[发明专利]一种基于KVM的虚拟机自省采集系统及采集方法

权利要求书

1.一种基于KVM的虚拟机自省采集系统，其特征在于：所述系统包括配置下发模块、任务调度模块、文件度量模块、语义解析模块、虚拟机连接模块、流处理模块和数据库模块；

配置下发模块用于接收虚拟机采集任务的请求，配置下发模块用于对云平台中的虚拟机进行管理，包括虚拟机位于哪一台宿主机下，虚拟机的状态以及虚拟机的操作系统版本；

任务调度模块运行在每台宿主机上，负责接收配置下发模块的请求、管理所在宿主机的所有虚拟机状态；

文件度量模块负责Windows和Linux虚拟机文件信息的采集任务，文件度量模块找到虚拟机的镜像文件的位置，通过镜像挂载技术对镜像文件进行解析以获取虚拟机的文件信息，进而分析需要采集的目的文件变化的信息；对于Windows虚拟机，文件度量模块还采集注册表的变化信息；

虚拟机连接模块负责将虚拟地址映射到物理地址，对虚拟机内存进行初始化操作；

语义解析模块负责对Windows和Linux虚拟机内存信息的采集任务，语义解析模块根据不同的虚拟机操作系统版本、不同采集任务启动不同的采集配置，对虚拟机连接模块初始化后的虚拟机内存进行分析，进而获取相应的Windows和Linux虚拟机信息；

流处理模块对采集到的虚拟机信息进行实时去重，对异常的配置信息进行报警，经过去重之后存入数据库；

虚拟机信息为内存信息和文件信息；

数据库模块对流处理模块处理后的虚拟机信息进行分类存储，并对采集记录进行保存。

2.根据权利要求1所述一种基于KVM的虚拟机自省采集系统，其特征在于：所述语义解析模块负责对Windows和Linux虚拟机内存信息的采集任务，语义解析模块根据不同的虚拟机操作系统版本、不同采集任务启动不同的采集配置，对虚拟机连接模块初始化后的虚拟机内存进行分析，进而获取相应的Windows和Linux虚拟机信息；具体为：

适配内核数据结构和符号表、填充虚拟机内存所在物理内存的鸿沟，通过符号表定位对象偏移量，根据内核数据结构定位目标信息，进而获取相应的Windows和Linux虚拟机信息。

3.一种基于KVM的虚拟机自省采集方法，其特征在于：所述方法具体过程为：

当发出一个采集请求时，采集请求进入配置下发模块，配置下发模块对采集请求进行缓存并校验，如果发现没有相关的虚拟机信息则校验失败，将错误信息发送给流处理模块；如果发现有相关的虚拟机信息则会适配采集请求的操作系统内核版本和采集请求相关配置信息，定位虚拟机所在的宿主机后，将配置信息下发到宿主机；

任务调度模块位于宿主机上，收到配置信息后进行配置校验，如果在宿主机上没有找到相应的配置文件则校验失败，将错误信息发送给流处理模块；如果在宿主机上找到相应的配置文件则开始启动采集请求，分别启动语义解析模块和文件度量模块；

语义解析模块对找到相应的配置文件后的虚拟机进行内存信息采集，根据采集请求启动采集命令；

调用连接模块对内存信息进行初始化；

虚拟机连接模块通过直接与hypervisor交互收集初始化后的内存信息，然后通过语义解析模块上的采集请求基于Volatility内存分析工具对初始化后的内存信息进行分析，得到内存数据结果发送给流处理模块；

文件度量模块进行文件信息和注册表信息采集，找到采集请求对应的虚拟机镜像，对镜像进行挂载分析，获取文件信息和注册表信息发送给流处理模块；

流处理模块对配置下发模块和任务调度模块出现的校验失败信息发出警告，对语义解析模块采集的内存信息和文件度量模块采集的文件信息和注册表信息进行去重，最后传入数据库。

4.根据权利要求3所述一种基于KVM的虚拟机自省采集方法，其特征在于：所述Hypervisor为虚拟机管理器。