[发明专利]用于日志取证分析的方法、装置及计算机可读介质在审
| 申请号: | 201910677837.2 | 申请日: | 2019-07-25 |
| 公开(公告)号: | CN110413481A | 公开(公告)日: | 2019-11-05 |
| 发明(设计)人: | 吴少华;翟晓飞;苏再添;陈俊珊 | 申请(专利权)人: | 厦门市美亚柏科信息股份有限公司 |
| 主分类号: | G06F11/30 | 分类号: | G06F11/30;G06F16/17;G06F16/18 |
| 代理公司: | 厦门福贝知识产权代理事务所(普通合伙) 35235 | 代理人: | 陈远洋 |
| 地址: | 361000 福建省厦门市*** | 国省代码: | 福建;35 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 日志存储文件 数据块 缓存 解压缩 读取 偏移位置 初始化 计算机可读介质 日志 取证 数据块读取 数据块类型 存储日志 判断数据 日志记录 数据保存 头部信息 压缩 内存 解析 分析 保存 申请 | ||
1.一种用于日志取证分析的方法,包括:
读取日志存储文件,所述日志存储文件用于存储日志文件并且包括具有各种大小的多个数据块,其中读取所述日志存储文件以获得所述日志存储文件的大小和初始化偏移位置,所述初始化偏移位置代表所述日志存储文件的起始位置;
从所述初始化偏移位置读取所述日志存储文件中所述初始化偏移位置处的数据块的数据块类型和数据块大小;
根据所述数据块的头部信息来判断所述数据块是否是压缩的数据块;
如果所述数据块是压缩的数据块,则将所述数据块读取到缓存;
读取所述缓存以获取进行解压缩需要的内存大小并申请解压缩缓存;
利用解压缩算法对所述缓存进行解压缩来将数据保存到所述解压缩缓存;以及
对保存到所述解压缩缓存中的数据进行解析以获取所述日志存储文件中的日志记录。
2.如权利要求1所述的方法,还包括:
如果所述数据块不是压缩的数据块,则定义所述数据块的填充字节个数来修改所述初始化偏移位置以获得修改后的偏移位置;
判断所述修改后的偏移位置是否小于所述日志存储文件的大小;
如果所述修改后的偏移位置小于所述日志存储文件的大小,则将所述修改后的偏移位置指定为下一初始化偏移位置,从而以与针对所述初始化偏移位置相同的方式针对所述下一初始化偏移位置执行获取日志记录的过程;以及
如果所述修改后的偏移位置大于所述日志存储文件的大小,则指示已经获取所述日志存储文件中的所有日志记录。
3.如权利要求2所述的方法,还包括以针对所述日志存储文件相同的方式获取多个日志存储文件中的所有日志记录,并将所获取的所有日志记录提取到日志记录集合中。
4.如权利要求3所述的方法,其中每个日志记录包括对其进行身份标识的跟踪ID,并将日志的类型提取到日志记录类型的集合中。
5.如权利要求4所述的方法,其中根据跟踪ID对日志记录进行分类。
6.如权利要求5所述的方法,其中针对每一种日志记录类型提取有价值的信息以进行取证分析。
7.一种用于日志取证分析的装置,包括用于执行如权利要求1-6中任一项所述的方法的单元。
8.一种其上存储有指令的计算机可读介质,所述指令当被执行时使得计算设备执行如权利要求1-6中任一项所述的方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于厦门市美亚柏科信息股份有限公司,未经厦门市美亚柏科信息股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910677837.2/1.html,转载请声明来源钻瓜专利网。
- 上一篇:用于机器人运行状态的处理方法及装置
- 下一篇:检测方法和装置
