[发明专利]Linux操作日志的审计系统和方法

说明书

本发明公开了一种Linux操作日志的审计系统和方法，其中Linux操作日志的审计系统，包括堡垒机、日志搜索引擎、日志收集单元、开源分析可视化平台、综合性安全运营中心；堡垒机用于将Linux服务器的操作日志备份至目标路径；日志收集单元用于将目标路径下的操作日志传输至日志搜索引擎；日志搜索引擎用于将操作日志按照字段分片，并将分片后的操作日志传输至开源分析可视化平台；开源分析可视化平台用于为分片后的操作日志添加审计主题；综合性安全运营中心用于根据预设规则检测添加审计主题后的操作日志。本发明能够对Linux操作日志实时进行审计，及时告警。

技术领域

本发明属于Linux(一种操作系统)操作日志审计监控技术领域，尤其涉及一种Linux操作日志的审计系统和方法。

背景技术

大型互联网企业中，人为计算机操作失误是引起生产事故的主要原因之一，不乏存在黑客渗透行为、恶意操作破坏。一般事故的审计回溯方式为登录设备查看历史操作记录(Linux操作日志)，此审计方式滞后性强，不及时，并且无法看到详细的用户来源，如IP(Internet Protocol，网络之间互连的协议)地址、操作时间、操作用户等。若设备遭遇恶意渗透，Linux历史命令文件(Linux操作日志)可被人为清空，或者设备遭到灾难性破坏，历史文件(Linux操作日志)也将丢失。

发明内容

本发明要解决的技术问题是克服现有技术中的对Linux操作日志的审计滞后性强的缺陷，提供一种Linux操作日志的审计系统和方法。

本发明通过以下技术方案解决上述技术问题：

一种Linux操作日志的审计系统，包括堡垒机、日志搜索引擎、日志收集单元、开源分析可视化平台、综合性安全运营中心；

堡垒机用于将Linux服务器的操作日志备份至目标路径；

日志收集单元用于将目标路径下的操作日志传输至日志搜索引擎；

日志搜索引擎用于将操作日志按照字段分片，并将分片后的操作日志传输至开源分析可视化平台；

开源分析可视化平台用于为分片后的操作日志添加审计主题，并用于将添加审计主题后的操作日志传输至综合性安全运营中心，审计主题用于表征操作日志用于审计；

综合性安全运营中心用于根据预设规则检测添加审计主题后的操作日志。

较佳地，将操作日志按照字段分片为将操作日志按照字段分行。

较佳地，根据预设规则检测添加审计主题后的操作日志包括在添加审计主题后的操作日志中检测预设高危命令，高危命令为引起误操作的命令。

较佳地，根据预设规则检测添加审计主题后的操作日志包括每隔预设运行间隔时间检测当前搜索间隔时间内的添加审计主题后的操作日志。

较佳地，综合性安全运营中心还用于在检测到高危命令的数量达到预设阈值后发出报警信息。

较佳地，综合性安全运营中心还用于将报警信息发送至目标邮件地址。

较佳地，综合性安全运营中心上设置有数据源，综合性安全运营中心还用于将数据源的主题配置为审计主题，开源分析可视化平台用于将添加审计主题后的操作日志传输至数据源。

本发明还提供一种Linux操作日志的审计方法，包括以下步骤：

堡垒机将Linux服务器的操作日志备份至目标路径；

日志收集单元将目标路径下的操作日志传输至日志搜索引擎；

日志搜索引擎将操作日志按照字段分片，并将分片后的操作日志传输至开源分析可视化平台；