專利名稱:一種實時監(jiān)控終端命令行的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及操作系統(tǒng)安全����,并且尤其涉及實時監(jiān)控終端命令行的方法和裝置��。
背景技術(shù):
由于缺乏操作命令的監(jiān)控工具和監(jiān)控手段,Unix/Linux系統(tǒng)服務器往往無法及時發(fā)現(xiàn)并監(jiān)控用戶在操作系統(tǒng)中的行為��。當系統(tǒng)管理員需要管理一定數(shù)量的服務器時�,如何實現(xiàn)實時的跟蹤服務器上用戶的行為,將系統(tǒng)故障時間��、宕機時間等減少到最小�����,已經(jīng)成為至關(guān)重要的問題�����。雖然Unix/Linux操作系統(tǒng)內(nèi)核底層提供了對用戶的操作命令和各種行為的審計功能�����,但開啟操作系統(tǒng)內(nèi)核的審計功能將極大地增加系統(tǒng)本身的負載�,降低系統(tǒng)的穩(wěn)定性, 對運行在操作系統(tǒng)之上的應用和業(yè)務造成影響�����。因此,絕大部分Unix/Linux系統(tǒng)使用者均慎用該審計功能?�,F(xiàn)有技術(shù)中��,堡壘機技術(shù)可以實現(xiàn)記錄歷史命令的功能����,但這種技術(shù)無法對機房直接登錄的命令進行記錄,同時由于存在單點故障�����,因此需要在設備投入上加大投資以實現(xiàn)基礎架構(gòu)的高可用�,而這增加了運維的難度。此外�����,雖然通過網(wǎng)絡流量分析可以獲取 telnet (遠程登錄)操作的命令�,但是這種方法針對SSH^ecure Shell)等采用加密算法的操作無法進行有效的識別。通常��,Unix/Linux操作系統(tǒng)默認地將用戶的操作命令和各種行為審計記錄保存在本地的指定文件中�����。但是使用這種方法所保存的文件存在被人為篡改的可能(例如����,黑客故意篡改掩飾惡意行為或人為誤操作),而且無法進行集中管理和有效地實時監(jiān)控����。另外, 由于系統(tǒng)中存在同一時間段內(nèi)多個用戶su(轉(zhuǎn)換身份)至同一用戶下進行操作�����,這樣就會導致在實時監(jiān)控和事后審計中無法準確定位操作命令的責任人����。因此,需要一種實時監(jiān)控終端命令行的方法和裝置來解決上述問題��。
發(fā)明內(nèi)容
為解決上述問題�����,本發(fā)明提供一種實時監(jiān)控終端命令行的裝置����,該裝置包括第一信息讀取裝置���,其特征在于,第一信息讀取裝置通過以下模塊監(jiān)控用戶在操作系統(tǒng)中的行為第一模塊�����,被配置成設置作為所述操作系統(tǒng)的環(huán)境變量的歷史命令文件名為包含終端信息和用戶信息��;第二模塊�����,被配置成利用當前操作系統(tǒng)中成功登陸的用戶信息獲取當前活躍的終端信息�;第三模塊,被配置成根據(jù)所述活躍的終端信息�����,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件���,第四模塊�����,被配置成利用所述活躍的終端信息標記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令��;
第五模塊�����,被配置成當所述活躍的終端退出時�����,保存上述經(jīng)標記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息����。優(yōu)選地�����,所述第一模塊進一步被配置成設置所述操作系統(tǒng)的環(huán)境變量為基于終端 ID和用戶名�����。優(yōu)選地��,所述第一模塊進一步被配置成在所述操作系統(tǒng)的配置文件中添加歷史命令文件名的定義���。優(yōu)選地���,所述第一模塊進一步被配置成將用戶的歷史命令文件設置在同一目錄下����,以及在所述第三模塊中���,根據(jù)所述活躍的終端信息�����,掃描所述同一目錄以獲取與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件����。優(yōu)選地�����,所述第三模塊進一步被配置成在輪詢周期內(nèi)持續(xù)掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件�����,在所述第四模塊中�,進一步地,利用所述活躍的終端信息標記新增的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的命令����。優(yōu)選地�,所述第四模塊進一步被配置成為所述歷史命令文件中的每條命令設置級別�����。優(yōu)選地���,所述第四模塊進一步被配置成為所述歷史命令文件中的每條命令設置過濾規(guī)則。優(yōu)選地��,還包括第二信息讀取裝置����,用于讀取并保存關(guān)于所述操作系統(tǒng)中的用戶 SU記錄、失敗的登錄信息�����、ftp登錄后的操作命令作為第二信息�����。優(yōu)選地�,還包括控制模塊�,用于處理所述第一信息和所述第二信息���,并且將處理后的信息發(fā)送到事件收集服務器�。優(yōu)選地���,所述控制模塊采用syslog協(xié)議通過socket方式發(fā)送所述處理后的信息��。優(yōu)選地���,所述終端信息包括終端ID、源IP地址���、源用戶中的一個或多個�����。優(yōu)選地���,所述操作系統(tǒng)包括AIX、Linux和Solaris�。優(yōu)選地,第一信息還包括與該活躍的終端關(guān)聯(lián)的用戶的歷史命令產(chǎn)生的日期、時間���、主機信息���、源用戶信息、源IP地址����、用戶信息和終端信息的一個或多個。根據(jù)本發(fā)明的另一個目標���,提供了一種實時監(jiān)控終端命令行的方法���,其特征在于�, 通過以下步驟監(jiān)控用戶在操作系統(tǒng)中的行為第一步驟,設置作為所述操作系統(tǒng)的環(huán)境變量的歷史命令文件名為包含終端信息和用戶信息����;第二步驟,利用當前操作系統(tǒng)中成功登陸的用戶信息獲取當前活躍的終端信息�����;第三步驟,根據(jù)所述活躍的終端信息�,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件,第四步驟��,利用所述活躍的終端信息標記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令�;第五步驟,當所述活躍的終端退出時��,保存上述經(jīng)標記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息���。 本發(fā)明的技術(shù)方案通過對讀取和處理Unix/Linux系統(tǒng)中的utmp�、sulog�、 failedlogin, history以及ftp log等自定義文本文件的內(nèi)容,將處理后的信息采用 syslog協(xié)議通過socket方式(TCP/UDP可選)發(fā)送到統(tǒng)一的事件收集服務器��,通過事件收集服務器對收集到的信息進行集中的展現(xiàn)���、告警和審計�。本發(fā)明的技術(shù)方案的優(yōu)點在于可支持對系統(tǒng)中多個用戶同時su到同一用戶下的操作行為的精確定位�����,可將操作行為直接定位到人����,解決了 Unix/Linux平臺上審計信息定位不準確的問題�。本發(fā)明的技術(shù)方案的優(yōu)點在于可運行于任何Unix和Linux發(fā)行版本��,并支持各種 shell���,具有廣泛的兼容性�。本發(fā)明的技術(shù)方案的優(yōu)點在于無需開啟操作系統(tǒng)內(nèi)核的審計功能�����,僅需修改操作系統(tǒng)的環(huán)境變量HISTFILE��,能有效地準確地定位每一條操作命令的操作者�,可以進行事件嚴重等級的區(qū)分,達到實時監(jiān)控的效果�。本發(fā)明的技術(shù)方案的優(yōu)點在于如果操作系統(tǒng)本身的日志信息被篡改仍然可以進行準確定位�����,發(fā)現(xiàn)異常行為的軌跡���。本發(fā)明的技術(shù)方案的優(yōu)點在于占用系統(tǒng)資源少���,對系統(tǒng)配置影響性較低�����。
在參照附圖閱讀了本發(fā)明的具體實施方式
以后�����,本領(lǐng)域技術(shù)人員將會更清楚地了解本發(fā)明的各個方面��。本領(lǐng)域技術(shù)人員應當理解的是�����,這些附圖僅僅用于配合具體實施方式
說明本發(fā)明的技術(shù)方案��,而并非意在對本發(fā)明的保護范圍構(gòu)成限制��。其中�����,圖1是根據(jù)本發(fā)明實施例的實時監(jiān)控終端命令行的裝置的示意圖����。圖2是根據(jù)本發(fā)明實施例的實時監(jiān)控終端命令行的方法的流程圖。
具體實施例方式下面參照附圖�,對本發(fā)明的具體實施方式
作進一步的詳細描述。本發(fā)明的實施例通過將歷史命令文件名與終端信息��、用戶信息相關(guān)聯(lián)�����,并且利用Unix/Linux操作系統(tǒng)提供的各種日志文件收集用戶的操作命令和各種其它行為����,并將這些信息發(fā)送至事件收集服務器進行監(jiān)控、管理和審計�。這些日志文件可以包括Unix/ Linux操作系統(tǒng)默認提供的當前系統(tǒng)中成功登陸的用戶信息(utmp)、系統(tǒng)中的用戶su記錄 (sulog)��、系統(tǒng)中失敗的登陸信息(filedlogin)���、系統(tǒng)中用戶的操作命令(history)���、系統(tǒng)中ftp登陸后的操作命令(ftp log),以及用戶自定義的其他應用日志����。如圖1所示,根據(jù)本發(fā)明實施例的實時監(jiān)控終端命令行的裝置包括第一信息讀取裝置���、第二信息讀取裝置和控制裝置����。在本發(fā)明的一個實施例中�,第一信息讀取裝置用于收集用戶的歷史命令。該第一信息讀取裝置可以包括以下模塊�,其中第一模塊,用于設置作為操作系統(tǒng)的環(huán)境變量的歷史命令文件名(HISTFILE)為包含終端信息和用戶信息�����。例如���,將操作系統(tǒng)環(huán)境變量HISFILE設置為$TTY_$USER來區(qū)分登錄用戶的歷史命令文件���,其中$TTY是終端ID,以及$USER是用戶名����。作為示例,可以將環(huán)境變量HISFILE的定義添加到配置文件/etc/profile中來設置該環(huán)境變量�����。默認情況下歷史命令文件是保存在用戶的主目錄下的。也就是說��,每個用戶都有自己的歷史命令文件�,因此在每個用戶的shell中執(zhí)行的命令,都紀錄在各自的歷史命令文件中���,彼此之間是不通用的����。在本發(fā)明的另一個實施例中��,可以設置所有用戶的歷史命令文件在同一目錄下���, 例如$HISTFILE_DIR���。這樣不僅可以提高文件的安全性防止被篡改,而且還可以在很大程度上方便操作�����。第二模塊�����,用于利用當前操作系統(tǒng)中成功登陸的用戶信息(utmp)獲取當前活躍的終端信息(TTY)����。該TTY在同一時間段內(nèi)為唯一值,utmp記錄該TTY的源IP地址(org)��、 源用戶信息(src)����。第三模塊,用于根據(jù)活躍的終端信息�����,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件���。由于歷史命令文件的名稱包括終端信息和用戶信息��,所以可以基于活躍的終端信息掃描$HISTFILE_WR以獲取該TTY名下的所有用戶歷史命令文件�。第四模塊��,用于利用活躍的終端信息例如當前時間段的源IP地址和源用戶信息能夠準確地標記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令��。在本發(fā)明的另一個實施例中,第三模塊進一步被配置為在輪詢周期內(nèi)持續(xù)掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件���;第四模塊進一步被配置成利用活躍的終端信息標記新增的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的命令�����。第五模塊�����,用于當活躍的終端退出時�,保存上述經(jīng)標記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息����。通過第一信息讀取裝置,本發(fā)明可以根據(jù)終端信息規(guī)避了多個用戶同時su至同一用戶下的命令區(qū)分問題�。例如,假設當前登錄的用戶分別為A1�����、A2���、... Ai �����;其對應的TTY 分別為Tl����、T2���、... Ti���,TTY所對應的源IP地址(org)分別為Si、S2. . . Si��。如此��,上述關(guān)系可以組成在同一時間段內(nèi)不重復的唯一集合Fl (Al����,Tl,S1)�����、F2(A2,T2���,S2)…Fi(Ai�,Ti���, Si)���。因此,得到的當前用戶的HISTFILE分別為AlTU A2T2. · · AiTi����,假設登錄的用戶鍵入的命令集合分別為{Ml}、{M2}...信丨}����,如產(chǎn)生811操作,用戶分別為六1���、42���、..^丨分別811 至Β1、Β2· · · Bi���,那么產(chǎn)生的HISTFILE分別為B1TUB2T2. · · BiTi0由于可以通過HISTFILE 中的終端信息部分在唯一的組合Fi(Ai����,Ti,Si)中確定用戶���,因此可以對例如多個用戶Al�、 A2同時su至同一用戶Bl下的命令進行區(qū)分�����。以下描述第一信息的構(gòu)成��。除了歷史命令�,第一信息還可以包括與該活躍的終端關(guān)聯(lián)的用戶的歷史命令產(chǎn)生的日期�����、時間�����、主機信息�����、源用戶信息、源IP地址�、用戶信息和終端信息中的一個或多個。作為示例�,設在date = Dx, time = TMx時刻,第一信息讀取裝置查詢utmp文件獲取到當前活躍的TTY為Tx����。第一信息讀取裝置掃描目錄下活躍的Tx的 HISTFILE,根據(jù) HISTFILE 的文件名(例如���,為 Ux_Tx_history�,Ux 可以是 A1���、A2. . .Ai 或Bi��、 B2. . . Bi的任意一個)所帶的TTY信息Tx查詢集合h獲取當前TTY所對應的(Ax���,Sx),并將這些信息與收集到的命令集合封裝成第一信息(date = Dx, time = TMx, host = Hx, src = Ax, org = Sx, user = Ux, tty = Tx, cmd = Mx) ο隨后將該第一發(fā)送至集中收集服務器進行規(guī)則處理和展現(xiàn)�。在本發(fā)明的另一個實施例中,可在第一信息讀取裝置實現(xiàn)設置命令Mx的級別定義�����、過濾規(guī)則等功能。例如����,可以利用第四模塊為歷史命令文件中的每條命令設置級別或者過濾規(guī)則。本發(fā)明可以包括第二信息讀取裝置用于進一步讀取并保存關(guān)于操作系統(tǒng)中的用戶SU記錄��、失敗的登錄信息��、ftp登錄后的操作命令作為第二信息�����。本發(fā)明可以包括控制裝置用于處理第一信息和第二信息�����,并且將處理后的信息發(fā)送到事件收集服務器����。本領(lǐng)域技術(shù)人員可以理解的是�����,本發(fā)明的事件收集服務器可以是第三方的事件收集服務器,例如IBM公司的ominibus�����?���?刂蒲b置可以采用syslog協(xié)議通過 socket方式發(fā)送處理后的信息。本領(lǐng)域技術(shù)人員可以理解的是�,上述的終端信息可以包括終端ID、源IP地址�、源用戶中的一個或多個。還可以理解的是�,本發(fā)明的上述裝置可運行于任何AIX、Solaris, Unix和Linux等操作系統(tǒng)����,并支持各種shell。圖2是根據(jù)本發(fā)明實施例的實時監(jiān)控終端命令行的方法的流程圖���。如圖所示���,通過以下步驟監(jiān)控用戶在操作系統(tǒng)中的行為在第一步驟Sl中關(guān)聯(lián)歷史命令文件與登錄用戶信息和終端信息,例如��,設置作為操作系統(tǒng)的環(huán)境變量的歷史命令文件名為包含終端信息和用戶信息;在第二步驟S2中獲取終端信息��,例如����,利用當前操作系統(tǒng)中成功登陸的用戶信息獲取當前活躍的終端信息;在第三步驟S3中獲取歷史命令文件��,例如����,根據(jù)活躍的終端信息,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件����,在第四步驟S4中標記歷史命令文件中的命令,例如�����,利用活躍的終端信息標記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令��;在第五步驟S5中保存標記的歷史命令����,例如,當活躍的終端退出時�����,保存上述經(jīng)標記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息�����。優(yōu)選地�,在第一步驟中,設置操作系統(tǒng)的環(huán)境變量為基于終端ID和用戶名��。優(yōu)選地����,在第一步驟中,進一步在操作系統(tǒng)的配置文件中添加歷史命令文件名的定義��。優(yōu)選地�����,在第一步驟中�,進一步將用戶的歷史命令文件設置在同一目錄下,以及在第三步驟中,根據(jù)活躍的終端信息��,掃描同一目錄以獲取與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件����。優(yōu)選地,在第三步驟中�,進一步地,在輪詢周期內(nèi)持續(xù)掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件����,在第四步驟中,進一步地��,利用活躍的終端信息標記新增的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的命令��。優(yōu)選地�,在第四步驟中,為歷史命令文件中的每條命令設置級別�。優(yōu)選地,在第四步驟中��,為歷史命令文件中的每條命令設置過濾規(guī)則�����。優(yōu)選地����,在第五步驟中,進一步保存關(guān)于操作系統(tǒng)中的用戶SU記錄�、失敗的登錄信息、ftp登錄后的操作命令作為第二信息��。優(yōu)選地��,在第六步驟中�,處理第一信息和第二信息,并且將處理后的信息發(fā)送到事件收集服務器��。優(yōu)選地�����,在第六步驟中��,采用syslog協(xié)議通過socket方式發(fā)送處理后的信息�����。通過以上實施方式的描述��,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明的上述裝置和方法步驟可借助軟件結(jié)合硬件平臺的方式來實現(xiàn),當然也可以全部通過硬件來實施���。 本領(lǐng)域中的普通技術(shù)人員能夠理解�����,在不偏離本發(fā)明的精神和范圍的情況下��,還可以對本發(fā)明的具體實施方式
作各種變更和替換����。這些變更和替換都落在本發(fā)明權(quán)利要求書所限定的范圍內(nèi)��。
權(quán)利要求
1.一種實時監(jiān)控終端命令行的方法��,其特征在于�,通過以下步驟監(jiān)控用戶在操作系統(tǒng)中的行為第一步驟,設置作為所述操作系統(tǒng)的環(huán)境變量的歷史命令文件名為包含終端信息和用戶信息��;第二步驟�����,利用當前操作系統(tǒng)中成功登陸的用戶信息獲取當前活躍的終端信息���;第三步驟����,根據(jù)所述活躍的終端信息�����,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件�,第四步驟,利用所述活躍的終端信息標記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令��;第五步驟���,當所述活躍的終端退出時��,保存上述經(jīng)標記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息���。
2.如權(quán)利要求1所述的方法,其特征在于���,在所述第一步驟中���,設置所述操作系統(tǒng)的環(huán)境變量為基于終端ID和用戶名�����。
3.如權(quán)利要求1所述的方法���,其特征在于,在所述第一步驟中��,進一步在所述操作系統(tǒng)的配置文件中添加歷史命令文件名的定義�。
4.如權(quán)利要求1所述的方法,其特征在于��,在所述第一步驟中�,進一步將用戶的歷史命令文件設置在同一目錄下,以及在所述第三步驟中����,根據(jù)所述活躍的終端信息,掃描所述同一目錄以獲取與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件����。
5.如權(quán)利要求1所述的方法,其特征在于�����,在所述第三步驟中,進一步地����,在輪詢周期內(nèi)持續(xù)掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件,在所述第四步驟中�,進一步地,利用所述活躍的終端信息標記新增的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的命令�����。
6.如權(quán)利要求1所述的方法��,其特征在于�,在所述第四步驟中����,為所述歷史命令文件中的每條命令設置級別。
7.如權(quán)利要求1所述的方法�����,其特征在于����,在所述第四步驟中��,為所述歷史命令文件中的每條命令設置過濾規(guī)則�。
8.如權(quán)利要求1所述的方法�����,其特征在于��,在所述第五步驟中����,進一步讀取并保存關(guān)于所述操作系統(tǒng)中的用戶su記錄、失敗的登錄信息����、ftp登錄后的操作命令作為第二信息。
9.如權(quán)利要求8所述的方法�����,其特征在于����,在第六步驟中,處理所述第一信息和所述第二信息����,并且將處理后的信息發(fā)送到事件收集服務器��。
10.如權(quán)利要求11所述的方法�,其特征在于�����,在所述第六步驟中����,采用syslog協(xié)議通過 socket方式發(fā)送所述處理后的信息���。
11.如權(quán)利要求1到10中任意一項所述的方法�����,其特征在于�,所述終端信息包括終端 ID�����、源IP地址���、源用戶中的一個或多個��。
12.如權(quán)利要求1到10中任意一項所述的方法�,特征在于,所述操作系統(tǒng)包括AIX�����、 Linux 禾口 Solaris���。
13.如權(quán)利要求1到10中任意一項所述的方法�����,特征在于��,第一信息還包括與該活躍的終端關(guān)聯(lián)的用戶的歷史命令產(chǎn)生的日期�、時間����、主機信息、源用戶信息����、源IP地址���、用戶信息和終端信息的一個或多個。
14.一種實時監(jiān)控終端命令行的裝置��,該裝置包括第一信息讀取裝置�,其特征在于,第一信息讀取裝置通過以下模塊監(jiān)控用戶在操作系統(tǒng)中的行為第一模塊����,被配置成設置作為所述操作系統(tǒng)的環(huán)境變量的歷史命令文件名為包含終端信息和用戶信息;第二模塊�,被配置成利用當前操作系統(tǒng)中成功登陸的用戶信息獲取當前活躍的終端信息;第三模塊����,被配置成根據(jù)所述活躍的終端信息�����,獲取并掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件��,第四模塊���,被配置成利用所述活躍的終端信息標記與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的每條命令�;第五模塊,被配置成當所述活躍的終端退出時��,保存上述經(jīng)標記的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令作為第一信息���。
15.如權(quán)利要求14所述的裝置����,其特征在于��,所述第一模塊進一步被配置成設置所述操作系統(tǒng)的環(huán)境變量為基于終端ID和用戶名�����。
16.如權(quán)利要求14所述的裝置����,其特征在于,所述第一模塊進一步被配置成在所述操作系統(tǒng)的配置文件中添加歷史命令文件名的定義����。
17.如權(quán)利要求14所述的裝置,其特征在于����,所述第一模塊進一步被配置成將用戶的歷史命令文件設置在同一目錄下��,以及在所述第三模塊中���,根據(jù)所述活躍的終端信息,掃描所述同一目錄以獲取與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件�。
18.如權(quán)利要求14所述的裝置,其特征在于���,所述第三模塊進一步被配置成在輪詢周期內(nèi)持續(xù)掃描與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件���,在所述第四模塊中,進一步地��, 利用所述活躍的終端信息標記新增的與該活躍的終端關(guān)聯(lián)的用戶的歷史命令文件中的命令�����。
19.如權(quán)利要求14所述的裝置���,其特征在于,所述第四模塊進一步被配置成為所述歷史命令文件中的每條命令設置級別�����。
20.如權(quán)利要求14所述的裝置,其特征在于����,所述第四模塊進一步被配置成為所述歷史命令文件中的每條命令設置過濾規(guī)則。
21.如權(quán)利要求14所述的裝置�,其特征在于,還包括第二信息讀取裝置��,用于讀取并保存關(guān)于所述操作系統(tǒng)中的用戶su記錄�����、失敗的登錄信息�、ftp登錄后的操作命令作為第二信息。
22.如權(quán)利要求21所述的裝置�,其特征在于,還包括控制模塊��,用于處理所述第一信息和所述第二信息���,并且將處理后的信息發(fā)送到事件收集服務器���。
23.如權(quán)利要求22所述的裝置�,其特征在于�����,所述控制模塊采用syslog協(xié)議通過 socket方式發(fā)送所述處理后的信息���。
24.如權(quán)利要求14到23中任意一項所述的裝置����,其特征在于���,所述終端信息包括終端 ID�、源IP地址�����、源用戶中的一個或多個�����。
25.如權(quán)利要求14到23中任意一項所述的裝置��,特征在于�,所述操作系統(tǒng)包括AIX、 Linux 禾口 Solaris���。
26.如權(quán)利要求14到23中任意一項所述的裝置�����,特征在于����,第一信息還包括與該活躍的終端關(guān)聯(lián)的用戶的歷史命令產(chǎn)生的日期��、時間���、主機信息����、源用戶信息�����、源IP地址���、用戶信息和終端信息的一個或多個����。
全文摘要
本發(fā)明提供實時監(jiān)控終端命令行的方法和裝置,通過將歷史命令文件名與終端信息��、用戶信息相關(guān)聯(lián)�,并且利用Unix/Linux操作系統(tǒng)提供的各種日志文件收集用戶的操作命令和各種其它行為,并將這些信息發(fā)送至事件收集服務器進行監(jiān)控���、管理和審計�����。
文檔編號H04L12/26GK102571476SQ20101061732
公開日2012年7月11日 申請日期2010年12月27日 優(yōu)先權(quán)日2010年12月27日
發(fā)明者吳素文, 周恒磊, 孫會林, 戚躍民, 班昊, 胡文斌 申請人:中國銀聯(lián)股份有限公司