自动提取日志的方法、装置及系统与流程

本发明涉及信息安全技术领域，尤其是涉及一种自动提取日志的方法、装置及系统。

背景技术：

现阶段，我国网络安全形势日趋严峻复杂，网络安全事件层出不穷。在网络安全事件的侦破过程中，日志提取是一个必不可少的环节，也是一个必经阶段。

随着网络通信技术的发展，部署在网络环境中的设备和系统服务都越来越多，越来越复杂化，从而导致网络环境中产生的日志呈现“海量”、“复杂”的特点。这使得现有的通过人工的方式提取日志的方法，出现了很多难以克服的问题，比如：日志提取不全面、提取效率低、提取时间长、反复提取等。

在发生网络安全事件后，上述日志提取不全面、提取效率低等问题，进一步导致无法快速的定位日志、抓取日志以获得线索，从而拖延侦破网络安全事件的进度。

技术实现要素：

有鉴于此，本发明的目的在于提供一种自动提取日志的方法、装置及系统，使得网络安全应急处置人员可以快速、自动提取日志并加以分析，从而获得线索，加快侦破网络安全事件的进度。

第一方面，本发明实施例提供了一种自动提取日志的方法，包括：

获取目标服务器的基础信息；基础信息包括：进程信息、服务信息、系统信息、网络端口信息中至少一项；

根据基础信息进行分析，得到目标服务器的日志存储路径；

基于日志存储路径，生成日志信息说明文件。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，获取目标服务器的基础信息，具体包括：

接收用户输入的提取信息，其中，提取信息为提取日志的信息；

根据提取信息扫描目标服务器，并判断目标服务器的系统类型；

执行与系统类型相匹配的命令脚本，得到目标服务器的基础信息。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，根据基础信息进行分析，得到目标服务器的日志存储路径，具体包括：

根据进程信息，查找目标服务器的数据库进程信息；

根据数据库进程信息查找命令行信息；

对命令行信息进行解析，得到数据库的配置文件和说明文件；

分别解析配置文件和说明文件，得到解析结果；

将解析结果与预设策略库中的特征信息进行比对，查找到日志存储路径；日志存储路径包括：第一数据库日志存储路径或者项目源文件存储路径。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，根据基础信息进行分析，得到目标服务器的日志存储路径，还包括：

根据服务信息，查找目标服务器的数据库服务信息；

对数据库服务信息进行解析，得到数据库的安装路径和数据库的配置路径；

根据安装路径和配置路径，查找目标服务器的配置文件和目标服务器的说明文件；

分别解析配置文件和说明文件，得到解析结果；

将解析结果与预设策略库中的特征信息进行比对，查找到日志存储路径；日志存储路径包括第二数据库存储路径。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，根据基础信息进行分析，得到目标服务器的日志存储路径，还包括：

根据系统信息，判断目标服务器的数据库的系统类型；

将数据库的系统类型与预设策略库中的特征信息进行比对，查找对应的日志存储路径；日志存储路径包括系统日志路径。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，根据基础信息进行分析，得到目标服务器的日志存储路径，还包括：

将网络端口信息与预设策略库中的特征信息进行比对，查找对应的日志存储路径；日志存储路径包括：边界设备日志存储路径。

结合第一方面，本发明实施例提供了第一方面的第六种可能的实施方式，其中，基于日志存储路径，生成日志信息说明文件，包括：

根据日志存储路径，提取相应的日志内容；

将日志内容进行压缩拷贝，生成日志信息说明文件。

第二方面，本发明实施例提供一种自动提取日志的装置，包括：

基础信息获取模块，用于获取目标服务器的基础信息；基础信息包括：进程信息、服务信息、系统信息、网络端口信息中至少一项；

分析模块，用于根据基础信息进行分析，得到目标服务器的日志存储路径；

日志提取模块，用于根据日志存储路径，提取日志内容并生成日志信息说明文件。

第三方面，本发明实施例还提供一种自动提取日志的系统，包括：服务器以及如第二方面所述的自动提取日志的装置；

自动提取日志的装置与服务器连接。

第四方面，本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，程序代码使处理器执行第一方面所述的方法。

本发明实施例带来了以下有益效果：

在本发明实施例提供的自动提取日志的方法中，自动提取日志的装置首先获取目标服务器的基础信息，其中，基础信息包括：进程信息、服务信息、系统信息、网络端口信息中至少一项；然后根据基础信息进行分析，得到目标服务器的日志存储路径；最后基于日志存储路径，生成日志信息说明文件。该自动提取日志的方法使得网络安全应急处置人员可以快速、自动提取日志并加以分析，从而获得线索，加快侦破网络安全事件的进度。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种自动提取日志的方法的流程图；

图2为本发明实施例提供的另一种自动提取日志的方法的流程图；

图3为本发明实施例提供的另一种自动提取日志的方法的流程图；

图4为本发明实施例提供的另一种自动提取日志的方法的流程图；

图5为本发明实施例提供的另一种自动提取日志的方法的流程图；

图6为本发明实施例提供的另一种自动提取日志的方法的流程图；

图7为本发明实施例提供的另一种自动提取日志的方法的流程图；

图8为本发明实施例提供的一种自动提取日志的装置的示意图；

图9为本发明实施例提供的一种自动提取日志的系统的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前现有的人工日志提取方式存在日志提取不全面、提取效率低等问题，进一步导致无法快速的定位日志、抓取日志以获得线索，从而拖延侦破网络安全事件的进度。

基于此，本发明实施例提供一种自动提取日志的方法、装置及系统，使得网络安全应急处置人员可以快速、自动提取日志并加以分析，从而获得线索，加快侦破网络安全事件的进度。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种自动提取日志的方法进行详细介绍。

实施例一：

本发明实施例提供了一种自动提取日志的方法，该方法在自动提取日志的装置一侧被执行，可以对与其连接的服务器自动进行日志提取。参见图1所示，具体包括以下步骤：

s101：获取目标服务器的基础信息。

其中，基础信息包括：进程信息、服务信息、系统信息、网络端口信息中至少一项。

具体的基础信息获取过程参见图2所示，包括以下几个步骤：

s201：接收用户输入的提取信息。

其中，提取信息为提取日志的信息。具体实现的时候，提取日志的信息可以包括按动自动提取日志的装置的按钮所产生的提取请求，也可以包括对系统进行设置的相关信息，比如：系统类型、web服务器类型、数据库类型等。

s202：根据提取信息扫描目标服务器，并判断目标服务器的系统类型。

在接收到用户输入的提取信息后，对目标服务器进行扫描，并判断目标服务器的系统类型，比如windows操作系统或者linux操作系统。

s203：执行与系统类型相匹配的命令脚本，得到目标服务器的基础信息。

在判断出目标服务器的系统类型后，针对该系统类型，执行相应的命令脚本，进一步依据执行的命令脚本获取服务器的服务、进程、网络、端口等信息。

s102：根据基础信息进行分析，得到目标服务器的日志存储路径。

在获取到目标服务器的基础信息后，开始对基础信息进行分析，从而得到目标服务器的日志存储路径。获取日志存储路径的过程，具体包括以下多种方式：

方式一，参见图3所示：

s301：根据进程信息，查找目标服务器的数据库进程信息。

s302：根据数据库进程信息查找命令行信息。

s303：对命令行信息进行解析，得到数据库的配置文件和说明文件。

s304：分别解析配置文件和说明文件，得到解析结果。

s305：将解析结果与预设策略库中的特征信息进行比对，查找到日志存储路径。

通过上述方式得到的日志存储路径包括：第一数据库日志存储路径或者项目源文件存储路径。

方式二，参见图4所示：

s401：根据服务信息，查找目标服务器的数据库服务信息。

s402：对数据库服务信息进行解析，得到数据库的安装路径和数据库的配置路径。

s403：根据安装路径和配置路径，查找目标服务器的配置文件和目标服务器的说明文件。

s404：分别解析配置文件和说明文件，得到解析结果。

s405：将解析结果与预设策略库中的特征信息进行比对，查找到日志存储路径。

通过上述方式得到的日志存储路径包括第二数据库存储路径。

方式三，参见图5所示：

s501：根据系统信息，判断目标服务器的数据库的系统类型。

s502：将数据库的系统类型与预设策略库中的特征信息进行比对，查找对应的日志存储路径。

通过上述方式得到的日志存储路径包括系统日志路径。

方式四，参见图6所示：

s601：将网络端口信息与预设策略库中的特征信息进行比对，查找对应的日志存储路径。

通过上述方式得到的日志存储路径包括：边界设备日志存储路径。

上述几种方式中，均需要与预设策略库中的特征信息进行比对，预设策略库中特征信息包括：系统类型、版本、特征、说明文件路径、日志存储路径等等多种信息。通过预先获取的基础信息：进程信息、服务信息、系统信息、网络端口信息中任一项，以及预设策略库中的特征信息，均可以获取到相应的日志存储路径，进而获取到日志信息说明文件。

s103：基于日志存储路径，生成日志信息说明文件。

具体的说明文件生成过程包括以下步骤，参见图7所示：

s701：根据日志存储路径，提取相应的日志内容。

s702：将日志内容进行压缩拷贝，生成日志信息说明文件。

在实际应用中，处置人员把日志提取装置(也就是自动提取日志的装置)连接到目标服务器(usb的方式或者无线通信方式)，点击启动按钮，并设置相关信息，如：系统类型、web服务器类型、数据库类型(也可以不进行设置)，日志提取装置开始扫描服务器，判断服务器系统类型；通过不同的脚本获取服务器的服务、进程、网络、端口等信息；对获取到的信息进行梳理分析(也就是采用上述多种获取日志存储路径的方式得到日志存储路径)，根据日志存储路径得到相应日志信息，压缩拷贝日志信息到日志提取装置中，并生成日志信息说明文件。

本发明实施例提供的自动提取日志的方法，通过对获取的目标服务器的基础信息的分析，找到目标服务器的日志存储路径，进而根据该路径生成日志信息说明文件。此方法使得网络安全应急处置人员可以快速、自动提取日志并加以分析，从而获得线索，加快侦破网络安全事件的进度。

实施例二：

本发明实施例提供一种自动提取日志的装置，参见图8所示，该装置包括：基础信息获取模块81、分析模块82、日志提取模块83。

其中，基础信息获取模块81，用于获取目标服务器的基础信息；基础信息包括：进程信息、服务信息、系统信息、网络端口信息中至少一项；

分析模块82，用于根据基础信息进行分析，得到目标服务器的日志存储路径；

日志提取模块83，用于根据日志存储路径，提取日志内容并生成日志信息说明文件。

本发明实施例所提供的自动提取日志的装置，与前述自动提取日志的方法具有相同的技术特征，因此，同样可以实现上述功能。该装置的具体工作过程参见上述方法实施例，在此不再赘述。

实施例三：

本发明实施例还提供一种自动提取日志的系统，参见图9所示，该系统包括：服务器91以及如实施例二所述的自动提取日志的装置92；自动提取日志的装置92与服务器91连接。

具体的，自动提取日志的装置92可以通过usb的方式连接到需要提取日志的服务器91上，也可以通过无线通信的方式连接到需要提取日志的服务器91上。

本发明实施例所提供的自动提取日志的系统中，服务器和自动提取日志的装置的具体交互过程与前述自动提取日志的方法具有相同的技术特征，因此，同样可以实现上述功能。服务器和自动提取日志的装置的具体工作过程参见上述方法实施例，在此不再赘述。

本发明实施例所提供的自动提取日志的方法的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置及电子设备的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

附图中的流程图和框图显示了根据本发明的多个实施例方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。