[发明专利]一种低开销的文件操作日志采集方法

权利要求书

1.一种低开销的文件操作日志采集方法，其特征在于，包括以下步骤：

1)采用内核探针采集内核中的文件操作日志信息；

2)在内核空间设置一块用以写入内核探针采集到的信息的共享内存，用户空间从共享内存中读取内核探针采集到的信息；

3)通过去重算法减少日志数量，降低日志采集开销；

所述的步骤3)中，通过构建哈希表进行去重，哈希表中的键值均为结构体，哈希表中的键为文件操作日志中相同的部分，哈希表中的值即为去重后的日志信息；

去重算法包括过滤模块和合并模块，所述的过滤模块包括内核层过滤和用户层过滤，内核层过滤，通过进程pid进行过滤，用以实现对文件操作日志的过滤，用户层过滤用以实现对临时文件的过滤，所述的合并模块用以对文件读写操作进行合并，当对同一文件有多次读写操作时，则将多次连续读操作合并为一条读日志，将多次连续写操作合并为一条写日志；

对临时文件的过滤通过对文件名称进行过滤，包括后缀名为.swp和.tmp的临时文件。

2.根据权利要求1所述的一种低开销的文件操作日志采集方法，其特征在于，所述的步骤2)中，用户空间通过mmap机制实时从共享内存中读取内核探针采集到的信息。

3.根据权利要求1所述的一种低开销的文件操作日志采集方法，其特征在于，所述的合并模块的具体操作流程如下：

首先进行查找，查找该条日志信息是否存在于已有日志信息中，如果存在则进行合并，如果不存在，则在哈希表中插入该条日志信息。

4.根据权利要求1所述的一种低开销的文件操作日志采集方法，其特征在于，文件操作日志中相同的部分包括文件信息、进程信息和用户信息，具体包括进程ID、父进程ID、用户ID、文件名称和文件操作的类型。

5.根据权利要求1所述的一种低开销的文件操作日志采集方法，其特征在于，所述的哈希表的复杂度为O(1)，解决哈希冲突采用链表法，哈希函数选择除法哈希法。

6.根据权利要求1所述的一种低开销的文件操作日志采集方法，其特征在于，所述的步骤1)中，在内核的虚拟文件层采用eBPF采集文件操作日志信息。