上报监控日志的方法及装置、处理监控日志的方法及装置与流程
本发明涉及云计算领域,具体而言,涉及一种上报监控日志的方法及装置、处理监控日志的方法及装置。
背景技术:
加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备,加密机和主机之间使用传输控制协议(tcp)/因特网协议(ip)通信,因此,加密机对主机的类型以及主机所使用的操作系统并没有任何特殊的要求。通过加密机的使用为计算机网络系统提供安全保密数据通信服务,防止网络上的各种欺诈行为发生。
加密机通常可以包括以下四个功能模块:硬件加密部件、密钥管理菜单、加密机后台进程以及加密机监控程序与后台监控进程。加密机在通常情况下采用本地主密钥、传输主密钥和工作密钥三层密钥体系,并且对不同密钥(特别是工作密钥)的功能做出了严格的限制。
对于使用硬件加密机进行网络安全加密/解密的应用,从总体框架上来看,最主要包括以下硬件:网络安全防火墙和硬件级加密机。首先通过网络安全防火墙(第一道安全屏障)对外部访问进行安全检查,并对非法访问进行安全隔离。在通过网络安全防火墙的安全检测后再由硬件级加密机对所需要进行通讯的数据报文进行安全检查,并对非法访问进行安全隔离或拒绝。
硬件加密机在进行工作时,首先需要完成自身系统参数的配置工作,其最主要完成的设置便是加密机主密钥的灌注工作。硬件级加密机通常采用多人、分段、手工的方式灌注主密钥,灌注完成的主密钥由加密机系统自动进行合成并存储。而且,加密机自身存储有密钥自毁装置,对于非法进行主密钥获取的行为,加密机会启动主密钥自毁装置以确保主密钥的安全性。
虚拟加密机(或称云加密机)是指在硬件加密机上通过虚拟化技术产生的多台加密机,能够在资源上进行隔离,并分别提供给多个用户加以使用。
相关技术中,在对加密机进行初始设计的过程中,通常会考虑运营维护人员查看 日志以及系统监控的需求,其通常采用的查看日志以及系统监控信息的流程可以包括以下几个步骤:
步骤一、加密机将日志或者系统监控信息记录在本地的磁盘;
步骤二、运营维护人员通过独立网络或者串口线将自身使用的个人计算机(pc)连接至加密机;
步骤三、运营维护人员使用自身的u盾(ukey)对身份进行认证,通过加密机厂商提供的管理客户端访问加密机;
步骤四、运营维护人员使用图形化或者命令行的客户端查看加密机的监控日志。
考虑到系统监控信息是记录在本地磁盘中的,那么如果需要访问这些系统监控信息,就必须通过访问加密机来实现。然而,由于加密机自身对安全性的要求较高,每次访问都需要使用ukey来进行身份认证,否则将无法查看日志以及系统监控信息。这种物理硬件的认证方式使得使用上述查看过程无法实现加密机的自动化监控。另外,由于这些监控信息是在本地存储的,那么上述查看过程还无法满足集中式日志管理的需求。特别是在云计算环境下,由于需要集中式管理成百上千台硬件加密机,如果单纯依靠上述手工过程则会耗费高昂的运营维护成本。
针对上述的问题,目前尚未提出有效的解决方案。
技术实现要素:
本发明实施例提供了一种上报监控日志的方法及装置、处理监控日志的方法及装置,以至少解决相关技术中在云计算环境使用和管理加密机过程中,无法实现对大量的硬件加密机以及虚拟机加密机进行可视化监控日志的集中式管理的技术问题。
根据本发明实施例的一个方面,提供了一种上报监控日志的方法,包括:
硬件加密机获取配置信息,其中,配置信息至少包括:日志服务器的标识信息和监控日志的上报方式;硬件加密机根据配置信息将监控日志上报至日志服务器。
可选地,在硬件加密机获取配置信息之后,还包括:硬件加密机将配置信息写入在硬件加密机内生成的多个虚拟加密机。
可选地,硬件加密机根据配置信息将监控日志上报至日志服务器包括:硬件加密机将从多个虚拟加密机中的部分或全部虚拟加密机采集到的监控日志存储在预设存储区域;硬件加密机根据上报方式从预设存储区域读取监控日志并按照标识信息将监控日志上报至日志服务器。
根据本发明实施例的另一方面,还提供了一种处理监控日志的方法,包括:
日志服务器接收硬件加密机上报的监控日志,其中,监控日志是硬件加密机按照获取到的配置信息来上报的,配置信息至少包括:日志服务器的标识信息和监控日志的上报方式;日志服务器将监控日志发送至监控设备。
可选地,日志服务器将监控日志发送至监控设备包括以下之一:日志服务器按照预设周期将监控日志发送至监控设备;日志服务器在接收到来自于监控设备的读取监控日志的控制命令后,根据控制命令将监控日志发送至监控设备。
根据本发明实施例的又一方面,提供了一种上报监控日志的装置,该装置应用于硬件加密机,该装置包括:
获取模块,用于获取配置信息,其中,配置信息至少包括:日志服务器的标识信息和监控日志的上报方式;处理模块,用于根据配置信息将监控日志上报至日志服务器。
可选地,上述装置还包括:写入模块,用于将配置信息写入在硬件加密机内生成的多个虚拟加密机。
可选地,处理模块包括:存储单元,用于将从多个虚拟加密机中的部分或全部虚拟加密机采集到的监控日志存储在预设存储区域;处理单元,用于根据上报方式从预设存储区域读取监控日志并按照标识信息将监控日志上报至日志服务器。
根据本发明实施例的再一方面,还提供了一种处理监控日志的装置,该装置应用于日志服务器,该装置包括:
接收模块,用于接收硬件加密机上报的监控日志,其中,监控日志是硬件加密机按照获取到的配置信息来上报的,配置信息至少包括:日志服务器的标识信息和监控日志的上报方式;发送模块,用于将监控日志发送至监控设备。
可选地,发送模块,用于按照预设周期将监控日志发送至监控设备;或者,在接收到来自于监控设备的读取监控日志的控制命令后,根据控制命令将监控日志发送至监控设备。
在本发明实施例中,采用为硬件加密机下发包括日志服务器的标识信息和监控日志的上报方式的方式,通过硬件加密机根据配置信息将监控日志上报至日志服务器,达到了硬件加密机主动向日志服务器推送监控日志的目的,从而实现了通过硬件加密机自动化上报监控日志,来满足日志服务器对监控日志集中化管理需求的技术效果,进而解决了相关技术中在云计算环境使用和管理加密机过程中,无法实现对大量的硬 件加密机以及虚拟机加密机进行可视化监控日志的集中式管理的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种上报监控日志的方法或一种处理监控日志的方法的计算机终端的硬件结构框图;
图2是根据本发明实施例的上报监控日志的方法的流程图;
图3是根据本发明实施例的处理监控日志的方法的流程图;
图4是根据本发明优选实施例的对监控日志进行上报并对监控日志进行分析的示意图;
图5是根据本发明实施例的上报监控日志的装置的结构框图;
图6是根据本发明优选实施例的上报监控日志的装置的结构框图;
图7是根据本发明实施例的处理监控日志的装置的结构框图;
图8是根据本发明实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本发明实施例,还提供了一种上报监控日志的方法实施例以及一种处理监控日志的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本发明实施例的一种上报监控日志的方法或一种处理监控日志的方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的上报监控日志的方法或处理监控日志的方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的上报监控日志的方法或处理监控日志的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(networkinterfacecontroller,简称为nic),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(radiofrequency,简称为rf)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图2所示的上报监控日志的方法。图2是根据本发明实施例的上报监控日志的方法的流程图。如图2所示,该方法可以包括以下处理步骤:
步骤s22:硬件加密机获取配置信息,其中,配置信息至少包括:日志服务器的 标识信息和监控日志的上报方式;
上述配置信息既可以由服务提供商采取对硬件加密机进行全局配置的方式对硬件加密机进行上电初始化操作,服务提供商的管理人员可以使用自身的ukey认证身份,然后登录至硬件加密机来执行与监控日志上报相关的配置操作,其中,管理人员配置的信息可以包括但不限于:日志服务器的标识信息、监控日志的上报方式(例如:周期上报、实时上报);当然,也可以由硬件加密机内生成的虚拟加密机对应的客户采用单机配置的方式,由该客户使用自身的ukey认证身份,然后登录至硬件加密机来执行与监控日志上报相关的配置操作,其中,管理人员配置的信息可以包括但不限于:日志服务器的标识信息、监控日志的上报方式(例如:周期上报、实时上报),此种配置方式给予了使用虚拟加密机的客户更多的控制权,只是后续流程中对于监控日志的分析工作将不再由服务提供商按照其提供的通用监控分析服务来完成,而是由客户独自来完成,即每个虚拟加密机对应的不同客户可以各自独立完成监控日志的分析工作。
在优选实施过程中,对于日志服务器的标识信息可以包括以下之一:
(1)初始为该日志服务器分配的真实因特网协议(ip)地址;
(2)使用预设域名来代替真实ip地址;
(3)使用虚拟ip地址来代替真实ip地址;
需要说明的是,上述(1)中的真实ip地址在日志服务器发生变更后也要随之更换,因此,在每次变更日志服务器后均需要对上述配置信息进行更新;而如果采用上述(2)中的域名来代替真实ip地址,则由于域名是由日志服务器之外的公共域名服务器来管理的,因此,在每次变更日志服务器后只需要将原先的日志服务器与域名之间的对应关系更新为变更后的日志服务器与域名之间的对应关系,进而省去了频繁对上述配置信息进行更新的麻烦;同样地,如果采用上述(3)中的虚拟ip地址来代替真实ip地址,则由于虚拟ip地址在网络层分配并指向真实ip地址,因此,在每次变更日志服务器后只需要将原先的日志服务器与虚拟ip地址之间的对应关系更新为变更后的日志服务器与虚拟ip地址之间的对应关系,进而省去了频繁对上述配置信息进行更新的麻烦。这样可以尽可能地减少对硬件加密机进行配置变更的可能性。
步骤s24:硬件加密机根据配置信息将监控日志上报至日志服务器。
相关技术中,运营维护人员如果需要查看监控日志就必须要首先通过独立网络或者串口线将自身使用的pc连接至加密机;其次使用自身的u盾(ukey)对身份进行认证,通过加密机厂商提供的管理客户端访问加密机;然后再使用图形化或者命令行的客户端才能够查看加密机的监控日志。然而,采用本发明实施例提供的技术方案,通 过向硬件加密机下发上述配置信息,可以使得获取监控日志的方式由硬件加密机在对接入的用户终端鉴权成功后被动地向该用户终端提供监控日志变成向日志服务器主动推送监控日志,进而实现对监控日志的集中式管理。
可选地,在步骤s22,硬件加密机获取配置信息之后,还可以包括以下执行步骤:
步骤s26:硬件加密机将配置信息写入在硬件加密机内生成的多个虚拟加密机。
在云计算的环境下,对加密机的监控操作通常可以分为以下两个维度:
第一维度、对硬件加密机整机进行监控;
第二维度、对硬件加密机整机内部生成的多个单台虚拟加密机进行监控。
由于硬件加密机对其内部生成的虚拟加密机具备绝对控制能力,因此,当上述配置信息在硬件加密机内配置完毕后,硬件加密机便可以在创建虚拟加密机时直接将上述配置信息写入各台虚拟加密机,而无需服务提供商的管理人员或者与虚拟加密机对应的客户介入。即日志服务器的配置是在硬件加密机层面来进行配置的,而虚拟加密机的配置则是由硬件加密机自动写入的。
可选地,在步骤s24中,硬件加密机根据配置信息将监控日志上报至日志服务器可以包括以下执行步骤:
步骤s242:硬件加密机将从多个虚拟加密机中的部分或全部虚拟加密机采集到的监控日志存储在预设存储区域;
步骤s244:硬件加密机根据上报方式从预设存储区域读取监控日志并按照标识信息将监控日志上报至日志服务器。
硬件加密机内部的各台虚拟加密机可以通过加密机业务线程/进程来记录监控信息并分别生成与每台虚拟加密机对应的监控日志,硬件加密机将这些虚拟加密机采集到的监控日志写入预设存储区域(例如:内存或者磁盘)。此外,硬件加密机可以根据配置信息的上报方式通过采用加密机上报线程/进程定时读取内存或磁盘中的监控日志,将读取到的监控日志上报给日志服务器。在具体上报过程中,硬件加密机既可以采用周期性的定时上报,也可以采用实时上报,还可以采用不定时上报等多种上报方式将监控日志上报至日志服务器。一次上报结束后,等待一段时间,然后再开始下一个周期的采集。
在上述运行环境下,本申请还提供了如图3所示的处理监控日志的方法。图3是 根据本发明实施例的处理监控日志的方法的流程图。如图3所示,该方法可以包括以下处理步骤:
步骤s32:日志服务器接收硬件加密机上报的监控日志,其中,监控日志是硬件加密机按照获取到的配置信息来上报的,配置信息至少包括:日志服务器的标识信息和监控日志的上报方式;
与图2所提供的方法实施例相类似,上述配置信息既可以由服务提供商采取对硬件加密机进行全局配置的方式对硬件加密机进行上电初始化操作,服务提供商的管理人员可以使用自身的ukey认证身份,然后登录至硬件加密机来执行与监控日志上报相关的配置操作,其中,管理人员配置的信息可以包括但不限于:日志服务器的标识信息、监控日志的上报方式(例如:周期上报、实时上报);当然,也可以由硬件加密机内生成的虚拟加密机对应的客户采用单机配置的方式,由该客户使用自身的ukey认证身份,然后登录至硬件加密机来执行与监控日志上报相关的配置操作,其中,管理人员配置的信息可以包括但不限于:日志服务器的标识信息、监控日志的上报方式(例如:周期上报、实时上报),此种配置方式给予了使用虚拟加密机的客户更多的控制权,此时,后续流程中对于监控日志的分析工作将不再由服务提供商按照其提供的通用监控分析服务来完成,而是由客户独自来完成,即每个虚拟加密机对应的不同客户可以各自独立完成监控日志的分析工作。
在优选实施过程中,对于日志服务器的标识信息可以包括以下之一:
(1)初始为该日志服务器分配的真实因特网协议(ip)地址;
(2)使用预设域名来代替真实ip地址;
(3)使用虚拟ip地址来代替真实ip地址;
需要说明的是,上述(1)中的真实ip地址在日志服务器发生变更后也要随之更换,因此,在每次变更日志服务器后均需要对上述配置信息进行更新;而如果采用上述(2)中的域名来代替真实ip地址,则由于域名是由日志服务器之外的公共域名服务器来管理的,因此,在每次变更日志服务器后只需要将原先的日志服务器与域名之间的对应关系更新为变更后的日志服务器与域名之间的对应关系,进而省去了频繁对上述配置信息进行更新的麻烦;同样地,如果采用上述(3)中的虚拟ip地址来代替真实ip地址,则由于虚拟ip地址在网络层分配并指向真实ip地址,因此,在每次变更日志服务器后只需要将原先的日志服务器与虚拟ip地址之间的对应关系更新为变更后的日志服务器与虚拟ip地址之间的对应关系,进而省去了频繁对上述配置信息进行更新的麻烦。这样可以尽可能地减少对硬件加密机进行配置变更的可能性。
步骤s34:日志服务器将监控日志发送至监控设备。
需要说明的是,该监控设备既可以是独立于日志服务器的专用于进行监控日志分析的服务器,也可以是独立于日志服务器的专用于进行监控日志分析的客户端。
相关技术中,运营维护人员如果需要查看监控日志就必须要首先通过独立网络或者串口线将自身使用的pc连接至加密机;其次使用自身的u盾(ukey)对身份进行认证,通过加密机厂商提供的管理客户端访问加密机;然后再使用图形化或者命令行的客户端才能够查看加密机的监控日志。然而,采用本发明实施例提供的技术方案,通过向硬件加密机下发上述配置信息,可以使得获取监控日志的方式由硬件加密机在对接入的用户终端鉴权成功后被动地向该用户终端提供监控日志变成向日志服务器主动推送监控日志,进而实现对监控日志的集中式管理。
在优选实施过程中,日志服务器将监控日志发送至监控设备可以包括以下方式之一:
方式一、日志服务器按照预设周期将监控日志发送至监控设备;
即日志服务器不需要等待监控设备下发控制命令来向监控设备提供监控日志,而是每到达预设周期结束的时间时便会主动将获取到的监控日志推送至监控设备,以便监控设备对监控日志进行分析。
方式二、日志服务器在接收到来自于监控设备的读取监控日志的控制命令后,根据控制命令将监控日志发送至监控设备。
即日志服务器不会主动向监控设备推送监控日志,而需要在接收到来自于监控设备的用于读取监控日志的控制命令后,在根据该控制命令向监控设备推送监控日志。
作为本发明的一个优选实施例,当监控设备从日志服务器读取到监控日志之后,便会对监控日志中记载的监控数据进行分析,将该监控数据与预设监控指标的正常值进行比对,判断当前系统状态是否处于正常状态。如果在进行比对后发现监控数据出现异常,则会通过预设提示方式(例如:短信、电子邮件)将上述异常情况通知给服务提供商的管理人员或者与虚拟加密机对应的客户。
例如:当前从监控日志中提取的监控数据为中央处理器(cpu)的占用率,假设cpu占用率的监控指标正常值为小于或等于70%,如果提取到的cpu占用率尚未超过70%,则监控设备可以等到下一个监控周期到来后再对cpu占用率进行分析;如果取到的cpu占用率已经超过70%,则监控设备会立即通过预设提示方式(例如:短信、电子邮件)将上述异常情况通知给服务提供商的管理人员或者与虚拟加密机对应的客户。在 每次监控日志分析完毕后,监控设备将自动等待进入下一个监控分析周期。
下面将结合图4所示的优选实施方式对上述优选实施过程作进一步地描述。
图4是根据本发明优选实施例的对监控日志进行上报并对监控日志进行分析的示意图。如图4所示,由服务提供商采取对硬件加密机进行全局配置的方式对硬件加密机进行上电初始化操作,服务提供商的管理人员可以使用自身的ukey认证身份,然后登录至硬件加密机来执行与监控日志上报相关的配置操作,其中,管理人员配置的信息可以包括但不限于:日志服务器的标识信息、监控日志的上报方式(例如:周期上报、实时上报);当然,也可以由硬件加密机内生成的虚拟加密机对应的客户采用单机配置的方式,由该客户使用自身的ukey认证身份,然后登录至硬件加密机来执行与监控日志上报相关的配置操作,其中,管理人员配置的信息可以包括但不限于:日志服务器的标识信息、监控日志的上报方式(例如:周期上报、实时上报),此种配置方式给予了使用虚拟加密机的客户更多的控制权。
由于硬件加密机对其内部生成的虚拟加密机具备绝对控制能力,因此,当上述配置信息在硬件加密机内配置完毕后,硬件加密机便可以在创建虚拟加密机时直接将上述配置信息写入各台虚拟加密机,而无需服务提供商的管理人员或者与虚拟加密机对应的客户介入。即日志服务器的配置是在硬件加密机层面来进行配置的,而虚拟加密机的配置则是由硬件加密机自动写入的。
硬件加密机内部的各台虚拟加密机可以通过加密机业务线程/进程来记录监控信息并分别生成与每台虚拟加密机对应的监控日志,硬件加密机将这些虚拟加密机采集到的监控日志写入预设存储区域(例如:内存或者磁盘)。此外,硬件加密机可以根据配置信息的上报方式通过采用加密机上报线程/进程定时读取内存或磁盘中的监控日志,将读取到的监控日志上报给日志服务器。在具体上报过程中,硬件加密机既可以采用周期性的定时上报,也可以采用实时上报,还可以采用不定时上报等多种上报方式将监控日志上报至日志服务器。
日志服务器既可以不需要等待监控设备下发控制命令来向监控设备提供监控日志,而是每到达预设周期结束的时间时便会主动将获取到的监控日志推送至监控设备,以便监控设备对监控日志进行分析;当然,也可以不主动向监控设备推送监控日志,而需要在接收到来自于监控设备的用于读取监控日志的控制命令后,在根据该控制命令向监控设备推送监控日志。
需要说明的是,该监控设备既可以是独立于日志服务器的专用于进行监控日志分析的服务器,也可以是独立于日志服务器的专用于进行监控日志分析的客户端。
当监控设备从日志服务器读取到监控日志之后,便会对监控日志中记载的监控数据进行分析,将该监控数据与预设监控指标的正常值进行比对,判断当前系统状态是否处于正常状态。如果在进行比对后发现监控数据出现异常,则会通过预设提示方式(例如:短信、电子邮件)将上述异常情况通知给服务提供商的管理人员或者与虚拟加密机对应的客户。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的上报监控日志的方法以及处理监控日志的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述上报监控日志的装置实施例。图5是根据本发明实施例的上报监控日志的装置的结构框图。该装置应用于日志服务器,如图5所示,该装置包括:获取模块10,用于获取配置信息,其中,配置信息至少包括:日志服务器的标识信息和监控日志的上报方式;处理模块20,用于根据配置信息将监控日志上报至日志服务器。
上述配置信息既可以由服务提供商采取对硬件加密机进行全局配置的方式对硬件加密机进行上电初始化操作,服务提供商的管理人员可以使用自身的ukey认证身份,然后登录至硬件加密机来执行与监控日志上报相关的配置操作,其中,管理人员配置的信息可以包括但不限于:日志服务器的标识信息、监控日志的上报方式(例如:周期上报、实时上报);当然,也可以由硬件加密机内生成的虚拟加密机对应的客户采用单机配置的方式,由该客户使用自身的ukey认证身份,然后登录至硬件加密机来执行 与监控日志上报相关的配置操作,其中,管理人员配置的信息可以包括但不限于:日志服务器的标识信息、监控日志的上报方式(例如:周期上报、实时上报),此种配置方式给予了使用虚拟加密机的客户更多的控制权,只是后续流程中对于监控日志的分析工作将不再由服务提供商按照其提供的通用监控分析服务来完成,而是由客户独自来完成,即每个虚拟加密机对应的不同客户可以各自独立完成监控日志的分析工作。
在优选实施过程中,对于日志服务器的标识信息可以包括以下之一:
(1)初始为该日志服务器分配的真实因特网协议(ip)地址;
(2)使用预设域名来代替真实ip地址;
(3)使用虚拟ip地址来代替真实ip地址;
需要说明的是,上述(1)中的真实ip地址在日志服务器发生变更后也要随之更换,因此,在每次变更日志服务器后均需要对上述配置信息进行更新;而如果采用上述(2)中的域名来代替真实ip地址,则由于域名是由日志服务器之外的公共域名服务器来管理的,因此,在每次变更日志服务器后只需要将原先的日志服务器与域名之间的对应关系更新为变更后的日志服务器与域名之间的对应关系,进而省去了频繁对上述配置信息进行更新的麻烦;同样地,如果采用上述(3)中的虚拟ip地址来代替真实ip地址,则由于虚拟ip地址在网络层分配并指向真实ip地址,因此,在每次变更日志服务器后只需要将原先的日志服务器与虚拟ip地址之间的对应关系更新为变更后的日志服务器与虚拟ip地址之间的对应关系,进而省去了频繁对上述配置信息进行更新的麻烦。这样可以尽可能地减少对硬件加密机进行配置变更的可能性。
相关技术中,运营维护人员如果需要查看监控日志就必须要首先通过独立网络或者串口线将自身使用的pc连接至加密机;其次使用自身的u盾(ukey)对身份进行认证,通过加密机厂商提供的管理客户端访问加密机;然后再使用图形化或者命令行的客户端才能够查看加密机的监控日志。然而,采用本发明实施例提供的技术方案,通过向硬件加密机下发上述配置信息,可以使得获取监控日志的方式由硬件加密机在对接入的用户终端鉴权成功后被动地向该用户终端提供监控日志变成向日志服务器主动推送监控日志,进而实现对监控日志的集中式管理。
可选地,图6是根据本发明优选实施例的上报监控日志的装置的结构框图。如图6所示,上述装置还包括:写入模块30,用于将配置信息写入在硬件加密机内生成的多个虚拟加密机。
在云计算的环境下,对加密机的监控操作通常可以分为以下两个维度:
第一维度、对硬件加密机整机进行监控;
第二维度、对硬件加密机整机内部生成的多个单台虚拟加密机进行监控。
由于硬件加密机对其内部生成的虚拟加密机具备绝对控制能力,因此,当上述配置信息在硬件加密机内配置完毕后,硬件加密机便可以在创建虚拟加密机时直接将上述配置信息写入各台虚拟加密机,而无需服务提供商的管理人员或者与虚拟加密机对应的客户介入。即日志服务器的配置是在硬件加密机层面来进行配置的,而虚拟加密机的配置则是由硬件加密机自动写入的。
可选地,如图6所示,处理模块20包括:存储单元200,用于将从多个虚拟加密机中的部分或全部虚拟加密机采集到的监控日志存储在预设存储区域;处理单元202,用于根据上报方式从预设存储区域读取监控日志并按照标识信息将监控日志上报至日志服务器。
硬件加密机内部的各台虚拟加密机可以通过加密机业务线程/进程来记录监控信息并分别生成与每台虚拟加密机对应的监控日志,硬件加密机将这些虚拟加密机采集到的监控日志写入预设存储区域(例如:内存或者磁盘)。此外,硬件加密机可以根据配置信息的上报方式通过采用加密机上报线程/进程定时读取内存或磁盘中的监控日志,将读取到的监控日志上报给日志服务器。在具体上报过程中,硬件加密机既可以采用周期性的定时上报,也可以采用实时上报,还可以采用不定时上报等多种上报方式将监控日志上报至日志服务器。一次上报结束后,等待一段时间,然后再开始下一个周期的采集。
根据本发明实施例,还提供了一种用于实施上述处理监控日志的装置实施例。图7是根据本发明实施例的处理监控日志的装置的结构框图。该装置应用于日志服务器,如图7所示,该装置包括:接收模块40,用于接收硬件加密机上报的监控日志,其中,监控日志是硬件加密机按照获取到的配置信息来上报的,配置信息至少包括:日志服务器的标识信息和监控日志的上报方式;发送模块50,用于将监控日志发送至监控设备。
与图5和图6所提供的方法实施例相类似,上述配置信息既可以由服务提供商采取对硬件加密机进行全局配置的方式对硬件加密机进行上电初始化操作,服务提供商的管理人员可以使用自身的ukey认证身份,然后登录至硬件加密机来执行与监控日志上报相关的配置操作,其中,管理人员配置的信息可以包括但不限于:日志服务器的标识信息、监控日志的上报方式(例如:周期上报、实时上报);当然,也可以由硬件加密机内生成的虚拟加密机对应的客户采用单机配置的方式,由该客户使用自身的 ukey认证身份,然后登录至硬件加密机来执行与监控日志上报相关的配置操作,其中,管理人员配置的信息可以包括但不限于:日志服务器的标识信息、监控日志的上报方式(例如:周期上报、实时上报),此种配置方式给予了使用虚拟加密机的客户更多的控制权,此时,后续流程中对于监控日志的分析工作将不再由服务提供商按照其提供的通用监控分析服务来完成,而是由客户独自来完成,即每个虚拟加密机对应的不同客户可以各自独立完成监控日志的分析工作。
在优选实施过程中,对于日志服务器的标识信息可以包括以下之一:
(1)初始为该日志服务器分配的真实因特网协议(ip)地址;
(2)使用预设域名来代替真实ip地址;
(3)使用虚拟ip地址来代替真实ip地址;
需要说明的是,上述(1)中的真实ip地址在日志服务器发生变更后也要随之更换,因此,在每次变更日志服务器后均需要对上述配置信息进行更新;而如果采用上述(2)中的域名来代替真实ip地址,则由于域名是由日志服务器之外的公共域名服务器来管理的,因此,在每次变更日志服务器后只需要将原先的日志服务器与域名之间的对应关系更新为变更后的日志服务器与域名之间的对应关系,进而省去了频繁对上述配置信息进行更新的麻烦;同样地,如果采用上述(3)中的虚拟ip地址来代替真实ip地址,则由于虚拟ip地址在网络层分配并指向真实ip地址,因此,在每次变更日志服务器后只需要将原先的日志服务器与虚拟ip地址之间的对应关系更新为变更后的日志服务器与虚拟ip地址之间的对应关系,进而省去了频繁对上述配置信息进行更新的麻烦。这样可以尽可能地减少对硬件加密机进行配置变更的可能性。
需要说明的是,该监控设备既可以是独立于日志服务器的专用于进行监控日志分析的服务器,也可以是独立于日志服务器的专用于进行监控日志分析的客户端。
相关技术中,运营维护人员如果需要查看监控日志就必须要首先通过独立网络或者串口线将自身使用的pc连接至加密机;其次使用自身的u盾(ukey)对身份进行认证,通过加密机厂商提供的管理客户端访问加密机;然后再使用图形化或者命令行的客户端才能够查看加密机的监控日志。然而,采用本发明实施例提供的技术方案,通过向硬件加密机下发上述配置信息,可以使得获取监控日志的方式由硬件加密机在对接入的用户终端鉴权成功后被动地向该用户终端提供监控日志变成向日志服务器主动推送监控日志,进而实现对监控日志的集中式管理。
可选地,发送模块50,用于按照预设周期将监控日志发送至监控设备;或者,在接收到来自于监控设备的读取监控日志的控制命令后,根据控制命令将监控日志发送 至监控设备。
即日志服务器既可以不需要等待监控设备下发控制命令来向监控设备提供监控日志,而是每到达预设周期结束的时间时便会主动将获取到的监控日志推送至监控设备,以便监控设备对监控日志进行分析;也可以不主动向监控设备推送监控日志,而需要在接收到来自于监控设备的用于读取监控日志的控制命令后,在根据该控制命令向监控设备推送监控日志。
作为本发明的一个优选实施例,当监控设备从日志服务器读取到监控日志之后,便会对监控日志中记载的监控数据进行分析,将该监控数据与预设监控指标的正常值进行比对,判断当前系统状态是否处于正常状态。如果在进行比对后发现监控数据出现异常,则会通过预设提示方式(例如:短信、电子邮件)将上述异常情况通知给服务提供商的管理人员或者与虚拟加密机对应的客户。
实施例3
本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,图8是根据本发明实施例的一种计算机终端的结构框图。如图8所示,该计算机终端可以包括:一个或多个(图中仅示出一个)处理器以及存储器。
其中,存储器可用于存储软件程序以及模块,如本发明实施例中的上报监控日志的方法和装置以及处理监控日志的方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的上报监控日志的方法以及处理监控日志的方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
针对上报监控日志的方法,上述处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:
s1:硬件加密机获取配置信息,其中,配置信息至少包括:日志服务器的标识信息和监控日志的上报方式;
s2:硬件加密机根据配置信息将监控日志上报至日志服务器。
可选的,上述处理器还可以执行如下步骤的程序代码:硬件加密机将配置信息写入在硬件加密机内生成的多个虚拟加密机。。
可选的,上述处理器还可以执行如下步骤的程序代码:硬件加密机将从多个虚拟加密机中的部分或全部虚拟加密机采集到的监控日志存储在预设存储区域;硬件加密机根据上报方式从预设存储区域读取监控日志并按照标识信息将监控日志上报至日志服务器。
针对处理监控日志的方法,上述处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:
s1:日志服务器接收硬件加密机上报的监控日志,其中,监控日志是硬件加密机按照获取到的配置信息来上报的,配置信息至少包括:日志服务器的标识信息和监控日志的上报方式;
s2:日志服务器将监控日志发送至监控设备。
可选的,上述处理器还可以执行如下步骤的程序代码:日志服务器按照预设周期将监控日志发送至监控设备;或者,日志服务器在接收到来自于监控设备的读取监控日志的控制命令后,根据控制命令将监控日志发送至监控设备。
采用本发明实施例,为硬件加密机下发包括日志服务器的标识信息和监控日志的上报方式的方式,通过硬件加密机根据配置信息将监控日志上报至日志服务器,达到了硬件加密机主动向日志服务器推送监控日志的目的,从而实现了通过硬件加密机自动化上报监控日志,来满足日志服务器对监控日志集中化管理需求的技术效果,进而解决了相关技术中在云计算环境使用和管理加密机过程中,无法实现对大量的硬件加密机以及虚拟机加密机进行可视化监控日志的集中式管理的技术问题。
本领域普通技术人员可以理解,图8所示的结构仅为示意,计算机终端也可以是智能手机(如android手机、ios手机等)、平板电脑、掌声电脑以及移动互联网设备(mobileinternetdevices,简称为mid)、pad等终端设备。图8其并不对上述电子装置的结构造成限定。例如,计算机终端还可包括比图8中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图8所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(read-onlymemory,简称为rom)、随机存取器(randomaccessmemory,简称为ram)、磁盘或光盘等。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的上报监控日志的方法以及处理监控日志的方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,针对上报监控日志的方法,存储介质被设置为存储用于执行以下步骤的程序代码:
s1:硬件加密机获取配置信息,其中,配置信息至少包括:日志服务器的标识信息和监控日志的上报方式;
s2:硬件加密机根据配置信息将监控日志上报至日志服务器。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:硬件加密机将配置信息写入在硬件加密机内生成的多个虚拟加密机。。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:硬件加密机将从多个虚拟加密机中的部分或全部虚拟加密机采集到的监控日志存储在预设存储区域;硬件加密机根据上报方式从预设存储区域读取监控日志并按照标识信息将监控日志上报至日志服务器。
可选地,在本实施例中,针对处理监控日志的方法,存储介质被设置为存储用于执行以下步骤的程序代码:
s1:日志服务器接收硬件加密机上报的监控日志,其中,监控日志是硬件加密机按照获取到的配置信息来上报的,配置信息至少包括:日志服务器的标识信息和监控日志的上报方式;
s2:日志服务器将监控日志发送至监控设备。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:日志服务器按 照预设周期将监控日志发送至监控设备;或者,日志服务器在接收到来自于监控设备的读取监控日志的控制命令后,根据控制命令将监控日志发送至监控设备。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!