一種生成操作日志的方法及裝置，包括：日志服務(wù)器根據(jù)接收到的第一個包含第一主機會話標識和第一IP地址的日志報文，向報文中的登錄會話標識對應(yīng)的操作記錄中寫入第一登錄信息，根據(jù)接收到的第二個包含第一主機會話標識和第一IP地址的日志報文，向報文中的登錄會話標識對應(yīng)的操作記錄中寫入第一退出信息，根據(jù)在第一登錄信息被寫入至第一退出信息被寫入操作記錄之間寫入該操作記錄的命令操作，確定第一目標主機上執(zhí)行的命令操作，從而實現(xiàn)根據(jù)日志報文中攜帶的第一主機會話標識和第一IP地址有效區(qū)分第一主機會話的開始和結(jié)束，并依此識別在第一目標主機上執(zhí)行的命令操作，提高主機操作審計的精確性的目的。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機技術(shù)領(lǐng)域，特別涉及一種生成操作日志的方法及裝置。

背景技術(shù)

在堡壘機類產(chǎn)品中，一個重要的功能是主機操作安全審計，主機操作安全審計能夠攔截非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標主機的非法訪問行為，并對內(nèi)部人員誤操作和非法操作進行審計監(jiān)控。堡壘機應(yīng)用場景如圖1所示，當用戶通過瀏覽器或者客戶端連接到堡壘機，堡壘機對用戶身份進行認證鑒權(quán)。認證鑒權(quán)成功，用戶成功登錄堡壘機，否則拒絕登錄。用戶登錄到堡壘機后，堡壘機開始對用戶操作進行記錄和審計。用戶通過堡壘機跳轉(zhuǎn)到目標主機后，用戶向目標主機上輸入命令，堡壘機可以記錄用戶輸入的執(zhí)行命令和執(zhí)行結(jié)果，將記錄數(shù)據(jù)發(fā)送到遠程日志服務(wù)器。

在現(xiàn)有技術(shù)中，通常將用戶通過堡壘機跳轉(zhuǎn)的目標主機的賬號信息為主體進行審計。在用戶通過堡壘機跳轉(zhuǎn)到某個目標主機，再由該目標主機跳轉(zhuǎn)到其它目標主機的多跳登錄場景下，若用戶登錄到目標主機1，目標主機1開始發(fā)送操作命令給堡壘機，而當用戶從目標主機1登錄到目標主機2之后，目標主機2開始發(fā)送操作命令給堡壘機，同時目標主機1還在發(fā)送在目標主機2執(zhí)行的操作命令到堡壘機。這使得堡壘機上報的操作信息中包含有目標主機1和目標主機2重疊的命令操作，日志服務(wù)器無法區(qū)分哪些命令操作是在目標主機1執(zhí)行的，哪些命令操作是在目標主機2執(zhí)行的，從而導(dǎo)致了日志服務(wù)器無法針對目標主機進行精確審計。

發(fā)明內(nèi)容

本申請實施例提供一種生成操作日志的方法及裝置，用以解決現(xiàn)有技術(shù)中無法針對目標主機進行精確審計的技術(shù)問題。

第一方面，本申請實施例提供一種生成操作日志的方法，該方法可由日志服務(wù)器執(zhí)行，該方法包括：日志服務(wù)器接收堡壘機發(fā)送的第一報文，所述第一報文是所述日志服務(wù)器接收到的第一個包括登錄會話標識、第一主機會話標識和第一IP地址的日志報文，所述登錄會話標識所標識的登錄會話是終端和所述堡壘機之間的會話，所述第一主機會話標識所標識的第一主機會話是所述終端和第一目標主機之間的會話，所述第一主機會話是通過所述登錄會話被創(chuàng)建和結(jié)束的，所述第一IP地址是所述第一目標主機的IP地址；所述日志服務(wù)器在所述登錄會話標識對應(yīng)的操作記錄中寫入所述第一登錄信息，所述第一登錄信息包括所述第一主機會話標識和所述第一IP地址，所述第一登錄信息指示所述終端登錄到所述第一目標主機；所述日志服務(wù)器接收第二報文，所述第二報文是所述日志服務(wù)器接收到的第二個包括所述登錄會話標識、所述第一主機會話標識和所述第一IP地址的日志報文；所述日志服務(wù)器在所述登錄會話標識對應(yīng)的操作記錄中寫入第一退出信息，所述第一退出信息包括所述第一主機會話標識和所述第一IP地址，所述第一退出信息用于指示所述終端退出所述第一目標主機；所述日志服務(wù)器根據(jù)所述第一登錄信息被寫入至所述第一退出信息被寫入之間的時間段中被寫入所述登錄會話標識對應(yīng)的操作記錄的命令操作信息，確定所述第一目標主機上執(zhí)行的命令操作。

由此可知，本申請實施例中日志服務(wù)器可根據(jù)接收到的第一個包含第一主機會話標識和第一IP地址的日志報文，向登錄會話標識對應(yīng)的操作記錄中寫入第一登錄信息，根據(jù)接收到的第二個包含第一主機會話標識和第一IP地址的日志報文，向登錄會話標識對應(yīng)的操作記錄中寫入第一退出信息，從而實現(xiàn)根據(jù)日志報文中攜帶的第一主機會話標識和第一IP地址有效區(qū)分第一主機會話的開始和結(jié)束，并依此識別在第一目標主機上執(zhí)行的命令操作，提高主機操作審計的精確性的目的。