本發明涉及系統日志監控領域，特別是涉及一種面向xen虛擬化環境的系統日志監控方法及裝置。

背景技術：

在虛擬化系統中，時有發生一些虛擬機被入侵者侵入，一旦侵入系統后，便會在系統竊取關鍵數據、安裝木馬等危險行為，同時為了掩蓋其蹤跡，入侵者會在離開系統前對系統日志進行修改或者損壞，因此對于系統日志的實時備份存儲并監控是至關重要的。

為了實現以上目的，現有技術中，通常的做法是通過數據網絡將系統日志備份，并將備份存儲到遠程服務器上，然后在遠程服務器上進行監控。由于上述過程是通過數據網絡實現的，而數據網絡對于網絡帶寬的要求較高，如果系統日志過多時，則無疑占用大量的網絡帶寬，導致數據網絡的傳輸速度下降且存在延遲，同時，數據網絡的安全性不夠高，容易被入侵者侵入。

由此可見，在實現對系統日志的監控過程中，如何降低對數據網絡的占用率，并提高系統日志的安全性是本領域技術人員亟待解決的問題。

技術實現要素：

本發明的目的是提供一種面向xen虛擬化環境的系統日志監控方法及裝置，用于在實現對系統日志的監控過程中，降低對數據網絡的占用率，并提高系統日志的安全性。

為解決上述技術問題，本發明提供一種面向xen虛擬化環境的系統日志監控方法，包括：

用戶端虛擬機和控制端虛擬機建立信息傳輸通道，以及所述控制端虛擬機和監控端虛擬機建立信息傳輸通道；

所述用戶端虛擬機讀取應用程序產生的系統日志，并將所述系統日志寫入共享內存中；

所述控制端虛擬機從所述共享內存中讀取所述系統日志，并將所述系統日志保存在與所述用戶端虛擬機相對應的控制端日志文件中；

所述監控端虛擬機從所述控制端虛擬機上獲取所述系統日志，并依據預先設置的告警規則判斷所述系統日志是否出現異常，如果是，則輸出告警提示信息；

其中，所述用戶端虛擬機為多個，分別面向當前系統中各用戶端，所述控制端虛擬機面向各所述用戶端虛擬機。

優選地，所述用戶端虛擬機和控制端虛擬機建立信息傳輸通道具體包括：

所述用戶端虛擬機將所述共享內存的地址、用戶端端口id、虛擬機id發送到所述控制端虛擬機；

所述控制端虛擬機根據所述共享內存的地址映射至對應的空間，將空閑的控制端端口與所述用戶端端口id對應的用戶端端口綁定，并根據所述虛擬機id在相應目錄下為所述用戶端虛擬機創建所述控制端日志文件，向所述用戶端虛擬機發送初始化就緒通知。

優選地，所述控制端虛擬機和監控端虛擬機建立信息傳輸通道具體包括：

所述監控端虛擬機在初始化時配置與所述監控端虛擬機的連接信息，并預先設置所述告警規則。

優選地，所述讀取應用程序產生的系統日志具體包括：

在接收到所述初始化就緒通知后，實時監控syslog文件，并從所述syslog文件中讀取所述系統日志。

優選地，所述從所述共享內存中讀取所述系統日志具體包括：

實時接收所述用戶端虛擬機發送的同步消息，當接收到所述同步消息時，從所述共享內存中讀取所述系統日志。

優選地，還包括：

所述控制端虛擬機在讀取完所述系統日志后，向所述用戶端虛擬機發送讀取完畢信息；

所述用戶端虛擬機在接收到所述讀取完畢信息后，繼續監控新的系統日志。

優選地，所述用戶端虛擬機具體通過xenbus將所述共享內存的地址、所述用戶端端口id、所述虛擬機id發送到所述控制端虛擬機的xenstore。

優選地，從所述控制端虛擬機上獲取所述系統日志具體包括：

實時監控所述控制端虛擬機的vmu文件；

當若所述vmu文件有新的日志寫入，則從所述控制端虛擬機上獲取所述系統日志。

為解決上述技術問題，本發明還提供一種面向xen虛擬化環境的系統日志監控裝置，包括：用戶端虛擬機、控制端虛擬機和監控端虛擬機；

所述用戶端虛擬機，用于讀取應用程序產生的系統日志，并將所述系統日志寫入共享內存中；

所述控制端虛擬機，用于從所述共享內存中讀取所述系統日志，并將所述系統日志保存在與所述用戶端虛擬機相對應的控制端日志文件中；

所述監控端虛擬機，用于從所述控制端虛擬機上獲取所述系統日志，并依據預先設置的告警規則判斷所述系統日志是否出現異常，如果是，則輸出告警提示信息；

其中，所述用戶端虛擬機為多個，分別面向當前系統中各用戶端，所述控制端虛擬機面向各所述用戶端虛擬機，所述用戶端虛擬機和控制端虛擬機建立信息傳輸通道，所述控制端虛擬機和監控端虛擬機建立信息傳輸通道。

本發明所提供的面向xen虛擬化環境的系統日志監控方法，在應用程序產生系統日志后，用戶端虛擬機就將該系統日志寫入共享內存，從而使得系統日志在管理網絡上傳輸，并且控制端虛擬機也是從共享內存中讀取該系統日志，因此提高了系統日志的安全性。最后通過監控端虛擬機結合預先設置的告警規則將得到的系統日志進行分析從而判斷出系統日志是否出現異常，并將結果呈現給監控人員，實現對系統日志的全程監控。綜上所述，本方法中，系統日志傳輸在管理網絡，因此不需要占用數據網絡，節約了數據網絡的網絡帶寬，且管理網絡的安全性更高，因此能夠更有效的防止惡意侵入，提高了系統的安全性和可靠性。此外，本發明還提供一種面向xen虛擬化環境的系統日志監控裝置，效果如上所述。

附圖說明

為了更清楚地說明本發明實施例，下面將對實施例中所需要使用的附圖做簡單的介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明實施例提供的一種面向xen虛擬化環境的系統日志監控方法的流程圖；

圖2為本發明實施例提供的一種用戶端虛擬機和控制端虛擬機建立信息傳輸通道的流程圖；

圖3為本發明實施例提供的一種用戶端虛擬機、控制端虛擬機和監控端虛擬機的工作原理圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下，所獲得的所有其他實施例，都屬于本發明保護范圍。

本發明的核心是提供一種面向xen虛擬化環境的系統日志監控方法及裝置，用于在實現對系統日志的監控過程中，降低對數據網絡的占用率，并提高系統日志的安全性。

為了使本技術領域的人員更好地理解本發明方案，下面結合附圖和具體實施方式對本發明作進一步的詳細說明。

圖1為本發明實施例提供的一種面向xen虛擬化環境的系統日志監控方法的流程圖。如圖1所示，該方法包括：

s10：用戶端虛擬機和控制端虛擬機建立信息傳輸通道，以及控制端虛擬機和監控端虛擬機建立信息傳輸通道。

s11：用戶端虛擬機讀取應用程序產生的系統日志，并將系統日志寫入共享內存中。

s12：控制端虛擬機從共享內存中讀取系統日志，并將系統日志保存在與用戶端虛擬機相對應的控制端日志文件中。

s13：監控端虛擬機從控制端虛擬機上獲取系統日志，并依據預先設置的告警規則判斷系統日志是否出現異常，如果是，則進入s14。

s14：輸出告警提示信息。

其中，用戶端虛擬機為多個，分別面向當前系統中各用戶端，控制端虛擬機面向各用戶端虛擬機。

在具體實施中，集群系統中的網絡按照功能分為數據網絡和管理網絡兩個大部分，數據網絡對于網絡帶寬要求較高，并且安全性相對于管理網絡較低，而管理網絡具有防火墻，安全性會更高。因此，本發明中將系統日志通過管理網絡進行傳輸，這樣既能夠避免占用數據網絡的網絡帶寬，又可以提高安全性。

需要說明的是，上述方法均是在虛擬機上實現的，用戶端虛擬機通常有多個，與用戶一一對應，通常情況下，也可以用domu來表示，u為大于或等于1的正整數。控制端虛擬機為一個，可以用dom0來表示，與各用戶端虛擬機通信，分別獲取各用戶端虛擬機得到的系統日志。監控端虛擬機與控制端虛擬機直接通信，通過監控端虛擬機獲取各用戶端對應的系統日志，從而實現對每個用戶端的監控。另外，用戶端虛擬機和控制端虛擬機的工作過程是不可見的，因此監控人員是無法實現監控的，而監控端虛擬機是直接呈現給監控人員的。

步驟s10是建立各虛擬機之間的信息傳輸通道，在建立好信息傳輸通道之后，各虛擬機之間就可以實現信息的傳輸。首先，用戶端虛擬機讀取自身系統中的應用程序產生的系統日志，然后將系統日志寫入共享內存。可以理解的是，由于將系統日志寫入共享內存，也就實現了系統日志在管理網路的傳輸。控制端虛擬機再從共享內存中讀取上述系統日志，然后保存在對應的控制端日志文件中。可以理解的是，由于用戶端虛擬機是多個，控制端虛擬機為1個，因此，為了便于區分，控制端虛擬機會為每個用戶端虛擬機建立一個控制端日志文件，根據當前共享內存的地址判斷出對應哪個控制端日志文件。

例如當前集群中有10個用戶端虛擬機，分別是dom1-dom10，當dom1獲取到系統日志時，將系統日志保存在共享內存中(由于共享內存是公共的，因此，需要事先將共享內存的地址進行劃分，這樣能夠保證每個用戶端虛擬機對應一段地址)。dom0從共享內存中讀取該系統日志，根據在共享內存中的地址判斷出是dom1對應的系統日志，則將該系統日志存儲至dom1對應的控制端日志文件。同理，如果從共享內存中讀取的是dom2的系統日志文件，則將該系統日志文件保存在dom2對應的控制端日志文件中。由上可知，dom0中的控制端日志文件的個數與domu的個數是相同的。

當控制端虛擬機上獲取到系統日志后，監控端虛擬機再從控制端虛擬機上獲取，然后依據預先設置的告警規則判斷當前獲取到的系統日志是否出現異常，如果是，則輸出告警提示信息。

作為優選地實施方式，監控端虛擬機從控制端虛擬機上獲取系統日志具體包括：實時監控控制端虛擬機的vmu文件；

當若vmu文件有新的日志寫入，則從控制端虛擬機上獲取系統日志。

本實施例提供的面向xen虛擬化環境的系統日志監控方法，在應用程序產生系統日志后，用戶端虛擬機就將該系統日志寫入共享內存，從而使得系統日志在管理網絡上傳輸，并且控制端虛擬機也是從共享內存中讀取該系統日志，因此提高了系統日志的安全性。最后通過監控端虛擬機結合預先設置的告警規則將得到的系統日志進行分析從而判斷出系統日志是否出現異常，并將結果呈現給監控人員，實現對系統日志的全程監控。綜上所述，本方法中，系統日志傳輸在管理網絡，因此不需要占用數據網絡，節約了數據網絡的網絡帶寬，且管理網絡的安全性更高，因此能夠更有效的防止惡意侵入，提高了系統的安全性和可靠性。

圖2為本發明實施例提供的一種用戶端虛擬機和控制端虛擬機建立信息傳輸通道的流程圖。如圖2所示，作為優選地實施方式，用戶端虛擬機和控制端虛擬機建立信息傳輸通道具體包括：

s20：用戶端虛擬機將共享內存的地址、用戶端端口id、虛擬機id發送到控制端虛擬機；

s21：控制端虛擬機根據共享內存的地址映射至對應的空間，將空閑的控制端端口與用戶端端口id對應的用戶端端口綁定，并根據虛擬機id在相應目錄下為用戶端虛擬機創建控制端日志文件，向用戶端虛擬機發送初始化就緒通知。

需要說明的是，步驟s21中的控制端端口必須是空閑的，且不同的控制端端口對應不同的用戶端端口，必須是一一對應，否則容易出現同一個端口的數據傳輸量過大造成擁堵，并且容易將同一個用戶端的系統日志存儲在不同的控制端日志文件，也有可能將不同的用戶端的日志存儲在同一個控制端日志文件，從而發生混亂。

作為優選地實施方式，用戶端虛擬機具體通過xenbus將共享內存的地址、用戶端端口id、虛擬機id發送到控制端虛擬機的xenstore。

本實施例中，控制端虛擬機可以通過端口來判斷當前系統日志對應哪個用戶端，應該存儲在哪個控制端日志文件。

在上述實施例的基礎上，控制端虛擬機和監控端虛擬機建立信息傳輸通道具體包括：

監控端虛擬機在初始化時配置與監控端虛擬機的連接信息，并預先設置告警規則。

可以理解的是，告警規則如何設置，可以根據集群的實際參數確定，另外，可以為全部系統日志設定同樣的告警規則，也可以根據不同類型的用戶端虛擬機設定不同的告警規則，本發明不再贅述。

在上述實施例的基礎上，讀取應用程序產生的系統日志具體包括：

在接收到初始化就緒通知后，實時監控syslog文件，并從syslog文件中讀取系統日志。

當用戶端虛擬機接收到初始化就緒通知后，就表明與控制端虛擬機建立好了信息傳輸通道，可以進行信息的傳輸。那么用戶端虛擬機調用syslogd進程，從而監控syslog文件，并從syslog文件中讀取系統日志。

在上述實施例的基礎上，從共享內存中讀取系統日志具體包括：

實時接收用戶端虛擬機發送的同步消息，當接收到同步消息時，從共享內存中讀取系統日志。

由于用戶端虛擬機為多個，控制端虛擬機只有一個，因此控制端虛擬機的工作量較大，為了減小控制端虛擬機的工作量，本實施例中，控制端虛擬機從共享內存讀取系統日志是由用戶端虛擬機發送同步信息而觸發，如果控制端虛擬機沒有接收到同步信息，則也不需檢測共享內存中是否有新的系統日志。

作為優選的實施方式，還包括：

控制端虛擬機在讀取完系統日志后，向用戶端虛擬機發送讀取完畢信息。

用戶端虛擬機在接收到讀取完畢信息后，繼續監控新的系統日志。

在上一實施例中，控制端虛擬機在接收到同步信息從共享內存中讀取系統日志，不同系統日志讀取的時間是不同的，為了確認控制端虛擬機是否成功讀取到系統日志，本實施例中，當控制端虛擬機讀取完系統日志后，會向用戶端虛擬機發送讀取完畢信息，之后，用戶端虛擬機再繼續監控新的系統日志。

可以理解的是，如果控制端虛擬機出現故障，無法讀取系統日志，或者無法發送讀取完畢信息，則用戶端虛擬機就會一直處于等待狀態，即使有新的系統日志，也無法及時讀取。為了避免這個情況，在其他實施例中，也可以為用戶端虛擬機設置一個預設值，如果等待時間超過預設值，則用戶端虛擬機直接讀取新的系統日志。

上文中對面向xen虛擬化環境的系統日志監控方法對應的實施例進行了詳細的描述，本發明還提供一種與該方法對應的面向xen虛擬化環境的系統日志監控裝置。由于裝置部分的實施例與方法部分的實施例相互對應，因此裝置部分的實施例請參見方法部分的實施例的描述，這里暫不贅述。

面向xen虛擬化環境的系統日志監控裝置，包括：用戶端虛擬機、控制端虛擬機和監控端虛擬機。

用戶端虛擬機，用于讀取應用程序產生的系統日志，并將系統日志寫入共享內存中；

控制端虛擬機，用于從共享內存中讀取系統日志，并將系統日志保存在與用戶端虛擬機相對應的控制端日志文件中；

監控端虛擬機，用于從控制端虛擬機上獲取系統日志，并依據預先設置的告警規則判斷系統日志是否出現異常，如果是，則輸出告警提示信息；

其中，用戶端虛擬機為多個，分別面向當前系統中各用戶端，控制端虛擬機面向各用戶端虛擬機，用戶端虛擬機和控制端虛擬機建立信息傳輸通道，控制端虛擬機和監控端虛擬機建立信息傳輸通道。

本實施例提供的面向xen虛擬化環境的系統日志監控裝置，在應用程序產生系統日志后，用戶端虛擬機就將該系統日志寫入共享內存，從而使得系統日志在管理網絡上傳輸，并且控制端虛擬機也是從共享內存中讀取該系統日志，因此提高了系統日志的安全性。最后通過監控端虛擬機結合預先設置的告警規則將得到的系統日志進行分析從而判斷出系統日志是否出現異常，并將結果呈現給監控人員，實現對系統日志的全程監控。綜上所述，本裝置中，系統日志傳輸在管理網絡，因此不需要占用數據網絡，節約了數據網絡的網絡帶寬，且管理網絡的安全性更高，因此能夠更有效的防止惡意侵入，提高了系統的安全性和可靠性。

圖3為本發明實施例提供的一種用戶端虛擬機、控制端虛擬機和監控端虛擬機的工作原理圖。如圖3所示，domu包含有logmoniter和syslogd進程，syslogd進程將應用程序產生的系統日志存儲在syslog文件中，logmoniter用來監控是否有系統日志產生，并負責將系統日志保存在共享內存和發送同步消息。dom0中包含有logmoniter和vmu文件，logmoniter用來接收同步消息以及從共享內存中讀取系統日志，然后將系統日志存儲在控制端日志文件中。此時，vmu文件就會產生日志，監控端虛擬機檢測到vmu文件產生新的日志，則從控制端日志文件讀取系統日志，進行解析和判斷。監控端虛擬機具體包括監控模塊、分析告警模塊以及個性化策略設置模塊。

以上對本發明所提供的面向xen虛擬化環境的系統日志監控方法及裝置進行了詳細介紹。說明書中各個實施例采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似部分互相參見即可。對于實施例公開的裝置而言，由于其與實施例公開的方法相對應，所以描述的比較簡單，相關之處參見方法部分說明即可。應當指出，對于本技術領域的普通技術人員來說，在不脫離本發明原理的前提下，還可以對本發明進行若干改進和修飾，這些改進和修飾也落入本發明權利要求的保護范圍內。

還需要說明的是，在本說明書中，諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。