本发明专利技术实施例适用于计算机安全技术领域,提供了一种日志处理方法、装置、电子设备及存储介质,其中,日志处理方法包括:获取云主机的日志文件;日志文件用于记录所述云主机中发生的设定操作事件;确定日志文件中设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则;设定规则库存储有至少一种类型的安全事件的第一规则;第一规则表征安全事件对应的操作数据的特征;在特征命中所述设定规则库中的第一规则的情况下,确定特征是否命中设定白名单中的第二规则;在特征没有命中设定白名单中的第二规则的情况下,将日志文件存储在第一数据库中。第一数据库中。第一数据库中。
【技术实现步骤摘要】
一种日志处理方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机安全
,尤其涉及一种日志处理方法、装置、电子设备及存储介质。
技术介绍
[0002]外部的黑客攻击或者内部用户的异常操作行为都会对云平台造成危害,相关技术通对云平台进行操作行为检测,将检测到的可能会对云平台造成危害的操作行为都生成日志文件并进行存储,方便后续进行安全事件的追溯。相关技术将所有日志文件都进行存储,存储的日志文件过于冗余,不利于后续进行安全事件分析。
技术实现思路
[0003]为了解决上述问题,本专利技术实施例提供了一种日志处理方法、装置、电子设备及存储介质,以至少解决相关技术存储的日志文件过于冗余的问题。
[0004]本专利技术的技术方案是这样实现的:
[0005]第一方面,本专利技术实施例提供了一种日志处理方法,该方法包括:
[0006]获取云主机的日志文件;所述日志文件用于记录所述云主机中发生的设定操作事件;
[0007]确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则;所述设定规则库存储有至少一种类型的安全事件的第一规则;所述第一规则表征安全事件对应的操作数据的特征;
[0008]在所述特征命中所述设定规则库中的第一规则的情况下,确定所述特征是否命中设定白名单中的第二规则;
[0009]在所述特征没有命中所述设定白名单中的第二规则的情况下,将所述日志文件存储在第一数据库中。
[0010]在上述方案中,所述确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则,包括:
[0011]确定所述日志文件的第一字段的字段信息;所述第一字段表征所述设定操作事件对应的操作数据的特征;
[0012]确定所述字段信息是否在所述设定规则库中;
[0013]在所述字段信息在所设定规则库中的情况下,确定所述特征命中所述设定规则库中的第一规则。
[0014]在上述方案中,所述方法还包括:
[0015]在所述特征没有命中所述设定规则库中的第一规则的情况下,将所述日志文件存储在第二数据库中。
[0016]在上述方案中,在将所述日志文件存储在第二数据库后,所述方法还包括:
[0017]记录所述日志文件存储在所述第二数据库的起始时间;
[0018]在距离所述起始时间达到设定时长的情况下,删除所述第二数据库中的所述日志文件。
[0019]在上述方案中,所述确定所述特征是否命中设定白名单中的第二规则,包括:
[0020]基于所述设定白名单中的第二规则,对所述日志文件进行正则匹配;
[0021]在所述正则匹配成功的情况下,确定所述特征命中设定白名单中的第二规则。
[0022]在上述方案中,在确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则之前,所述方法还包括:
[0023]将所述日志文件的第二字段的数据格式进行转换;所述第二字段表征时间戳。
[0024]在上述方案中,在将所述日志文件存储在第一数据库中之后,所述方法还包括:
[0025]将所述第一数据库中的日志文件通过前端页面进行展示。
[0026]第二方面,本专利技术实施例提供了一种日志处理装置,该装置包括:
[0027]获取模块,用于获取云主机的日志文件;所述日志文件用于记录所述云主机中发生的设定操作事件;
[0028]第一确定模块,用于确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则;所述设定规则库存储有至少一种类型的安全事件的第一规则;所述第一规则表征安全事件对应的操作数据的特征;
[0029]第二确定模块,用于在所述特征命中所述设定规则库中的第一规则的情况下,确定所述特征是否命中设定白名单中的第二规则;
[0030]存储模块,用于在所述特征没有命中所述设定白名单中的第二规则的情况下,将所述日志文件存储在第一数据库中。
[0031]第三方面,本专利技术实施例提供了一种电子设备,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行本专利技术实施例第一方面提供的日志处理方法的步骤。
[0032]第四方面,本专利技术实施例提供了一种计算机可读存储介质,包括:所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本专利技术实施例第一方面提供的日志处理方法的步骤。
[0033]本专利技术实施例通过获取云主机的日志文件,确定日志文件中设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则,在特征命中设定规则库中的第一规则的情况下,确定特征是否命中设定白名单中的第二规则,在特征没有命中设定白名单中的第二规则的情况下,将日志文件存储在第一设定数据库中。其中,日志文件用于记录所述云主机中发生的设定操作事件,设定规则库存储有至少一种类型的安全事件的第一规则,第一规则表征安全事件对应的操作数据的特征。本专利技术实施例通过设定规则库检测出异常的日志文件,再通过设定白名单对异常的日志文件的过滤,实现对不必要的日志文件的过滤,减少不必要的日志文件的存储,使得第一数据库中存储的都是比较重要的日志文件,解决了相关技术存储的日志文件过于冗余的问题。
附图说明
[0034]图1是本专利技术实施例提供的一种日志处理方法的实现流程示意图;
[0035]图2是本专利技术实施例提供的另一种日志处理方法的实现流程示意图;
[0036]图3是本专利技术实施例提供的另一种日志处理方法的实现流程示意图;
[0037]图4是本专利技术实施例提供的另一种日志处理方法的实现流程示意图;
[0038]图5是本专利技术实施例提供的一种云主机的日志上报流程的示意图;
[0039]图6是本专利技术实施例提供的一种云服务器的日志处理流程的示意图;
[0040]图7是本专利技术应用实施例提供的一种日志处理流程的示意图;
[0041]图8是本专利技术实施例提供的一种日志处理装置的示意图;
[0042]图9是本专利技术一实施例提供的电子设备的示意图。
具体实施方式
[0043]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0044]云主机是采用虚拟化技术将一台物理主机分割成若干个相互隔离的虚拟专用主机,每个云主机拥有独立的CPU、内存、硬盘、IP和带宽。在相关技术中,云主机只记录和展示存在风险的操作行为,而是否存在风险由云主机的规则库进行判断。存在风险的行为包括入侵行为(Instrusion Behavior)和可疑行为(Dubious Behavior)本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种日志处理方法,其特征在于,所述方法包括:获取云主机的日志文件;所述日志文件用于记录所述云主机中发生的设定操作事件;确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则;所述设定规则库存储有至少一种类型的安全事件的第一规则;所述第一规则表征安全事件对应的操作数据的特征;在所述特征命中所述设定规则库中的第一规则的情况下,确定所述特征是否命中设定白名单中的第二规则;在所述特征没有命中所述设定白名单中的第二规则的情况下,将所述日志文件存储在第一数据库中。2.根据权利要求1所述的方法,其特征在于,所述确定所述日志文件中所述设定操作事件对应的操作数据的特征是否命中设定规则库中的第一规则,包括:确定所述日志文件的第一字段的字段信息;所述第一字段表征所述设定操作事件对应的操作数据的特征;确定所述字段信息是否在所述设定规则库中;在所述字段信息在所设定规则库中的情况下,确定所述特征命中所述设定规则库中的第一规则。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:在所述特征没有命中所述设定规则库中的第一规则的情况下,将所述日志文件存储在第二数据库中。4.根据权利要求3所述的方法,其特征在于,在将所述日志文件存储在第二数据库后,所述方法还包括:记录所述日志文件存储在所述第二数据库的起始时间;在距离所述起始时间达到设定时长的情况下,删除所述第二数据库中的所述日志文件。5.根据权利要求1所述的方法,其特征在于,所述确定所述特征是否命中设定白名单中的第二规则,包括:基于所述设定白名单中的第二规则,对所述日志文件进行正则匹配;在所述正则...
【专利技术属性】
技术研发人员:姜思源,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。