[发明专利]一种基于web容器配置文件的日志搜索方法

说明书

本发明涉及信息安全技术，旨在提供一种基于web容器配置文件的日志搜索方法。该种基于web容器配置文件的日志搜索方法包括步骤：将应用系统服务器的磁盘生成磁盘镜像文件；使用日志分析系统提取磁盘镜像文件中的所有日志信息；提取常规的web容器配置文件，并分析得到日志分析系统的检索条件表达式；将检索条件表达式输入日志分析系统，对提取到的所有日志信息进行搜索，得到所需要的目标日志信息。本发明能便捷的提取web容器配置文件及其中的配置信息，然后组合成检索条件，并使用该组合成的检索条件进行快速、准确的日志信息搜索。

技术领域

本发明是关于信息安全技术领域，特别涉及一种基于web容器配置文件的日志搜索方法。

背景技术

Web应用系统部署在服务器上后，在系统运营过程中会生成大量的应用日志和系统日志，这些日志以文件形式记录，存储在系统磁盘上，称为日志文件。这些日志文件中记录的日志信息为运维人员在服务器日常维护和管理中，起到了非常重要的作用。同时，当应用系统出现了被黑客入侵后上传恶意文件、植入木马、篡改页面等操作后，会给系统运维人员及安全管理人员带来极大压力。快速找到漏洞并修复肯定是首要的亟待解决的重大问题。但同时，确定黑客入侵过程及方法，找到其在系统中上传的恶意文件、植入的木马、篡改的页面，安全管理人员往往可以通过提取系统中的日志文件，获取其中有用的日志信息，来快速解决问题。

由于应用系统及服务器上日志量相当的庞大，虽然现在已有很多实用的开源的日志分析工具可以使用，但是安全管理人员需要在这么多的日志信息中获取到有用的信息，需要花费很大的精力。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种基于web容器配置文件，能够快速获取到有用日志信息的日志搜索方法。为解决上述技术问题，本发明的解决方案是：

提供一种基于web容器配置文件的日志搜索方法，具体包括下述步骤：

(1)(通过拷贝或者借助工具)将应用系统服务器的磁盘生成磁盘镜像文件；

(2)使用日志分析系统(这里的日志分析系统采用常规的日志分析系统即可实现，目前开源的日志分析系统或者工具已有很多，大多都能满足常规的日志分析及检索功能，也有很多系统运营单位，部署了强大的综合日志分析系统，这些系统都可以用于以磁盘拷贝或者镜像文件为基础数据，进行日志信息的提取和检索操作)，提取步骤(1)得到的磁盘镜像文件中的所有日志信息；

(3)(使用已开发的软件模块，可采用步骤(2)中所述开源的日志分析系统或者工具来实现)提取常规的web容器配置文件(常规的web容器配置文件，即指启动一个WEB项目的时候，WEB容器去读取的文件)，并分析web容器配置文件中用于生成检索条件的配置项，获得该配置项的值，再由该配置项的值生成适用于步骤(2)中所使用的日志分析系统的检索条件表达式；

(4)将步骤(3)中生成的检索条件表达式，输入步骤(2)中所使用的日志分析系统，对步骤(2)中所提取到的所有日志信息进行搜索，得到所需要的目标日志信息。

在本发明中，所述步骤(4)中，将检索条件表达式输入日志分析系统时，同时还结合场景需求，包括但不限于新增过滤条件、新增组合筛选条件。

在本发明中，所述步骤(4)中，将检索条件表达式输入日志分析系统时，同时还结合辅助检索条件，包括但不限于随系统自带的过滤函数、开源的过滤器。

与现有技术相比，本发明的有益效果是：

本发明能便捷的提取web容器配置文件及其中的配置信息，然后组合成检索条件，并使用该组合成的检索条件进行快速、准确的日志信息搜索。

本发明搜到到的这些日志信息，都是web应用系统关键文件系统的存储部位以及与web应用服务相关的系统操作和通讯相关的所有日志信息，对安全管理人员分析和确定黑客入侵的方法、路径和行为能够提供出有效的参考。