息后,资源管理区域产生参考文件,参考文件详述了数据处理系统的基础设施的状态。然后,包含基础设施状态的该参考文件被储存在数据库中。
以后,通过将储存的参考文件和包含基础设施的当前状态的新文件进行比较,可以定位储存的基础设施状态和基础设施的当前状态之间的差异。差异可以包括对基础设施的经授权和未经授权的改变。资源管理区域以和参考文件被产生的方式相同的方式产生当前文件。但是,由于当前文件被晚于参考文件产生,所以,从参考文件被产生的时间开始,可能已经发生过对基础设施结构的改变。资源管理区域使用比较引擎,通过将储存的参考文件和当前文件进行比较来定位这样的改变。
如果找到了参考结构文件和当前结构文件之间的任何差异,则资源管理区域向被指定的接收者传送通知。例如,被指定的接收者可以是系统管理员。发送到被指定的接收者的通知告诉接收者,如果在系统环境中改变经过授权,但是在数据库中储存的参考文件中还没有被调整,则基础设施的状态需要被改变。通知可以包括像收集的数据和储存的数据之间的差异列表、报告日期、客户ID、端点名称等等这样的内容。
本发明降低了当基础设施中的设置与认为它们所处于的状态不一致时可能发生的大量管理和维护劳动力成本。在对基础设施结构的未经授权的改变被传播和引起额外的问题之前,可以发觉它们并对其进行补救。
在下面详细的书面描述中,本发明的上述以及另外的目的、特征和优点将变得清晰。
在所附权利要求中给出了相信为本发明特有的新颖特征。但是,通过参考下面对说明性实施例的详细描述,结合附图阅读,可以最佳地理解本发明自身和优选的使用方式,及其目的和优点,其中图1绘出了分布式数据处理系统的图形表示,在该系统中实施了本发明;图2是框图,示出了其中可以实施本发明的数据处理系统;图3是绘出在实施本发明的数据处理系统中可以使用的元件的图;图4是流程图,绘出了在根据本发明的逻辑设计中的过程;和图5是绘出在实施本发明的受管理多审计系统中可以使用的元件的图。
具体实施例方式
本发明提供了用于审计资源管理系统的受管理区域中的基础设施的方法和装置。本发明可以被在任何分布式计算系统中实施。在优选实施例中,本发明被在由TMR区域或资源管理区域和一个或更多个受管理节点构成的Tivoli管理区域中实施,在Tivoli管理区域中利用了其上运行Tivoli应用程序的Tivoli大型机。
图1是根据本发明的分布式计算系统100的示例图。如图1中所示,分布式计算系统包括第一资源管理服务器110,第一资源管理服务器110通过网络115耦合到另一资源管理服务器150,网络115是用来在分布式计算系统100内被连接在一起的各种设备和计算机之间提供通信链路的介质。网络115可以包括例如有线、无线通信链路、光缆等的连接。
在所绘出的例子中,资源管理服务器110和150管理网关120-130、160-170和受管理节点140和180上的资源。客户端,或端点135、145、175和185分别通过网关或受管理节点运行。分布式计算系统100可以包括额外的服务器、客户端和其他未被示出的设备。端点可以是个人计算机、工作站、打印机、扫描仪、储存设备,或者是任何其他能够与网关和受管理节点通信的设备。
在所绘出的例子中,网络115可以是因特网,由网络115代表全世界使用TCP/IP协议组互相通信的网络和网关的集合。在因特网的核心是主要节点和主机之间的高速数据通信线路骨干,主要节点和主机由成千上万的路由数据和消息的企业、政府、教育和其他计算机系统所组成。
当然,分布式计算系统100也可以被实施为很多不同类型的网络,例如企业内联网、局域网(LAN)、广域网(WAN)等。图1旨在举例,并非作为对本发明的体系结构的限制。
参考图2,根据本发明的优选实施例,绘出了可以被实施为例如图1中的服务器110或150的服务器的数据处理系统的框图。数据处理系统200可以是包括连接到系统总线206的多个处理器202和204的对称型多处理器(SMP)系统。或者,可以采用单处理器系统。存储器控制器/缓存208也被连接到系统总线206,存储器控制器/缓存208提供了到本地存储器209的接口。I/O总线桥210被连接到系统总线206,并提供到I/O总线212的接口。存储器控制器/缓存208和I/O总线桥210可以如图所示那样被集成。
连接到I/O总线212的互连外围设备(PCI)总线桥214提供了到PCI局部总线216的接口。很多调制解调器可以被连接到PCI局部总线216。典型的PCI总线实施将支持四个PCI扩展插槽或外接连接器(add-in connector)。通过经外接板被连接到PCI局部总线216的网络适配器220,可以提供图1中到受管理节点和网关的通信链路。额外的PCI总线桥222和224为额外的PCI局部总线226和228提供了接口,从PCI局部总线226和228,额外的网络适配器可以被支持。以这种方式,数据处理系统200实现了连接到多个网络计算机和设备。如图所示,存储器映射图形适配器230和硬盘232也可以被直接或间接地连接到I/O总线212。
本领域普通技术人员将理解,根据实施方案的不同,图2中的硬件可以改变。例如,除了所绘出的硬件以外,或者是代替所绘出的硬件,还可以使用其他的外围设备,例如光盘驱动器等。所绘出的例子不意味着针对本发明的体系结构的限制。例如,本发明的过程可以被应用到多处理器数据处理系统。
例如,图2中所绘出的数据处理系统可以是IBM eServer pSerie系统,是位于纽约州Armonk的国际商用机器公司的产品,运行高级交互执行(AIX)操作系统或LINUX操作系统。如先前所讨论的那样,本发明提供了用于审计受管理区域中的基础设施的机制。利用本发明执行了四个基本功能产生参考基础设施结构文件和当前基础设施结构文件;将参考基础设施结构文件和当前基础设施结构文件进行比较,确定在文件之间是否存在差异;如果找到了改变,则将通知传送给系统管理员;和,如果对基础设施的改变经过授权,则更新数据库中的参考结构文件。
在下面的例子中,为了清晰的目的,将只针对一个资源管理服务器描述审计系统。但是,不偏离本发明的精神和范围,本发明的原理和过程可以被用于两个或更多个资源管理服务器。
参考图3,框图示出了根据本发明的基础设施审计系统。资源管理区域330为了得到基础设施的状态,查询端点或客户端340和350。端点340和350可以从结构文件收集基础设施结构信息,结构文件可以被放置在端点内或资源管理区域上。例如,通过执行事先存在的命令,可以从来自命令行接口的运行命令收集基础设施结构信息,所述事先存在的命令例如由Tivoli所开发的那些,它们返回一些值。资源管理区域330从端点检索基础设施结构信息,然后产生参考结构文件,参考结构文件包含有关管理系统的基础设施的状态的细节。然后,包含基础设施的状态的该参考结构文件被储存在数据库320中。
以后,通过将储存的参考结构文件和包含基础设施的当前状态的新文件进行比较,可以定位储存的基础设施状态和基础设施的当前状态之间的差异。差异可以包括对基础设施结构的经授权和未经授权的改变。资源管理区域330可以用和参考结构文件被产生的方式相同的方式产生当前结构文件。但是,由于当前结构文件被晚于参考结构文件产生,所以,从参考结构文件被产生的时间开始,可能已经发生过对基础设施结构的改变。资源管理区域330使用比较引擎,通过将参考结构文件和当前结构文件进行比较来定位这样的改变。
如果找到了参考结构文件和当前结构文件之间的差异,则资源管理区域330向被指定的接收者310传送通知。例如,被指定的接收者310可以是系统管理员。发送到被指定的接收者310的通知可以包括像收集的数据和储存的数据之间的差异列表、报告日期、客户ID、端点名称等等这样的内容。
如果参考结构文件和当前结构文件之间的差异被确定是已经被授权的改变,则提供有关数据库320中的参考结构文件中的差异被更新的通知。
因此,本发明提供了用于审计资源管理分布式计算系统中的基础设施的机制。利用本发明,包含在较早产生的参考结构文件中的基础设施状态和包含在当前结构文件中的基础设施的当前状态之间的差异可以被识别,以便定位对基础设施未经授权的改变。
图4是流程图,概括地描述了本发明的示范性操作。应该理解,流程解的每一个块,以及流程解中的块的组合可以由计算机程序指令实施。这些计算机程序指令可以被提供给处理器或者其他的可编程数据处理装置,以产生机器,以使在处理器或其他可编程数据处理装置上执行的指令生成用于实施在流程图块中规定的功能的装置。这些计算机程序指令也可以被储存在计算机可读存储器或者储存介质中,计算机可读存储器或者储存介质可以指挥处理器或其他可编程数据处理装置以特定方式发挥功能,以使储存在计算机可读存储器或储存介质中的指令产生包括实施在流程图块中所规定的功能的指令装置的制造物。
因此,流程解的块支持用于执行规定的功能的装置的组合,用于执行规定的功能的步骤的组合,和用于执行规定的功能的程序指令装置。还应该理解,流程解的每一个块以及流程解中的块的组合可以由执行规定的功能或步骤的专用的基于硬件的计算机系统实施,或者由专用硬件和计算机指令的组合实施。
如图4中所示,审计操作以从数据库检索资源管理系统的参考基础设施结构文件开始(步骤410)。此后,资源管理区域从由端点接收到或由资源管理区域自身收集到的当前基础设施数据产生当前基础设施结构文件(步骤420)。在参考基础设施结构文件和当前基础设施结构文件之间执行比较(步骤430)。然后,参考基础设施结构文件和当前基础设施结构文件之间的差异被识别,并被传送到指定的接收者(步骤440)。
如前所述,本发明涉及产生参考和当前结构文件,并识别这些文件之间的差异。本发明还可以被在单个模块中实施,每一个模块均在主程序中同时工作。图5示出了本发明如何可扩展,并示出了具有子部件或模块的主审计设备的过程流程。图5示出了不同的模块可以怎样被包括在系统中,在这个例子中,不同的模块包括库存模块506、软件分布设备508和分布式监控(DM)/ITM模块510。每一个模块执行对基础设施的特定部分的审计。主审计设备502管理整个审计过程。主审计设备502请求不同的模块收集和集中有关系统基础设施的数据。主审计设备502可以在整个系统上运行审计,从而从所有的模块接收基础设施数据,或者,它可以在单个模块上运行审计。通过允许主审计设备502的来自同一服务器或多个服务器的多个实例,也可以实现多个同时发生的查询。
使用库存(inventory)模块506作为例子,如果主审计设备502运行审计,确定所有的库存结构处于正确的工作顺序,则库存模块506将为了当前库存基础设施数据而查询端点和/或资源管理系统512。端点和/或资源管理系统512将数据返回到库存模块506。然后,库存模块506从结构管理数据库504请求被储存的库存基础设施数据。模块将储存在数据库中的期望结构与当前数据进行比较。如果比较导致任何差异,则库存模块506向主审计设备502报告这些差异。库存模块506还把格式化数据返回到主审计设备502,主审计设备502将该数据储存在数据库504中。
如图5中所示的本发明示出了三个审计模块——库存、软件分布和DM/ITM。但是,本发明不局限于特定的模块,而且它也不特定于某种产品。这意味着对本发明的使用仅受用户可能想要审计的其他产品的数量限制。为了辅助这个过程,应该生成新的数据库表和查询,并且,每一个产品的模块可能只需要被加入本发明的目录源路径。当新产品被加入环境时,可以为该新产品构建新模块,以使新模块对主审计设备来说可用,以便在基础设施的那部分上运行审计。每一个模块将执行参考结构文件和当前结构文件的比较,并将差异传送到本发明的被指定的接收者。
因此,本发明提供了用于审计资源管理系统中的基础设施的方法和装置。由于上面所提供的详细描述,本发明的优点应该是清晰的。使用现有方法,人们最终能够定位数据处理系统的基础设施内的问题。但是,已经证明这样的任务困难而且费时,因为基础设施内的每一个单个设置都必须被检查,直到找到问题为止。相反,通过几乎自动化的任务,本发明不仅减少了用来检查基础设施的一致性的极多数量的时间和资源,而且它还将帮助保证基础设施被配置成它应该是的状态,减少了基础设施不一致性引起的问题。
重要的是注意到虽然已经在功能完善的数据处理系统的上下文中描述了本发明,但是本领域普通技术人员将理解,本发明的过程能够被以指令的计算机可读介质的形式和各种形式分布,并且,无论实际上用来完成分布的信号承载介质的特定类型如何,本发明均同样地适用。计算机可读介质的例子包括可记录类型介质,例如软盘、硬盘驱动器、RAM和CD-ROM,以及传输类型介质,例如数字和模拟通信链路。
已经为了说明和描述的目的给出了本发明的描述,但是,它不是打算巨细无遗或将本发明限于所公开的形式。对本领域普通技术人员,很多修改和变化将是清楚的。为了最好地解释本发明的原理、实际应用,并为了使得本领域普通技术人员能够针对具有适合所构思的特定使用的各种修改的各种实施例理解本发明,选择和描述了实施例。
权利要求
1.一种审计数据处理系统中的基础设施的方法,所述方法包含识别资源管理系统中的参考基础设施状态;识别资源管理系统中的当前基础设施状态;确定参考基础设施状态和当前基础设施状态之间的差别;以及,如果识别出参考基础设施状态和当前基础设施状态之间的差别,则将通知发送到被指定的接收者。
2.如权利要求1或2所述的方法,还包含将参考基础设施状态储存在数据库中。
3.如权利要求1、2或3所述的方法,还包含用当前基础设施状态手工更新数据库中的参考基础设施状态。
4.如权利要求1、2或3所述的方法,其中,资源管理系统是Tivoli管理区域(TMR)。
5.如权利要求1到4中的任一个所述的方法,其中,通知被发送到系统管理员。
6.如权利要求1到5中的任一个所述的方法,其中,通知包括报告日期。
7.如权利要求1到6中的任一个所述的方法,其中,通知包括至少一个客户ID。
8.如权利要求1到6中的任一个所述的方法,其中,通知包括至少一个端点名称。
9.如权利要求1到8中的任一个所述的方法,其中,识别资源管理系统中的当前基础设施状态包括从资源管理系统自身收集基础设施数据。
10.如权利要求1到9中的任一个所述的方法,其中,识别资源管理系统中的当前基础设施状态包括从连接到资源管理系统的端点收集基础设施数据。
11.如权利要求1到10中的任一个所述的方法,其中,识别资源管理系统中的当前基础设施状态被使用CLI命令执行。
12.一种用于审计基础设施的数据处理系统,包含用于识别资源管理系统中的参考基础设施状态的装置;用于识别资源管理系统中的当前基础设施状态的装置;用于确定参考基础设施状态和当前基础设施状态之间的差别的装置;和,用于如果识别出参考基础设施状态和当前基础设施状态之间的差别,则将通知发送到被指定的接收者的装置。
13.如权利要求12所述的数据处理系统,还包含用于将参考基础设施状态储存在数据库中的装置。
14.如权利要求12或13所述的数据处理系统,还包含用于用当前基础设施状态更新数据库中的参考基础设施状态的装置。
15.如权利要求12、13或14中的任一个所述的数据处理系统,其中,资源管理系统是Tivoli管理区域(TMR)。
16.如权利要求12到15中的任一个所述的数据处理系统,其中,通知包括报告日期。
17.如权利要求12到16中的任一个所述的数据处理系统,其中,通知包括至少一个客户ID。
18.如权利要求12到17中的任一个所述的数据处理系统,其中,通知包括至少一个端点名称。
19.如权利要求12到18中的任一个所述的数据处理系统,其中,识别资源管理系统中的当前基础设施状态包括从资源管理系统自身收集基础设施数据。
20.如权利要求12到19中的任一个所述的数据处理系统,其中,识别资源管理系统中的当前基础设施状态包括从至少一个连接到资源管理系统的端点收集基础设施数据。
21.一种用于执行基础设施审计的数据处理系统,包含用于收集参考基础设施状态的数据提取程序;用于收集当前基础设施状态的数据提取程序;用于将参考基础设施状态和当前基础设施状态进行比较的比较引擎;用于报告参考基础设施状态和当前基础设施状态之间的任何差异的通知引擎。
22.如权利要求21所述的数据处理系统,还包含用于储存参考基础设施状态的数据库。
23.计算机可读介质中的一种用于审计基础设施的计算机程序产品,包含用于识别资源管理系统中的参考基础设施状态的指令;用于识别资源管理系统中的当前基础设施状态的指令;用于确定参考基础设施状态和当前基础设施状态之间的差别的指令;和,用于如果识别出参考基础设施状态和当前基础设施状态之间的差别,则将通知发送到被指定的接收者的指令。
24.如权利要求23所述的计算机程序产品,还包含用于将参考基础设施状态储存在数据库中的指令。
25.一种用于审计基础设施的系统,所述系统包含数据库;多个审计模块,其中,所述多个审计模块中的每一个均识别基础设施随时间发生的改变,并审计系统基础设施的不同部分;和,主审计设备,其中,所述主审计设备请求所述多个审计模块中的至少一个来识别基础设施随时间发生的改变、收集审计数据,和将审计数据储存在数据库中。
全文摘要
本发明提供了用于审计资源管理系统的受管理区域中的基础设施的自动化方法和系统。资源管理区域查询系统中的端点,检索参考基础设施结构数据,并将数据储存在数据库中。以后,资源管理区域再次查询端点和资源管理区域自身,并检索当前基础设施结构数据。通过将参考基础设施数据与当前基础设施数据进行比较,找到从参考基础设施数据被产生的时间到当前基础设施数据被产生的时间系统基础设施状态的变化。如果找到未经授权的改变,则资源管理区域将通知传送到系统管理员。本发明减少了当基础设施中的设置和它们应该处于的状态不一致时可能发生的大量的管理和维护劳动力成本。
文档编号H04L12/24GK1799218SQ200480014956
公开日2006年7月5日 申请日期2004年5月18日 优先权日2003年6月5日
发明者隆达·奇尔德雷斯, 本特·沃特森·兰姆, 托马斯·莱恩·纽顿, 迈克尔·布鲁斯·奥利弗, 拉维拉简·拉简, 乔纳森·萨姆恩, 斯蒂文·维恩伯格 申请人:国际商业机器公司