运维审计系统的优化方法及系统与流程

本发明涉及互联网技术领域，特别是涉及一种运维审计系统的优化方法及系统。

背景技术：

目前，随着互联网技术的不断发展，企业内部的基础设施设备数量快速增长。同时，在企业内部日常工作环境中，各类终端设备种类也越来越多，例如，pc、平板电脑、智能手机等。越来越多的终端设备需要接入企业内网，对基础设施设备进行访问和操作。为了保障企业内网的安全，运维审计系统在终端设备和基础设施设备之间构建起一道防护层，有效地防止内部人员的违规操作行为，保证系统不受损坏、数据不遭泄漏，并杜绝黑客攻击等。

应用运维审计系统，虽然提高了终端设备访问基础设施设备的安全性，但是，接管并处理用户的大量访问请求、存储用户的操作日志和录像等任务均由运维审计系统承担，造成该系统负载不断升高，而且，在运维审计系统最初设计时，很难对网络、存储和计算等资源的需求有一个合理的评估，导致在企业规模扩大时，该系统的处理能力跟不上发展，无法满足需求，因此，现有的运维审计系统存在扩展性低、部署较差和服务不稳定等问题。

技术实现要素：

针对于上述问题，本发明提供一种运维审计系统的优化方法及系统，解决了运维审计系统中的可扩展性差、部署较差和稳定性低的问题。

为了实现上述目的，本发明提供了如下技术方案：

一种运维审计系统的优化方法，所述运维审计系统分别连接终端设备和基础设施设备，且所述运维审计系统包括认证登录模块和日志处理模块，该方法包括：

控制所述认证登录模块采用预设的登录流程接收终端设备的认证信息，并对所述认证信息进行认证，若认证成功，使得所述终端设备登录至所述运维审计系统，所述预设的登录流程包括单点登录服务，且在单点登录服务响应错误时切换至本地登录方式；

构建所述日志处理模块的对象存储结构，使得所述运维审计系统基于所述对象存储结构实现存储空间的扩容，所述对象存储结构包括编程接口层、对象存储层和物理存储空间层，所述编程接口层表征不同服务模块的调用接口；

响应于所述运维审计系统中有新加入的节点，将所述新加入的节点信息注册到预设的存储模块中，当监测到所述存储模块中新增了所述新加入的节点，将所述新加入的节点加入到负载均衡的候选节点池中，使得将负载均衡请求调度到所述新加入的节点上；

对所述候选节点池中的节点上的服务进行监测，当监测到节点不满足预设要求时，将所述节点从所述存储模块中删除；

当终端设备发起访问基础设施设备的请求时，对所述请求进行解析，获得所述请求对应的服务器所在机房，控制与所述机房中的主负载均衡节点接收所述请求，并将所述请求通过所述主负载均衡节点转发至所述机房的跳板机模块，实现利用所述跳板机模块建立所述终端设备与所述基础设施设备的服务器的连接；

将同步数据存储至消息队列中，控制所述运维审计系统从所述消息队列中获取数据并进行同步和更新。

可选地，所述控制所述认证登录模块采用预设的登录流程接收终端设备的认证信息，并对所述认证信息进行认证，包括：

若终端设备登录所述运维审计系统的连续失败次数未达到预设次数阈值，判断单点登录服务是否处于正常状态，若是，则将当前登录界面跳转至单点登录服务界面，通过所述单点服务界面接收终端设备的登录信息；

利用所述单点登录服务对所述登录信息进行响应，若响应成功，则控制所述终端设备登录所述运维审计系统；

若所述单点登录服务处于不正常状态，则将当前登录界面跳转至本地登录界面，并通过所述本地登录界面接收用终端设备的登录信息；

若本地登录成功，则控制所述终端设备登录所述运维审计系统。

可选地，所述运维审计系统还包括web服务模块和跳板机服务模块，所述编程接口层包括访问日志接口、记录日志接口和删除日志接口，其中，所述web服务模块调用所述访问日志接口实现对所述日志处理模块中的日志进行查询；所述跳板机服务模块调用所述记录日志接口，获取对基础设施设备的操作过程和日志；所述删除服务接口由所述web服务模块调用，实现对日志记录的删除。

可选地，所述对象存储层包括认证服务单元、缓存服务单元、对象服务单元、数据一致性管理单元和数据模型管理单元。

可选地，所述物理存储空间层由若干台存储服务器构成，由所述对象存储层对所述物理存储空间层的存储空间进行管理，所述物理存储空间层用于存储对象的元数据和内容，实现对所述对象存储提供底层的存储空间。

可选地，所述将所述新加入的节点信息注册到预设的存储模块中，包括：

响应于所述运维审计系统还包括web服务模块和跳板机服务模块，在所述新加入的节点上通过预设部署脚本对所述web服务模块或所述跳板机服务模块进行自动化部署；

通过所述预设部署脚本向所述web服务模块发送密钥申请请求，并利用所述web服务模块为所述新加入的节点生成密钥；

通过所述预设部署脚本将所述新加入的节点的信息注册到存储模块中。

可选地，所述对所述请求进行解析，获得所述请求对应的服务器所在机房，控制与所述机房中的主负载均衡节点接收所述请求，包括：

响应于终端设备对位于第一机房的第一服务器发起访问请求，通过所述位于所述第一机房的跳板机模块对所述访问请求进行处理，使得所述第一机房中的主负载均衡节点接收所述请求；

若所述第一机房的跳板机模块无法对所述访问请求进行处理，将所述访问请求分发至第二机房的跳板机模块。

可选地，该方法还包括：

为每个机房申请对应的跳板机模块访问域名，并设置各个机房的对应域名指向本机房的负载均衡节点，其中，本机房的负载均衡节点的候选节点池将包含全部运维审计系统的跳板机模块服务节点，且所述负载均衡节点的优先级不同。

可选地，该方法还包括：

当终端设备发起对基础设施设备的访问请求时，对所述访问请求进行解析，获得所述基础设施设备的ip地址和其对应机房；

利用所述机房的跳板机模块域名发起对所述基础设施设备的访问，获得所述机房的负载均衡节点ip地址，使得将所述访问请求分发到基础设施设备所在机房的跳板机模块服务。

一种运维审计系统的优化系统，所述运维审计系统分别连接终端设备和基础设施设备，且所述运维审计系统包括认证登录模块和日志处理模块，该系统包括：

登录控制单元，用于控制所述认证登录模块采用预设的登录流程接收终端设备的认证信息，并对所述认证信息进行认证，若认证成功，使得所述终端设备登录至所述运维审计系统，所述预设的登录流程包括单点登录服务，且在单点登录服务响应错误时切换至本地登录方式；

存储构建单元，用于构建所述日志处理模块的对象存储结构，使得所述运维审计系统基于所述对象存储结构实现存储空间的扩容，所述对象存储结构包括编程接口层、对象存储层和物理存储空间层，所述编程接口层表征不同服务模块的调用接口；

节点加入单元，用于响应于所述运维审计系统中有新加入的节点，将所述新加入的节点信息注册到预设的存储模块中，当监测到所述存储模块中新增了所述新加入的节点，将所述新加入的节点加入到负载均衡的候选节点池中，使得将负载均衡请求调度到所述新加入的节点上；

节点删除单元，用于对所述候选节点池中的节点上的服务进行监测，当监测到节点不满足预设要求时，将所述节点从所述存储模块中删除；

访问处理单元，用于当终端设备发起访问基础设施设备的请求时，对所述请求进行解析，获得所述请求对应的服务器所在机房，控制与所述机房中的主负载均衡节点接收所述请求，并将所述请求通过所述主负载均衡节点转发至所述机房的跳板机模块，实现利用所述跳板机模块建立所述终端设备与所述基础设施设备的服务器的连接；

数据同步单元，用于将同步数据存储至消息队列中，控制所述运维审计系统从所述消息队列中获取数据并进行同步和更新。

相较于现有技术，本发明提供了一种运维审计系统的优化方法及系统，在运维审计系统中的认证登录模块中采用了单点登录服务，并且在在单点登录服务响应错误时切换至本地登录方式，实现了可容灾的统一认证流程；对日志处理模块的对象存储结构进行了优化，可以实现不同服务模块对其进行调用，解决了日志数据存储的可扩容问题；并且利用能够自动识别新增节点和对节点进行部署的负载均衡方案解决了运维审计系统的扩容困难和跳板机房访问时的服务不稳定的问题，同时采用了异步消息队列的数据同步方式使得数据同步过程更加优化。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种运维审计系统的优化方法的流程示意图；

图2为本发明实施例提供的认证机制的流程示意图；

图3为本发明实施例提供的一种应用于日志处理模块的对象存储结构示意图；

图4为本发明实施例提供的智能负载均衡的基于访问目标的dns的简易示意图；

图5为本发明实施例提供的一种使用异步消息队列进行数据同步的示意图；

图6为本发明实施例提供的一种运维审计系统的优化系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有设定于已列出的步骤或单元，而是可包括没有列出的步骤或单元。

为了便于对本发明实施例进行理解，对运维审计系统进行简要说明。运维审计系统是在一个特定的网络环境下，为了保障服务器、网络设备等不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的用户操作、系统状态、安全事件、网络活动等，以便集中报警、记录、分析、处理的一种技术手段。

通常运维审计系统核心模块包括认证授权模块、日志处理模块、web服务模块和跳板机模块，并且需要实现运维审计系统的分布式高可用部署和与其他业务系统进行数据同步和更新，才能保证运维审计系统的高效应用。本发明实施例也是对应上述几个方面对运维审计系统进行了优化，以便使得优化后的运维审计系统更符合实际需求。

其中，认证授权模块接收用户的登录请求，对用户进行身份验证，将用户登入系统。在用户使用系统时，认证授权模块会根据用户的角色和提前定义好的策略对用户的操作进行判断，允许或禁止用户的操作。

日志处理模块记录和存储用户登录基础设施设备的所有操作，是用户操作过程的全程记录，另外，该模块提提供对日志的访问和删除功能。

为了提高运维审计系统的web服务模块和跳板机模块的高可用性和可扩展性，常采用集群式的多服务节点部署，即部署多台服务器节点，每个节点上都安装完整的服务模块，然后结合使用负载均衡技术，按照策略合理地对用户请求进行分发。

通过系统间的接口相互调用实现实时的数据同步和更新。该方法在实现上是基于http协议的，意味着每次调用都是同步的。而且，该方式在实现上要求系统间进行紧耦合，其他业务系统需要根据运维管理系统的接口定义进行开发。异步消息队列是一种程序间通信方式，用于异步地处理一系列的输入。消息队列提供了异步的通信协议，队列中记录着包含详细说明的数据，例如时间、特定的输入参数等。消息的发送者和接收者不需要同时与消息队列交互。直到接收者取回消息之前，消息会一直保存在队列中。该方式可以实现系统间的解耦合，而且利于扩展。

参见图1，为本发明实施例提供的一种运维审计系统的优化方法，该方法包括：

s101、控制所述认证登录模块采用预设的登录流程接收终端设备的认证信息，并对所述认证信息进行认证，若认证成功，使得所述终端设备登录至所述运维审计系统。

所述预设的登录流程包括单点登录服务，且在单点登录服务响应错误时切换至本地登录方式。

在对运维审计系统的认证登录模块进行优化时采用了预设的登录流程，即将单点登录服务与本地登录方式相结合，解决了现存的运维审计系统认证登录模块的安全性低、可扩展性低、灵活性不足和分布式部署支持不好等问题。

该过程具体包括：

若终端设备登录所述运维审计系统的连续失败次数未达到预设次数阈值，判断单点登录服务是否处于正常状态，若是，则将当前登录界面跳转至单点登录服务界面，通过所述单点服务界面接收终端设备的登录信息；

利用所述单点登录服务对所述登录信息进行响应，若响应成功，则控制所述终端设备登录所述运维审计系统；

若所述单点登录服务处于不正常状态，则将当前登录界面跳转至本地登录界面，并通过所述本地登录界面接收用终端设备的登录信息；

若本地登录成功，则控制所述终端设备登录所述运维审计系统。

即本发明实施例提供的可容灾的统一认证是指在单点登录服务出问题时，可以自动切换至传统的基于数据库的本地登录方式，从而保证认证登录录模块的高可用性和稳定性。

参见图2，为本发明实施例提供的一种认证机制的流程示意图，具体包括以下步骤：

s201、判断用户的登录尝试是否已连续三次失败，如果是则执行步骤s212，否则执行s202；

s202、显示登录首页；

s203、判断单点登录服务是否处于正常健康状态，如果是，则执行s204，否则执行步骤s209；

s204、跳转至单点登录的登录首页；

s205、用户在单点登录的登录首页输入单点登录系统的用户名和密码，点击登录按钮；

s206、判断单点登录的响应是否为报错，如果不是，则执行s207，否则执行s209；

s207、判断单点登录的响应是否为登录成功响应，如果是，则执行s208，否则返回执行s201；

s208、用户登录成功，进入系统，流程结束；

s209、跳转至本地登录的登录页面；

s210、输入本地登录的用户名和密码，点击登录按钮；

s211、判断是否本地登录成功，如果是，则执行s208，如果不是，返回执行s201；

s212、提示用户已被锁定，无法登录。

s102、构建所述日志处理模块的对象存储结构，使得所述运维审计系统基于所述对象存储结构实现存储空间的扩容；

所述对象存储结构包括编程接口层、对象存储层和物理存储空间层，所述编程接口层表征不同服务模块的调用接口。

在本发明实施例中对日志处理模块进行优化时，主要是基于对象存储技术，在其上构建用于运维审计系统的日志处理编辑接口层，实现日志数据存储的高可用性和可扩展性，支持读写和删除操作，适合应用于运维审计系统的日志处理模块中记录和存储用户登录基础设施设备的所有操作。

参见图3，为本发明实施例提供的一种应用于日志处理模块的对象存储结构示意图。在该对象存储结构中分为了三个组成层，主要包括编程接口层，其为运维审计系统的其他核心模块提供操作日志记录的方便可用的编程接口。对象存储层实现了对象存储机制，物理存储空间层由多台存储型服务器构成，为对象存储提供地层的存储空间。具体如下：

编程接口层，提供三种类型的操作日志记录的接口以供其他核心模块使用，一般地，访问日志接口由web服务模块调用，为管理员提供了方便可用的日志查询服务；记录日志接口由跳板机服务模块调用，实时记录用户对基础设施设备的操作过程和日志；删除日志接口由web服务模块调用，管理员可以配置一定的策略用以定期删除不再感兴趣的日志记录。

对象存储层，是对象存储技术的核心实现部分。所述对象存储层包括认证服务单元、缓存服务单元、对象服务单元、数据一致性管理单元和数据模型管理单元，即主要包括认证服务、缓存服务、对象服务、数据一致性管理、数据模块管理。其中，认证服务用于验证访问对象存储编程接口层的用户的身份信息，并获得一个在一定时间内有效的对象访问令牌；缓存服务用户缓存包括对象服务令牌，对象所处位置的存在信息，但不会缓存对象本身的数据；缓存服务可采用常见的缓存服务集群实现。对象服务提供对象元数据和内容服务，每个对象的内容会以文件的形式存储在物理存储空间的文件系统中，元数据会作为文件属性来存储。数据一致性管理是为了保证存储在物理存储空间中的对象元数据和内容保持最终一致性，其具体实现方式可以采用任意一种通用的一致性算法。数据模型管理用于构建对象存储的逻辑结构，在逻辑层面上将对象合理组织起来。

物理存储空间层，该层由多台普通存储服务器构成，由其上层对象存储层对存储空间进行管理，用于存储对象的元数据和内容，为对象存储提供底层的存储空间。一般地，需要3台及以上的存储服务器用于实现三副本的对象备份策略。当需要扩容时，可以新增新的存储服务器加入到物理存储空间层，对象存储层会对已有的对象存储进行重新规划，最终将对象均匀的分布到所有的存储服务器上。

s103、响应于所述运维审计系统中有新加入的节点，将所述新加入的节点信息注册到预设的存储模块中，当监测到所述存储模块中新增了所述新加入的节点，将所述新加入的节点加入到负载均衡的候选节点池中，使得将负载均衡请求调度到所述新加入的节点上；

s104、对所述候选节点池中的节点上的服务进行监测，当监测到节点不满足预设要求时，将所述节点从所述存储模块中删除；

s105、当终端设备发起访问基础设施设备的请求时，对所述请求进行解析，获得所述请求对应的服务器所在机房，控制与所述机房中的主负载均衡节点接收所述请求，并将所述请求通过所述主负载均衡节点转发至所述机房的跳板机模块，实现利用所述跳板机模块建立所述终端设备与所述基础设施设备的服务器的连接。

为解决现存的运维审计系统在分布式部署方面存在的稳定性差、可扩展性差、服务不稳定的问题，在本发明实施例中采用智能负载均衡方案，即包括上述的步骤s103-s105，主要包括了两方面，一是服务的自动发现和剔除，二是基于访问目标的dns。第一方面是为了解决运维审计系统在负载不断增大的情况下的扩容和容灾问题，第二方面是为了解决了运维审计系统的跳板机模块跨机房访问基础设施设备的问题。

其中，智能负载均衡的自动扩容流程，即步骤s103主要包括：

s1031、响应于所述运维审计系统还包括web服务模块和跳板机服务模块，在所述新加入的节点上通过预设部署脚本对所述web服务模块或所述跳板机服务模块进行自动化部署；

s1032、通过所述预设部署脚本向所述web服务模块发送密钥申请请求，并利用所述web服务模块为所述新加入的节点生成密钥；

s1033、通过所述预设部署脚本将所述新加入的节点的信息注册到存储模块中。

在实际使用中，当运维审计系统服务的用户和设备增多时，负载逐渐增大，当超过某个提前设定好的警戒值时，就需要对服务进行扩容，通过新增服务节点的方式，提高运维审计系统的服务能力。其中，存储模块可以为一种中心式的存储系统，该存储系统可以由数据库、键值型缓存系统等方式实现，目的是维护当前在线的服务节点列表。信息中至少包括本节点所处的机房、本节点的ip地址、本节点能够提供的服务类型等。

另外，在本发明的另一实施例中还提供了一种服务自动发现流程，该流程还包括：

s1034、负载均衡节点上的自动发现程序监测到存储模块中新增了新的节点；

s1035、自动发现程序将新的节点信息加入到负载均衡软件的候选节点池中；

s1036、负载均衡软件开始将请求按照一定的策略调度到新的节点上。

在本发明实施例中还提供了一种智能负载均衡的服务自动剔除流程，该流程包括：

s1041、负载均衡节点上的服务检测脚本定时对候选节点池中的节点上的服务进行健康监测。

服务监测脚本可以对运维审计系统的服务节点进行多维度的监测，一般地，包括端口监听状态、服务健康状态、关键接口可访问性等。

s1042、服务监测脚本发现出问题的节点后，会在中心式存储系统中将该节点删除。

节点信息被删除后，可以由类似上述流程中描述的更新候选节点池，停止向问题节点分发请求，此处不再重复描述。

在本发明的另一实施例中所述对所述请求进行解析，获得所述请求对应的服务器所在机房，控制与所述机房中的主负载均衡节点接收所述请求，包括：

响应于终端设备对位于第一机房的第一服务器发起访问请求，通过所述位于所述第一机房的跳板机模块对所述访问请求进行处理，使得所述第一机房中的主负载均衡节点接收所述请求；

若所述第一机房的跳板机模块无法对所述访问请求进行处理，将所述访问请求分发至第二机房的跳板机模块。

在上述实施例的基础上，该方法还包括：

为每个机房申请对应的跳板机模块访问域名，并设置各个机房的对应域名指向本机房的负载均衡节点，其中，本机房的负载均衡节点的候选节点池将包含全部运维审计系统的跳板机模块服务节点，且所述负载均衡节点的优先级不同。

在上述实施例的基础上，该方法还包括：

当终端设备发起对基础设施设备的访问请求时，对所述访问请求进行解析，获得所述基础设施设备的ip地址和其对应机房；

利用所述机房的跳板机模块域名发起对所述基础设施设备的访问，获得所述机房的负载均衡节点ip地址，使得将所述访问请求分发到基础设施设备所在机房的跳板机模块服务。

举例说明，参见图4，为本发明实施例提供的智能负载均衡的基于访问目标的dns的简易示意图。用户对位于机房1的服务器a发起的访问请求会优先由位于机房1的跳板机模块集群的服务器处理，只有当机房1的跳板机模块集群出现问题时，才会将请求分发至其他机房(如机房2)的跳板机模块集群处理，从而解决跳板机模块跨机房访问基础设施设备造成的服务不稳定的问题。该技术手段采用多域名的方式，即为每个机房申请对应的跳板机模块访问域名，设置各机房的对应域名指向本机房的负载均衡节点。本机房的负载均衡节点的候选节点池将包含全部运维审计系统的跳板机模块服务节点。但是其优先级不同，位于本机房的服务节点的优先级将大于位于其他机房的服务节点的优先级。在用户访问目标基础设施设备时，使用自行编写的脚本对访问命令(例如ssh、telnet等)进行封装修改，首先解析目标基础设施设备的ip地址，确定其所属机房，然后对该机房的跳板机模块域名发起访问，进而解析到该机房的负载均衡节点ip地址，这样就能够确保优先将请求分发到基础设施设备所在机房的跳板机模块服务(在该机房的跳板机模块服务不可用时，请求将被分发到其他机房的跳板机模块服务，保证高可用性)。其具体流程如下：

步骤1：由用户发起访问基础设施设备，例如服务器a，的请求。其中，假设服务器a的ip地址为a。

步骤2：由自行编写的脚本对用户发起的访问命令进行解析，将ip地址a根据机房网段规则解析出服务器a所在的机房，假设解析结果为机房1。然后，脚本向域名jifang1.example.com发起访问服务器a的请求。

步骤3：dns服务将域名jifang1.example.com解析到机房1的主负载均衡节点的ip，主负载均衡节点接受用户访问服务器a的请求，并按照既定的负载均衡策略，优先将该请求分发到机房1的跳板机模块集群中的一台服务器上。

步骤4：真正用于处理请求的跳板机模块节点向服务器a发起访问，建立起由用户终端到服务器a的访问隧道，实现用户对服务器a的访问。

s106、将同步数据存储至消息队列中，控制所述运维审计系统从所述消息队列中获取数据并进行同步和更新。

在与企业内部其他业务系统进行数据同步与更新时，数据更新经常是比较频繁的，而且更新时间不确定，该技术手段将使用消息队列服务完成运维审计系统和其他业务系统间的数据同步与更新操作，满足了分布式部署环境下的解耦需求，能够解决现存数据同步方式存在的不及时、不稳定等问题，而且消息队列服务在负载较高时可以按需扩展。

如图5所示，图5为本发明实施例提供的一种使用异步消息队列进行数据同步的示意图。其他业务系统作为生产者，在数据更新时，将数据详情以及该数据的变动详情放入消息队列服务中，运维审计系统将作为消费者从消息队列服务中读取该信息，并按照变动详情对自身管理的资源进行相应的操作。

本发明提供了一种运维审计系统的优化方法，在运维审计系统中的认证登录模块中采用了单点登录服务，并且在在单点登录服务响应错误时切换至本地登录方式，实现了可容灾的统一认证流程；对日志处理模块的对象存储结构进行了优化，可以实现不同服务模块对其进行调用，解决了日志数据存储的可扩容问题；并且利用能够自动识别新增节点和对节点进行部署的负载均衡方案解决了运维审计系统的扩容困难和跳板机房访问时的服务不稳定的问题，同时采用了异步消息队列的数据同步方式使得数据同步过程更加优化。

参见图6，在本发明实施例中还提供了一种运维审计系统的优化系统，所述运维审计系统分别连接终端设备和基础设施设备，且所述运维审计系统包括认证登录模块和日志处理模块，该系统包括：

登录控制单元10，用于控制所述认证登录模块采用预设的登录流程接收终端设备的认证信息，并对所述认证信息进行认证，若认证成功，使得所述终端设备登录至所述运维审计系统，所述预设的登录流程包括单点登录服务，且在单点登录服务响应错误时切换至本地登录方式；

存储构建单元20，用于构建所述日志处理模块的对象存储结构，使得所述运维审计系统基于所述对象存储结构实现存储空间的扩容，所述对象存储结构包括编程接口层、对象存储层和物理存储空间层，所述编程接口层表征不同服务模块的调用接口；

节点加入单元30，用于响应于所述运维审计系统中有新加入的节点，将所述新加入的节点信息注册到预设的存储模块中，当监测到所述存储模块中新增了所述新加入的节点，将所述新加入的节点加入到负载均衡的候选节点池中，使得将负载均衡请求调度到所述新加入的节点上；

节点删除单元40，用于对所述候选节点池中的节点上的服务进行监测，当监测到节点不满足预设要求时，将所述节点从所述存储模块中删除；

访问处理单元50，用于当终端设备发起访问基础设施设备的请求时，对所述请求进行解析，获得所述请求对应的服务器所在机房，控制与所述机房中的主负载均衡节点接收所述请求，并将所述请求通过所述主负载均衡节点转发至所述机房的跳板机模块，实现利用所述跳板机模块建立所述终端设备与所述基础设施设备的服务器的连接；

数据同步单元60，用于将同步数据存储至消息队列中，控制所述运维审计系统从所述消息队列中获取数据并进行同步和更新。

本发明提供了一种运维审计系统的优化系统，在运维审计系统中的认证登录模块中采用了单点登录服务，并且在在单点登录服务响应错误时切换至本地登录方式，实现了可容灾的统一认证流程；对日志处理模块的对象存储结构进行了优化，可以实现不同服务模块对其进行调用，解决了日志数据存储的可扩容问题；并且利用能够自动识别新增节点和对节点进行部署的负载均衡方案解决了运维审计系统的扩容困难和跳板机房访问时的服务不稳定的问题，同时采用了异步消息队列的数据同步方式使得数据同步过程更加优化。

在上述实施例的基础上，所述登录控制单元包括：

第一判断子单元，用于若终端设备登录所述运维审计系统的连续失败次数未达到预设次数阈值，判断单点登录服务是否处于正常状态，若是，则将当前登录界面跳转至单点登录服务界面，通过所述单点服务界面接收终端设备的登录信息；

响应判断子单元，用于利用所述单点登录服务对所述登录信息进行响应，若响应成功，则控制所述终端设备登录所述运维审计系统；

界面跳转子单元，用于若所述单点登录服务处于不正常状态，则将当前登录界面跳转至本地登录界面，并通过所述本地登录界面接收用终端设备的登录信息；

登录控制子单元，用于若本地登录成功，则控制所述终端设备登录所述运维审计系统。

在上述实施例的基础上，所述运维审计系统还包括web服务模块和跳板机服务模块，所述编程接口层包括访问日志接口、记录日志接口和删除日志接口，其中，所述web服务模块调用所述访问日志接口实现对所述日志处理模块中的日志进行查询；所述跳板机服务模块调用所述记录日志接口，获取对基础设施设备的操作过程和日志；所述删除服务接口由所述web服务模块调用，实现对日志记录的删除。

在上述实施例的基础上，所述对象存储层包括认证服务单元、缓存服务单元、对象服务单元、数据一致性管理单元和数据模型管理单元。

在上述实施例的基础上，所述物理存储空间层由若干台存储服务器构成，由所述对象存储层对所述物理存储空间层的存储空间进行管理，所述物理存储空间层用于存储对象的元数据和内容，实现对所述对象存储提供底层的存储空间。

在上述实施例的基础上，所述节点加入单元具体用于：

响应于所述运维审计系统还包括web服务模块和跳板机服务模块，在所述新加入的节点上通过预设部署脚本对所述web服务模块或所述跳板机服务模块进行自动化部署；

通过所述预设部署脚本向所述web服务模块发送密钥申请请求，并利用所述web服务模块为所述新加入的节点生成密钥；

通过所述预设部署脚本将所述新加入的节点的信息注册到存储模块中。

在上述实施例的基础上，所述访问处理单元还包括：

第一响应子单元，用于响应于终端设备对位于第一机房的第一服务器发起访问请求，通过所述位于所述第一机房的跳板机模块对所述访问请求进行处理，使得所述第一机房中的主负载均衡节点接收所述请求；

分发子单元，用于若所述第一机房的跳板机模块无法对所述访问请求进行处理，将所述访问请求分发至第二机房的跳板机模块。

在上述实施例的基础上，该系统还包括：

设置子单元，用于为每个机房申请对应的跳板机模块访问域名，并设置各个机房的对应域名指向本机房的负载均衡节点，其中，本机房的负载均衡节点的候选节点池将包含全部运维审计系统的跳板机模块服务节点，且所述负载均衡节点的优先级不同。

在上述实施例的基础上，该系统还包括：

请求解析子单元，用于当终端设备发起对基础设施设备的访问请求时，对所述访问请求进行解析，获得所述基础设施设备的ip地址和其对应机房；

请求分发子单元，用于利用所述机房的跳板机模块域名发起对所述基础设施设备的访问，获得所述机房的负载均衡节点ip地址，使得将所述访问请求分发到基础设施设备所在机房的跳板机模块服务。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。