本申请涉及计算机技术领域,尤其涉及一种访问日志的转储方法及装置。
背景技术:
近年来,随着网络技术的不断发展,vpn(virtualprivatenetwork,虚拟专用网络)成为目前应用日趋成熟的一种组网技术。虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专业,来实现私有网络间数据流在公网上的传输。例如,在外地出差的公司人员可以通过公司架设的vpn服务器来访问公司内部的内网资源,相应的用户登录vpn客户端访问内网资源时,会产生访问内网资源的访问日志,而这些访问日志经常需要转储到日志服务器中。其中为了vpn服务器中系统管理和业务处理分离,将vpn服务器的多核系统分为控制平面和数据平面,两部分分配不同的cpu和独立的物理内存空间,控制平面使用的cpu为控制核,数据平面使用的cpu为数据核。
由于用户访问内网资源时所产生的访问日志,其属于控制类消息,因此vpn服务器在接收到访问日志时交由控制核进行处理后转发到日志服务器进行存储。当前是通过控制核来处理访问日志后转发到日志服务器进行存储,用户登录vpn客户端所涉及的请求、其它控制类消息都会通过控制核进行处理,当大量用户同时在线访问内网资源时,往往会产生大量的访问日志,大量的访问日志通过控制核进行处理,导致控制核满负载运行,部分访问日志需排队等待控制核进行处理,同时用户登录vpn客户端所涉及的请求的处理速度、其它控制类消息的处理速度以及访问日志的转储速度会降低。
技术实现要素:
有鉴于此,本申请提供一种访问日志的转储方法及装置。
具体地,本申请是通过如下技术方案实现的:
一种访问日志的转储方法,所述方法包括:
当用户登录vpn客户端访问内网资源时,vpn客户端获取为vpn服务器中数据核和控制核分别预先设置的相关联的端口,以及vpn服务器控制核处理流量的速率;
判断vpn服务器控制核处理流量的速率是否超过其预设的阈值;
在所述vpn服务器控制核处理流量的速率超过其预设的阈值的情况下,将访问内网资源所产生的访问日志,发往与vpn服务器数据核相关联的端口;
vpn服务器接收到所述访问日志交由数据核处理后,转发到日志服务器中进行存储。
一种访问日志的转储装置,所述装置包括:
获取单元,用于当用户登录vpn客户端访问内网资源时,vpn客户端获取为vpn服务器中数据核和控制核分别预先设置的相关联的端口,以及vpn服务器控制核处理流量的速率;
判断单元,用于判断vpn服务器控制核处理流量的速率是否超过其预设的阈值;
日志发送单元,用于在所述vpn服务器控制核处理流量的速率超过其预设的阈值的情况下,将访问内网资源所产生的访问日志,发往与vpn服务器数据核相关联的端口;
日志转储单元,用于vpn服务器接收到所述访问日志交由数据核处理后,转发到日志服务器中进行存储。
本申请中通过判断vpn服务器中控制核处理流量的速率是否超过阈值,以此来决定将访问日志发往数据核或控制核,由数据核或控制核处理后直接转发给日志服务器,可以有效的减少控制核的性能消耗,提高了用户登录vpn客户端所涉及的请求的处理速度、其它控制类消息的处理速度以及访问日志的转储速度。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请一示例性实施例示出的一种应用场景示意图;
图2是本申请一示例性实施例示出的访问日志转储的方法的一种实施流程图;
图3是本申请一示例性实施例示出的一种vpn服务器内部结构示意图;
图4是本申请一示例性实施例示出的一种控制类消息及业务数据在vpn服务器内部的处理示意图;
图5是本申请一示例性实施例示出的一种访问日志结构示意图;
图6是本申请一示例性实施例示出的一种访问日志转储到日志服务器的示意图;
图7是本申请一示例性实施例示出的访问日志的转储装置的一种结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先对本申请一种访问日志的转储方法进行说明,该方法可以包括以下步骤:
当用户登录vpn客户端访问内网资源时,vpn客户端获取为vpn服务器中数据核和控制核分别预先设置的相关联的端口,以及vpn服务器控制核处理流量的速率;
判断vpn服务器控制核处理流量的速率是否超过其预设的阈值;
在所述vpn服务器控制核处理流量的速率超过其预设的阈值的情况下,将访问内网资源所产生的访问日志,发往与vpn服务器数据核相关联的端口;
vpn服务器接收到所述访问日志交由数据核处理后,转发到日志服务器中进行存储。
在背景技术中提到,随着网络技术的不断发展,vpn成为目前应用日趋成熟的一种组网技术,出差在外的办公人员可以通过公司假设的vpn服务器来访问公司内部的内网资源,如图1所示的应用场景,使用vpn客户端来访问内网资源,相应的会产生访问内网资源的访问日志,而这些访问日志经常需要转储到日志服务器中。本申请在用户登录vpn客户端访问内网资源的情况下,获取vpn服务器预先设置好的端口,其中分别有端口与vpn服务器中的控制核与数据核关联,通过获取vpn服务器中控制核处理流量的速率,并判断其是否超过了预设的阈值,以此来决定将访问日志发往相应的端口,经过控制核或数据核处理后转发到日志服务器中进行存储。为了对本申请进一步说明,提供下列实施例:
如图2所示,为本申请访问日志的转储方法的一种实施流程图,其具体可以包括以下步骤:
s101,当用户登录vpn客户端访问内网资源时,vpn客户端获取为vpn服务器中数据核和控制核分别预先设置的相关联的端口,以及vpn服务器控制核处理流量的速率;
在一实施例中,用户登录vpn客户端访问内网资源,例如出差在外的办公人员需要获取某个应用程序的运行脚本,这个运行脚本放在资源共享系统下的某个文件夹中,vpn客户端需要获取为vpn服务器中数据核和控制核分别预先设置的相关联的端口,如图3所示,为一示例性vpn服务器内部结构示意图。根据图3所示,vpn客户端需要获取与控制核相关联的端口1450,与数据核相关联的端口1451。其中所述相关联的端口用于在vpn服务器接收到访问日志时根据端口判断该发往控制核或者数据核。vpn客户端也需要获取vpn服务其中控制核处理流量的速率,其目的在于判断控制核是否满负载运行。例如,vpn客户端获取控制核处理流量的速率为1mb/s。
s102,判断vpn服务器控制核处理流量的速率是否超过其预设的阈值;
在当前vpn服务器中,数据核的比例要高于控制核的比例,并且数据核的业务处理性能要远远高于控制核的业务处理性能。因此一般控制类消息往往会发到控制核进行处理,而大量的业务数据会发到数据核进行处理,如图4所示。对于数据核和控制核来说,其在单位时间内可以有效处理的业务是有限的,并且如果长时间满负载运行的话,也影响其寿命,更何况对于这种处理性能较低的控制核来说,因此要设置流量速率阈值,当控制核处理流量的速率超过其预设的阈值时,要做相应的处理。例如,如上述获取到的控制核处理流量的速率为1mb/s,判断其是否超过了预设的阈值。
s103,在所述vpn服务器控制核处理流量的速率超过其预设的阈值的情况下,将访问内网资源所产生的访问日志,发往与vpn服务器数据核相关联的端口;
在一实施例中,用户访问内网资源时生成访问日志,其中所述访问日志由用户源ip、源端口、目的ip、目的端口以及用户访问内网资源时生成的访问标识组成,所谓访问标识可以是所访问内网资源的名称,也可以是所访问内网资源的存放地址,也可以是访问内网资源的时间,也可以是其它任何一切与所访问内网资源相关联的属性,本申请在此并不作限定,其中可以在访问日志中加入源mac地址和目的mac地址。例如,本申请的访问日志可以如图5中所示的示例性访问日志。
在所述vpn服务器控制核处理流量的速率超过其预设的阈值的情况下,将上述所说的访问日志按照预设的加密协议加密,发往与vpn服务器数据核相关联的端口,意味着可以将访问日志当做业务数据,例如基于ssl协议的vpn,可以按照ssl协议中的加密规则对访问日志加密,并发往与vpn服务器数据核相关联的端口1451。在所述vpn服务器控制核处理流量的速率未超过其预设的阈值的情况下,按照现有技术方案进行处理。
s104,vpn服务器接收到所述访问日志交由数据核处理后,转发到日志服务器中进行存储。
在一实施例中,vpn服务器接收到所述访问日志,例如通过端口1451端口接收的访问日志,对访问日志进行解密,例如,如上述所说的基于ssl协议的vpn,根据ssl协议中的解密规则对访问日志解密。根据接收该访问日志的端口可知要将访问日志交由数据核进行处理,在数据核对访问日志处理完后,根据所述访问日志中携带的源ip、目的ip、源端口、目的端口转发到vpn服务器日志模块或远程服务器中进行存储。例如访问日志中携带的源ip为2.0.1.2,目的ip为127.0.0.1(本地ip地址),源端口为3966,目的端口为1451,将访问日志发往vpn服务器中日志模块进行存储,例如访问日志中携带的源ip为2.0.1.2,目的ip为192.168.0.1,源端口为3966,目的端口为1451,将访问日志发往远程服务器中进行存储,其示例性示意图如图6所示。
进一步的本申请还可以统计与数据核和控制核相关联的端口所接收的流量,并可以计算出控制核与数据核处理流量的速率。具体的可以监控单位时间内发往控制核和数据核的流量,对于数据核和控制核处理流量的速率的计算,可以统计单位时间内数据核和控制核处理好的流量,即为数据核和控制核处理流量的速率。当vpn服务器监测到用户登录vpn客户端时,将所计算的控制核处理流量的速率发往vpn客户端。
本申请中通过判断vpn服务器中控制核处理流量的速率是否超过阈值,以此来决定将访问日志发往数据核或控制核,由数据核或控制核处理后直接转发给日志服务器,可以有效的减少控制核的性能消耗,提高了用户登录vpn客户端所涉及的请求的处理速度、其它控制类消息的处理速度以及访问日志的转储速度。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
与前述访问日志的转储方法的实施例相对应,本申请还提供了访问日志的转储装置的实施例,如图7所示,包括获取单元200、判断单元210、日志发送单元220、日志转储单元230。
所述获取单元200,用于当用户登录vpn客户端访问内网资源时,vpn客户端获取为vpn服务器中数据核和控制核分别预先设置的相关联的端口,以及vpn服务器控制核处理流量的速率;
所述判断单元210,用于判断vpn服务器控制核处理流量的速率是否超过其预设的阈值;
所述日志发送单元220,用于在所述vpn服务器控制核处理流量的速率超过其预设的阈值的情况下,将访问内网资源所产生的访问日志,发往与vpn服务器数据核相关联的端口;
所述日志转储单元230,用于vpn服务器接收到所述访问日志交由数据核处理后,转发到日志服务器中进行存储。
在本申请的一种具体实施方式中,所述访问日志包括:
源ip、目的ip、源端口、目的端口以及所访问内网资源的属性值。
在本申请的一种具体实施方式中,所述日志转储单元230具体用于:
vpn服务器接收到所述访问日志交由数据核处理后,根据所述访问日志中携带的源ip、目的ip、源端口、目的端口转发到vpn服务器日志模块或远程服务器中进行存储。
在本申请的一种具体实施方式中,所述装置还包括:
流量统计单元240,用于所述vpn服务器统计与数据核和控制核相关联的端口所接收的流量。
在本申请的具体实施方式中,所述装置还包括:
发送单元250,用于当vpn服务器监测到用户登录vpn客户端时,将所计算的控制核处理流量的速率发往vpn客户端。
上述系统中各个单元的作用实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于系统实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明可以在由计算机执行的计算值可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。