国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種實(shí)時(shí)監(jiān)控終端命令行的方法和裝置的制作方法

      文檔序號(hào):7898272閱讀:306來源:國(guó)知局
      專利名稱:一種實(shí)時(shí)監(jiān)控終端命令行的方法和裝置的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及操作系統(tǒng)安全,并且尤其涉及實(shí)時(shí)監(jiān)控終端命令行的方法和裝置。
      背景技術(shù)
      由于缺乏操作命令的監(jiān)控工具和監(jiān)控手段,Unix/Linux系統(tǒng)服務(wù)器往往無(wú)法及時(shí)發(fā)現(xiàn)并監(jiān)控用戶在操作系統(tǒng)中的行為。當(dāng)系統(tǒng)管理員需要管理一定數(shù)量的服務(wù)器時(shí),如何實(shí)現(xiàn)實(shí)時(shí)的跟蹤服務(wù)器上用戶的行為,將系統(tǒng)故障時(shí)間、宕機(jī)時(shí)間等減少到最小,已經(jīng)成為至關(guān)重要的問題。雖然Unix/Linux操作系統(tǒng)內(nèi)核底層提供了對(duì)用戶的操作命令和各種行為的審計(jì)功能,但開啟操作系統(tǒng)內(nèi)核的審計(jì)功能將極大地增加系統(tǒng)本身的負(fù)載,降低系統(tǒng)的穩(wěn)定性, 對(duì)運(yùn)行在操作系統(tǒng)之上的應(yīng)用和業(yè)務(wù)造成影響。因此,絕大部分Unix/Linux系統(tǒng)使用者均慎用該審計(jì)功能?,F(xiàn)有技術(shù)中,堡壘機(jī)技術(shù)可以實(shí)現(xiàn)記錄歷史命令的功能,但這種技術(shù)無(wú)法對(duì)機(jī)房直接登錄的命令進(jìn)行記錄,同時(shí)由于存在單點(diǎn)故障,因此需要在設(shè)備投入上加大投資以實(shí)現(xiàn)基礎(chǔ)架構(gòu)的高可用,而這增加了運(yùn)維的難度。此外,雖然通過網(wǎng)絡(luò)流量分析可以獲取 telnet (遠(yuǎn)程登錄)操作的命令,但是這種方法針對(duì)SSH^ecure Shell)等采用加密算法的操作無(wú)法進(jìn)行有效的識(shí)別。通常,Unix/Linux操作系統(tǒng)默認(rèn)地將用戶的操作命令和各種行為審計(jì)記錄保存在本地的指定文件中。但是使用這種方法所保存的文件存在被人為篡改的可能(例如,黑客故意篡改掩飾惡意行為或人為誤操作),而且無(wú)法進(jìn)行集中管理和有效地實(shí)時(shí)監(jiān)控。另外, 由于系統(tǒng)中存在同一時(shí)間段內(nèi)多個(gè)用戶su(轉(zhuǎn)換身份)至同一用戶下進(jìn)行操作,這樣就會(huì)導(dǎo)致在實(shí)時(shí)監(jiān)控和事后審計(jì)中無(wú)法準(zhǔn)確定位操作命令的責(zé)任人。因此,需要一種實(shí)時(shí)監(jiān)控終端命令行的方法和裝置來解決上述問題。

      發(fā)明內(nèi)容
      為解決上述問題,本發(fā)明提供一種實(shí)時(shí)監(jiān)控終端命令行的裝置,該裝置包括第一信息讀取裝置,其特征在于,第一信息讀取裝置通過以下模塊監(jiān)控用戶在操作系統(tǒng)中的行為第一模塊,被配置成設(shè)置作為所述操作系統(tǒng)的環(huán)境變量的歷史命令文件名為包含終端信息和用戶信息;第二模塊,被配置成利用當(dāng)前操作系統(tǒng)中成功登陸的用戶信息獲取當(dāng)前活躍的終端信息;第三模塊,被配置成根據(jù)所述活躍的終端信息,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件,第四模塊,被配置成利用所述活躍的終端信息標(biāo)記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令;
      第五模塊,被配置成當(dāng)所述活躍的終端退出時(shí),保存上述經(jīng)標(biāo)記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息。優(yōu)選地,所述第一模塊進(jìn)一步被配置成設(shè)置所述操作系統(tǒng)的環(huán)境變量為基于終端 ID和用戶名。優(yōu)選地,所述第一模塊進(jìn)一步被配置成在所述操作系統(tǒng)的配置文件中添加歷史命令文件名的定義。優(yōu)選地,所述第一模塊進(jìn)一步被配置成將用戶的歷史命令文件設(shè)置在同一目錄下,以及在所述第三模塊中,根據(jù)所述活躍的終端信息,掃描所述同一目錄以獲取與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件。優(yōu)選地,所述第三模塊進(jìn)一步被配置成在輪詢周期內(nèi)持續(xù)掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件,在所述第四模塊中,進(jìn)一步地,利用所述活躍的終端信息標(biāo)記新增的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的命令。優(yōu)選地,所述第四模塊進(jìn)一步被配置成為所述歷史命令文件中的每條命令設(shè)置級(jí)別。優(yōu)選地,所述第四模塊進(jìn)一步被配置成為所述歷史命令文件中的每條命令設(shè)置過濾規(guī)則。優(yōu)選地,還包括第二信息讀取裝置,用于讀取并保存關(guān)于所述操作系統(tǒng)中的用戶 SU記錄、失敗的登錄信息、ftp登錄后的操作命令作為第二信息。優(yōu)選地,還包括控制模塊,用于處理所述第一信息和所述第二信息,并且將處理后的信息發(fā)送到事件收集服務(wù)器。優(yōu)選地,所述控制模塊采用syslog協(xié)議通過socket方式發(fā)送所述處理后的信息。優(yōu)選地,所述終端信息包括終端ID、源IP地址、源用戶中的一個(gè)或多個(gè)。優(yōu)選地,所述操作系統(tǒng)包括AIX、Linux和Solaris。優(yōu)選地,第一信息還包括與該活躍的終端關(guān)聯(lián)的用戶的歷史命令產(chǎn)生的日期、時(shí)間、主機(jī)信息、源用戶信息、源IP地址、用戶信息和終端信息的一個(gè)或多個(gè)。根據(jù)本發(fā)明的另一個(gè)目標(biāo),提供了一種實(shí)時(shí)監(jiān)控終端命令行的方法,其特征在于, 通過以下步驟監(jiān)控用戶在操作系統(tǒng)中的行為第一步驟,設(shè)置作為所述操作系統(tǒng)的環(huán)境變量的歷史命令文件名為包含終端信息和用戶信息;第二步驟,利用當(dāng)前操作系統(tǒng)中成功登陸的用戶信息獲取當(dāng)前活躍的終端信息;第三步驟,根據(jù)所述活躍的終端信息,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件,第四步驟,利用所述活躍的終端信息標(biāo)記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令;第五步驟,當(dāng)所述活躍的終端退出時(shí),保存上述經(jīng)標(biāo)記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息。 本發(fā)明的技術(shù)方案通過對(duì)讀取和處理Unix/Linux系統(tǒng)中的utmp、sulog、 failedlogin, history以及ftp log等自定義文本文件的內(nèi)容,將處理后的信息采用 syslog協(xié)議通過socket方式(TCP/UDP可選)發(fā)送到統(tǒng)一的事件收集服務(wù)器,通過事件收集服務(wù)器對(duì)收集到的信息進(jìn)行集中的展現(xiàn)、告警和審計(jì)。本發(fā)明的技術(shù)方案的優(yōu)點(diǎn)在于可支持對(duì)系統(tǒng)中多個(gè)用戶同時(shí)su到同一用戶下的操作行為的精確定位,可將操作行為直接定位到人,解決了 Unix/Linux平臺(tái)上審計(jì)信息定位不準(zhǔn)確的問題。本發(fā)明的技術(shù)方案的優(yōu)點(diǎn)在于可運(yùn)行于任何Unix和Linux發(fā)行版本,并支持各種 shell,具有廣泛的兼容性。本發(fā)明的技術(shù)方案的優(yōu)點(diǎn)在于無(wú)需開啟操作系統(tǒng)內(nèi)核的審計(jì)功能,僅需修改操作系統(tǒng)的環(huán)境變量HISTFILE,能有效地準(zhǔn)確地定位每一條操作命令的操作者,可以進(jìn)行事件嚴(yán)重等級(jí)的區(qū)分,達(dá)到實(shí)時(shí)監(jiān)控的效果。本發(fā)明的技術(shù)方案的優(yōu)點(diǎn)在于如果操作系統(tǒng)本身的日志信息被篡改仍然可以進(jìn)行準(zhǔn)確定位,發(fā)現(xiàn)異常行為的軌跡。本發(fā)明的技術(shù)方案的優(yōu)點(diǎn)在于占用系統(tǒng)資源少,對(duì)系統(tǒng)配置影響性較低。


      在參照附圖閱讀了本發(fā)明的具體實(shí)施方式
      以后,本領(lǐng)域技術(shù)人員將會(huì)更清楚地了解本發(fā)明的各個(gè)方面。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解的是,這些附圖僅僅用于配合具體實(shí)施方式
      說明本發(fā)明的技術(shù)方案,而并非意在對(duì)本發(fā)明的保護(hù)范圍構(gòu)成限制。其中,圖1是根據(jù)本發(fā)明實(shí)施例的實(shí)時(shí)監(jiān)控終端命令行的裝置的示意圖。圖2是根據(jù)本發(fā)明實(shí)施例的實(shí)時(shí)監(jiān)控終端命令行的方法的流程圖。
      具體實(shí)施例方式下面參照附圖,對(duì)本發(fā)明的具體實(shí)施方式
      作進(jìn)一步的詳細(xì)描述。本發(fā)明的實(shí)施例通過將歷史命令文件名與終端信息、用戶信息相關(guān)聯(lián),并且利用Unix/Linux操作系統(tǒng)提供的各種日志文件收集用戶的操作命令和各種其它行為,并將這些信息發(fā)送至事件收集服務(wù)器進(jìn)行監(jiān)控、管理和審計(jì)。這些日志文件可以包括Unix/ Linux操作系統(tǒng)默認(rèn)提供的當(dāng)前系統(tǒng)中成功登陸的用戶信息(utmp)、系統(tǒng)中的用戶su記錄 (sulog)、系統(tǒng)中失敗的登陸信息(filedlogin)、系統(tǒng)中用戶的操作命令(history)、系統(tǒng)中ftp登陸后的操作命令(ftp log),以及用戶自定義的其他應(yīng)用日志。如圖1所示,根據(jù)本發(fā)明實(shí)施例的實(shí)時(shí)監(jiān)控終端命令行的裝置包括第一信息讀取裝置、第二信息讀取裝置和控制裝置。在本發(fā)明的一個(gè)實(shí)施例中,第一信息讀取裝置用于收集用戶的歷史命令。該第一信息讀取裝置可以包括以下模塊,其中第一模塊,用于設(shè)置作為操作系統(tǒng)的環(huán)境變量的歷史命令文件名(HISTFILE)為包含終端信息和用戶信息。例如,將操作系統(tǒng)環(huán)境變量HISFILE設(shè)置為$TTY_$USER來區(qū)分登錄用戶的歷史命令文件,其中$TTY是終端ID,以及$USER是用戶名。作為示例,可以將環(huán)境變量HISFILE的定義添加到配置文件/etc/profile中來設(shè)置該環(huán)境變量。默認(rèn)情況下歷史命令文件是保存在用戶的主目錄下的。也就是說,每個(gè)用戶都有自己的歷史命令文件,因此在每個(gè)用戶的shell中執(zhí)行的命令,都紀(jì)錄在各自的歷史命令文件中,彼此之間是不通用的。在本發(fā)明的另一個(gè)實(shí)施例中,可以設(shè)置所有用戶的歷史命令文件在同一目錄下, 例如$HISTFILE_DIR。這樣不僅可以提高文件的安全性防止被篡改,而且還可以在很大程度上方便操作。第二模塊,用于利用當(dāng)前操作系統(tǒng)中成功登陸的用戶信息(utmp)獲取當(dāng)前活躍的終端信息(TTY)。該TTY在同一時(shí)間段內(nèi)為唯一值,utmp記錄該TTY的源IP地址(org)、 源用戶信息(src)。第三模塊,用于根據(jù)活躍的終端信息,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件。由于歷史命令文件的名稱包括終端信息和用戶信息,所以可以基于活躍的終端信息掃描$HISTFILE_WR以獲取該TTY名下的所有用戶歷史命令文件。第四模塊,用于利用活躍的終端信息例如當(dāng)前時(shí)間段的源IP地址和源用戶信息能夠準(zhǔn)確地標(biāo)記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令。在本發(fā)明的另一個(gè)實(shí)施例中,第三模塊進(jìn)一步被配置為在輪詢周期內(nèi)持續(xù)掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件;第四模塊進(jìn)一步被配置成利用活躍的終端信息標(biāo)記新增的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的命令。第五模塊,用于當(dāng)活躍的終端退出時(shí),保存上述經(jīng)標(biāo)記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息。通過第一信息讀取裝置,本發(fā)明可以根據(jù)終端信息規(guī)避了多個(gè)用戶同時(shí)su至同一用戶下的命令區(qū)分問題。例如,假設(shè)當(dāng)前登錄的用戶分別為A1、A2、... Ai ;其對(duì)應(yīng)的TTY 分別為Tl、T2、... Ti,TTY所對(duì)應(yīng)的源IP地址(org)分別為Si、S2. . . Si。如此,上述關(guān)系可以組成在同一時(shí)間段內(nèi)不重復(fù)的唯一集合Fl (Al,Tl,S1)、F2(A2,T2,S2)…Fi(Ai,Ti, Si)。因此,得到的當(dāng)前用戶的HISTFILE分別為AlTU A2T2. · · AiTi,假設(shè)登錄的用戶鍵入的命令集合分別為{Ml}、{M2}...信丨},如產(chǎn)生811操作,用戶分別為六1、42、..^丨分別811 至Β1、Β2· · · Bi,那么產(chǎn)生的HISTFILE分別為B1TUB2T2. · · BiTi0由于可以通過HISTFILE 中的終端信息部分在唯一的組合Fi(Ai,Ti,Si)中確定用戶,因此可以對(duì)例如多個(gè)用戶Al、 A2同時(shí)su至同一用戶Bl下的命令進(jìn)行區(qū)分。以下描述第一信息的構(gòu)成。除了歷史命令,第一信息還可以包括與該活躍的終端關(guān)聯(lián)的用戶的歷史命令產(chǎn)生的日期、時(shí)間、主機(jī)信息、源用戶信息、源IP地址、用戶信息和終端信息中的一個(gè)或多個(gè)。作為示例,設(shè)在date = Dx, time = TMx時(shí)刻,第一信息讀取裝置查詢utmp文件獲取到當(dāng)前活躍的TTY為Tx。第一信息讀取裝置掃描目錄下活躍的Tx的 HISTFILE,根據(jù) HISTFILE 的文件名(例如,為 Ux_Tx_history,Ux 可以是 A1、A2. . .Ai 或Bi、 B2. . . Bi的任意一個(gè))所帶的TTY信息Tx查詢集合h獲取當(dāng)前TTY所對(duì)應(yīng)的(Ax,Sx),并將這些信息與收集到的命令集合封裝成第一信息(date = Dx, time = TMx, host = Hx, src = Ax, org = Sx, user = Ux, tty = Tx, cmd = Mx) ο隨后將該第一發(fā)送至集中收集服務(wù)器進(jìn)行規(guī)則處理和展現(xiàn)。在本發(fā)明的另一個(gè)實(shí)施例中,可在第一信息讀取裝置實(shí)現(xiàn)設(shè)置命令Mx的級(jí)別定義、過濾規(guī)則等功能。例如,可以利用第四模塊為歷史命令文件中的每條命令設(shè)置級(jí)別或者過濾規(guī)則。本發(fā)明可以包括第二信息讀取裝置用于進(jìn)一步讀取并保存關(guān)于操作系統(tǒng)中的用戶SU記錄、失敗的登錄信息、ftp登錄后的操作命令作為第二信息。本發(fā)明可以包括控制裝置用于處理第一信息和第二信息,并且將處理后的信息發(fā)送到事件收集服務(wù)器。本領(lǐng)域技術(shù)人員可以理解的是,本發(fā)明的事件收集服務(wù)器可以是第三方的事件收集服務(wù)器,例如IBM公司的ominibus??刂蒲b置可以采用syslog協(xié)議通過 socket方式發(fā)送處理后的信息。本領(lǐng)域技術(shù)人員可以理解的是,上述的終端信息可以包括終端ID、源IP地址、源用戶中的一個(gè)或多個(gè)。還可以理解的是,本發(fā)明的上述裝置可運(yùn)行于任何AIX、Solaris, Unix和Linux等操作系統(tǒng),并支持各種shell。圖2是根據(jù)本發(fā)明實(shí)施例的實(shí)時(shí)監(jiān)控終端命令行的方法的流程圖。如圖所示,通過以下步驟監(jiān)控用戶在操作系統(tǒng)中的行為在第一步驟Sl中關(guān)聯(lián)歷史命令文件與登錄用戶信息和終端信息,例如,設(shè)置作為操作系統(tǒng)的環(huán)境變量的歷史命令文件名為包含終端信息和用戶信息;在第二步驟S2中獲取終端信息,例如,利用當(dāng)前操作系統(tǒng)中成功登陸的用戶信息獲取當(dāng)前活躍的終端信息;在第三步驟S3中獲取歷史命令文件,例如,根據(jù)活躍的終端信息,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件,在第四步驟S4中標(biāo)記歷史命令文件中的命令,例如,利用活躍的終端信息標(biāo)記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令;在第五步驟S5中保存標(biāo)記的歷史命令,例如,當(dāng)活躍的終端退出時(shí),保存上述經(jīng)標(biāo)記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息。優(yōu)選地,在第一步驟中,設(shè)置操作系統(tǒng)的環(huán)境變量為基于終端ID和用戶名。優(yōu)選地,在第一步驟中,進(jìn)一步在操作系統(tǒng)的配置文件中添加歷史命令文件名的定義。優(yōu)選地,在第一步驟中,進(jìn)一步將用戶的歷史命令文件設(shè)置在同一目錄下,以及在第三步驟中,根據(jù)活躍的終端信息,掃描同一目錄以獲取與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件。優(yōu)選地,在第三步驟中,進(jìn)一步地,在輪詢周期內(nèi)持續(xù)掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件,在第四步驟中,進(jìn)一步地,利用活躍的終端信息標(biāo)記新增的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的命令。優(yōu)選地,在第四步驟中,為歷史命令文件中的每條命令設(shè)置級(jí)別。優(yōu)選地,在第四步驟中,為歷史命令文件中的每條命令設(shè)置過濾規(guī)則。優(yōu)選地,在第五步驟中,進(jìn)一步保存關(guān)于操作系統(tǒng)中的用戶SU記錄、失敗的登錄信息、ftp登錄后的操作命令作為第二信息。優(yōu)選地,在第六步驟中,處理第一信息和第二信息,并且將處理后的信息發(fā)送到事件收集服務(wù)器。優(yōu)選地,在第六步驟中,采用syslog協(xié)議通過socket方式發(fā)送處理后的信息。通過以上實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明的上述裝置和方法步驟可借助軟件結(jié)合硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以全部通過硬件來實(shí)施。 本領(lǐng)域中的普通技術(shù)人員能夠理解,在不偏離本發(fā)明的精神和范圍的情況下,還可以對(duì)本發(fā)明的具體實(shí)施方式
      作各種變更和替換。這些變更和替換都落在本發(fā)明權(quán)利要求書所限定的范圍內(nèi)。
      權(quán)利要求
      1.一種實(shí)時(shí)監(jiān)控終端命令行的方法,其特征在于,通過以下步驟監(jiān)控用戶在操作系統(tǒng)中的行為第一步驟,設(shè)置作為所述操作系統(tǒng)的環(huán)境變量的歷史命令文件名為包含終端信息和用戶信息;第二步驟,利用當(dāng)前操作系統(tǒng)中成功登陸的用戶信息獲取當(dāng)前活躍的終端信息;第三步驟,根據(jù)所述活躍的終端信息,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件,第四步驟,利用所述活躍的終端信息標(biāo)記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令;第五步驟,當(dāng)所述活躍的終端退出時(shí),保存上述經(jīng)標(biāo)記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息。
      2.如權(quán)利要求1所述的方法,其特征在于,在所述第一步驟中,設(shè)置所述操作系統(tǒng)的環(huán)境變量為基于終端ID和用戶名。
      3.如權(quán)利要求1所述的方法,其特征在于,在所述第一步驟中,進(jìn)一步在所述操作系統(tǒng)的配置文件中添加歷史命令文件名的定義。
      4.如權(quán)利要求1所述的方法,其特征在于,在所述第一步驟中,進(jìn)一步將用戶的歷史命令文件設(shè)置在同一目錄下,以及在所述第三步驟中,根據(jù)所述活躍的終端信息,掃描所述同一目錄以獲取與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件。
      5.如權(quán)利要求1所述的方法,其特征在于,在所述第三步驟中,進(jìn)一步地,在輪詢周期內(nèi)持續(xù)掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件,在所述第四步驟中,進(jìn)一步地,利用所述活躍的終端信息標(biāo)記新增的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的命令。
      6.如權(quán)利要求1所述的方法,其特征在于,在所述第四步驟中,為所述歷史命令文件中的每條命令設(shè)置級(jí)別。
      7.如權(quán)利要求1所述的方法,其特征在于,在所述第四步驟中,為所述歷史命令文件中的每條命令設(shè)置過濾規(guī)則。
      8.如權(quán)利要求1所述的方法,其特征在于,在所述第五步驟中,進(jìn)一步讀取并保存關(guān)于所述操作系統(tǒng)中的用戶su記錄、失敗的登錄信息、ftp登錄后的操作命令作為第二信息。
      9.如權(quán)利要求8所述的方法,其特征在于,在第六步驟中,處理所述第一信息和所述第二信息,并且將處理后的信息發(fā)送到事件收集服務(wù)器。
      10.如權(quán)利要求11所述的方法,其特征在于,在所述第六步驟中,采用syslog協(xié)議通過 socket方式發(fā)送所述處理后的信息。
      11.如權(quán)利要求1到10中任意一項(xiàng)所述的方法,其特征在于,所述終端信息包括終端 ID、源IP地址、源用戶中的一個(gè)或多個(gè)。
      12.如權(quán)利要求1到10中任意一項(xiàng)所述的方法,特征在于,所述操作系統(tǒng)包括AIX、 Linux 禾口 Solaris。
      13.如權(quán)利要求1到10中任意一項(xiàng)所述的方法,特征在于,第一信息還包括與該活躍的終端關(guān)聯(lián)的用戶的歷史命令產(chǎn)生的日期、時(shí)間、主機(jī)信息、源用戶信息、源IP地址、用戶信息和終端信息的一個(gè)或多個(gè)。
      14.一種實(shí)時(shí)監(jiān)控終端命令行的裝置,該裝置包括第一信息讀取裝置,其特征在于,第一信息讀取裝置通過以下模塊監(jiān)控用戶在操作系統(tǒng)中的行為第一模塊,被配置成設(shè)置作為所述操作系統(tǒng)的環(huán)境變量的歷史命令文件名為包含終端信息和用戶信息;第二模塊,被配置成利用當(dāng)前操作系統(tǒng)中成功登陸的用戶信息獲取當(dāng)前活躍的終端信息;第三模塊,被配置成根據(jù)所述活躍的終端信息,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件,第四模塊,被配置成利用所述活躍的終端信息標(biāo)記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令;第五模塊,被配置成當(dāng)所述活躍的終端退出時(shí),保存上述經(jīng)標(biāo)記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息。
      15.如權(quán)利要求14所述的裝置,其特征在于,所述第一模塊進(jìn)一步被配置成設(shè)置所述操作系統(tǒng)的環(huán)境變量為基于終端ID和用戶名。
      16.如權(quán)利要求14所述的裝置,其特征在于,所述第一模塊進(jìn)一步被配置成在所述操作系統(tǒng)的配置文件中添加歷史命令文件名的定義。
      17.如權(quán)利要求14所述的裝置,其特征在于,所述第一模塊進(jìn)一步被配置成將用戶的歷史命令文件設(shè)置在同一目錄下,以及在所述第三模塊中,根據(jù)所述活躍的終端信息,掃描所述同一目錄以獲取與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件。
      18.如權(quán)利要求14所述的裝置,其特征在于,所述第三模塊進(jìn)一步被配置成在輪詢周期內(nèi)持續(xù)掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件,在所述第四模塊中,進(jìn)一步地, 利用所述活躍的終端信息標(biāo)記新增的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的命令。
      19.如權(quán)利要求14所述的裝置,其特征在于,所述第四模塊進(jìn)一步被配置成為所述歷史命令文件中的每條命令設(shè)置級(jí)別。
      20.如權(quán)利要求14所述的裝置,其特征在于,所述第四模塊進(jìn)一步被配置成為所述歷史命令文件中的每條命令設(shè)置過濾規(guī)則。
      21.如權(quán)利要求14所述的裝置,其特征在于,還包括第二信息讀取裝置,用于讀取并保存關(guān)于所述操作系統(tǒng)中的用戶su記錄、失敗的登錄信息、ftp登錄后的操作命令作為第二信息。
      22.如權(quán)利要求21所述的裝置,其特征在于,還包括控制模塊,用于處理所述第一信息和所述第二信息,并且將處理后的信息發(fā)送到事件收集服務(wù)器。
      23.如權(quán)利要求22所述的裝置,其特征在于,所述控制模塊采用syslog協(xié)議通過 socket方式發(fā)送所述處理后的信息。
      24.如權(quán)利要求14到23中任意一項(xiàng)所述的裝置,其特征在于,所述終端信息包括終端 ID、源IP地址、源用戶中的一個(gè)或多個(gè)。
      25.如權(quán)利要求14到23中任意一項(xiàng)所述的裝置,特征在于,所述操作系統(tǒng)包括AIX、 Linux 禾口 Solaris。
      26.如權(quán)利要求14到23中任意一項(xiàng)所述的裝置,特征在于,第一信息還包括與該活躍的終端關(guān)聯(lián)的用戶的歷史命令產(chǎn)生的日期、時(shí)間、主機(jī)信息、源用戶信息、源IP地址、用戶信息和終端信息的一個(gè)或多個(gè)。
      全文摘要
      本發(fā)明提供實(shí)時(shí)監(jiān)控終端命令行的方法和裝置,通過將歷史命令文件名與終端信息、用戶信息相關(guān)聯(lián),并且利用Unix/Linux操作系統(tǒng)提供的各種日志文件收集用戶的操作命令和各種其它行為,并將這些信息發(fā)送至事件收集服務(wù)器進(jìn)行監(jiān)控、管理和審計(jì)。
      文檔編號(hào)H04L12/26GK102571476SQ20101061732
      公開日2012年7月11日 申請(qǐng)日期2010年12月27日 優(yōu)先權(quán)日2010年12月27日
      發(fā)明者吳素文, 周恒磊, 孫會(huì)林, 戚躍民, 班昊, 胡文斌 申請(qǐng)人:中國(guó)銀聯(lián)股份有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1