CN107357922A - 一种分布式文件***的nfs访问审计方法及*** - Google Patents
一种分布式文件***的nfs访问审计方法及*** Download PDFInfo
- Publication number
- CN107357922A CN107357922A CN201710600625.5A CN201710600625A CN107357922A CN 107357922 A CN107357922 A CN 107357922A CN 201710600625 A CN201710600625 A CN 201710600625A CN 107357922 A CN107357922 A CN 107357922A
- Authority
- CN
- China
- Prior art keywords
- nfs
- audit
- daily record
- access
- accesses
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/182—Distributed file systems
- G06F16/1824—Distributed file systems implemented using Network-attached Storage [NAS] architecture
- G06F16/183—Provision of network file services by network file servers, e.g. by using NFS, CIFS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/71—Version control; Configuration management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种分布式文件***的NFS访问审计方法及***,方法包括以下步骤:开启访问审计功能;设置日志级别;对审计日志重新定向;重启NFS服务;日志文件管理。***包括访问审计模块,用以开启或关闭访问审计功能;日志级别模块,用以设置日志级别;日志重新定向模块,用以对审计日志进行重新定向;NFS服务重启模块,用以重启NFS服务;日志管理模块,用以对日志文件进行管理。本发明采用日志文件记录NFS客户端的所有操作和执行结果,提高了NFS访问的安全性和可追踪性,为使用者提供一种更为直观的访问操作监控,使用者可以实时的对NFS客户端的各种操作和执行结果进行查看。
Description
技术领域
本发明涉及一种分布式文件***的NFS访问审计方法及***,属于分布式文件***的NFS监控技术领域。
背景技术
存储***是计算机***的重要组成部分,在当前大数据时代,对存储***的性能提出了更高的要求。集群NAS(Network Attached Storage,网络附属存储)是存储***中必不可少的技术之一,它是由多个节点构成的一种松散耦合的计算节点集合,协同起来对外提供高性能、高可用、高负载均衡的NFS存储服务。
NFS(Network File System)即网络文件***,它允许网络中的计算机之间通过TCP/IP网络共享资源。它的实现方式是被所有用户访问的数据可以存放在一台中央的主机(NFS服务器)上,其他不同主机(NFS客户端)上的用户可以通过NFS访问同一中央主机上的数据。
但是,NFS访问机制存在不安全因素,因此需要一种NFS访问审计措施来提高NFS访问的安全性和可追踪性。
发明内容
针对上述技术的不足,本发明实施例提供了一种分布式文件***的NFS访问审计方法及系,其能够为使用者提供一种更为直观的访问操作监控措施,使用者可以实时的对NFS客户端的各种操作和执行结果进行查看。
本发明实施例解决其技术问题采取的技术方案是:
一方面,提供了一种分布式文件***的NFS访问审计方法,它包括以下步骤:
开启访问审计功能;
设置日志级别;
对审计日志重新定向;
重启NFS服务;
日志文件管理。
可选地,所述开启访问审计功能的过程为:在NFS配置文件中加入Audit(审计)配置项,Audit配置项配置为true或false,用以开启访问审计或关闭访问审计。
可选地,所述设置日志级别的过程为:在NFS配置文件中加入Audit_Level(审计级别)配置项,所述Audit_Level(审计级别)配置项包括低日志级别配置项、中日志级别配置项和高日志级别配置项。
可选地,所述对审计日志重新定向的过程为:在NFS配置文件中加入日志路径配置项,所述日志路径配置项包括日志文件的具体存放位置和日志文件名称。
可选地,所述重启NFS服务的过程为:保存修改的NFS配置文件后对NFS服务进行重启。
可选地,所述日志文件管理的过程为:当日志文件达到一定的容量时,进行文件的打包转存,然后打开一个新的日志文件进行记录NFS访问操作。
可选地,所述日志文件记录了每个NFS客户端上的用户地址、访问的文件、访问时间和操作结果信息。
另一方面,还提供了一种分布式文件***的NFS访问审计***,它包括:
访问审计模块,用以开启或关闭访问审计功能;
日志级别模块,用以设置日志级别;
日志重新定向模块,用以对审计日志进行重新定向;
NFS服务重启模块,用以重启NFS服务;
日志管理模块,用以对日志文件进行管理。
可选地,所述日志级别模块包括低日志级别配置模块、中日志级别配置项模块和高日志级别配置模块。
可选地,所述日志文件记录了每个NFS客户端上的用户地址、访问的文件、访问时间和操作结果信息。
本发明实施例提供的技术方案具有以下有益效果:
本发明实施例方案通过修改NFS的配置文件来控制访问审计功能的开启和关闭,在开启访问审计功能状态下可以对NFS客户端的操作进行记录;通过在NFS配置文件中加入审计级别配置项来设置日志级别,实现对NFS客户端下不同级别操作的记录;通过对审计日志的重新定向来更改日志文件的具体存放位置以及日志文件名,以便日志文件的查找;当日志文件达到一定的容量时,进行日志文件的打包转存,重新打开一个新的日志文件进行NFS访问操作的记录,根据时间段来查找NFS客户端的操作记录,方便快捷,提供了文件的读取效率。
本发明实施例方案采用日志文件记录NFS客户端的所有操作和执行结果,来对NFS客户端上每个用户的地址、访问的文件、访问时间及操作结果等具体操作进行记录,提高了NFS访问的安全性和可追踪性,为使用者提供一种更为直观的访问操作监控,使用者可以实时的对NFS客户端的各种操作和执行结果进行查看。
附图说明
下面结合说明书附图对本发明进行说明。
图1为本发明实施例提供的一种分布式文件***的NFS访问审计方法的流程示意图;
图2为本发明实施例提供的一种分布式文件***的NFS访问审计***的结构示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
图1为本发明实施例提供的一种分布式文件***的NFS访问审计方法的流程示意图。参见图1,本发明实施例的一种分布式文件***的NFS访问审计方法,它包括以下步骤:
开启访问审计功能;访问审计功能的开启过程为:在NFS配置文件中加入Audit(审计)配置项,Audit配置项配置为true或false,用以开启访问审计或关闭访问审计。通过修改NFS的配置文件来控制访问审计功能的开启和关闭,在开启访问审计功能状态下可以对NFS客户端的操作进行记录。
设置日志级别;日志级别的设置过程为:在NFS配置文件中加入Audit_Level(审计级别)配置项,所述Audit_Level(审计级别)配置项包括低日志级别配置项、中日志级别配置项和高日志级别配置项。通过在NFS配置文件中加入审计级别配置项来设置日志级别,实现对NFS客户端下不同级别操作的记录。
对审计日志重新定向;审计日志的重新定向过程为:在NFS配置文件中加入日志路径配置项,所述日志路径配置项包括日志文件的具体存放位置和日志文件名称。通过对审计日志的重新定向来更改日志文件的具体存放位置以及日志文件名,以便日志文件的查找。
重启NFS服务;NFS服务的重启过程为:保存修改的NFS配置文件后对NFS服务进行重启。
日志文件管理;日志文件的管理过程为:当日志文件达到一定的容量时,进行文件的打包转存,然后打开一个新的日志文件进行记录NFS访问操作。添加定时任务来实现日志文件的打包转存,当日志文件达到一定的容量时,进行日志文件的打包转存,重新打开一个新的日志文件进行NFS访问操作的记录,根据时间段来查找NFS客户端的操作记录,方便快捷,提供了文件的读取效率。
可选地,本发明实施例中所述日志文件记录了每个NFS客户端上的用户地址、访问的文件、访问时间和操作结果信息。
本发明实施例的一种分布式文件***的NFS访问审计方法还可以采用以下可行的实现方案,其具体实现过程如下:
一、开启访问审计功能并设置日志级别
1、访问审计功能的开启:访问审计功能的开启通过修改NFS的配置文件来实现,在NFS配置文件中加入Audit配置项,该项可以配置为true和false,来控制访问审计的开启和关闭,开启状态下可以对NFS客户端的操作进行记录;
2、日志级别设置:日志级别的开关通过在NFS配置文件中加入Audit_Level配置项来实现,该项可以配置低、中、高三种日志级别,实现对NFS客户端下不同级别操作的记录;
3、审计日志的重新定向:在NFS配置文件中加入日志路径的配置项log_path=/var/log/ganesha_audit.log,即日志文件的具体存放位置以及日志文件名;
在分布式文件***的NFS配置文件中通过加入Audit=true,开启访问审计功能,加入Audit_Level=LOW/MID/HIGH(日志级别为低、中、高三种,三种任选其一),定义具体的日志级别,加入日志路径配置项log_path=/var/log/ganesha_audit.log,确定日志的具体存放位置。
二、重启NFS服务
更改完NFS配置文件后,需要重启NFS服务,保证新加入的配置文件生效。
三、确认日志级别并对日志文件管理
根据定义的日志级别确认是否对NFS客户端的操作进行记录,进行记录过程中,当日志文件达到一定的容量时,进行文件的打包转存,该功能通过在操作***中添加定时任务来实现,日志转存完成后,会打开一个新的日志文件进行NFS客户端的操作记录。
在确认日志级别过程中,对于客户端的操作,根据定义的日志级别确认是否对该项操作进行记录,Audit_Level=HIGH对应的是Linux***中的rename、remove、rmdir的操作;Audit_Level=MID对应的是create、read、write、setfattr、link、mkdir、rename、remove、rmdir的操作;Audit_Level=LOW对应的是access、commit、getfattr、lookup、readdir、readlink、create、read、write、setfattr、link、mkdir、rename、remove、rmdir的操作。
在日志文件管理过程中,对日志文件的大小进行判断,超过限制后对日志文件进行打包和转存,再重新打开一个日志文件,没有超过限制就将对应级别的日志保存到日志文件中。
图2为本发明实施例提供的一种分布式文件***的NFS访问审计***的结构示意图。参见图2,本发明实施例的一种分布式文件***的NFS访问审计***,它包括:
访问审计模块,用以开启或关闭访问审计功能;
日志级别模块,用以设置日志级别;
日志重新定向模块,用以对审计日志进行重新定向;
NFS服务重启模块,用以重启NFS服务;
日志管理模块,用以对日志文件进行管理。
可选地,所述日志级别模块包括低日志级别配置模块、中日志级别配置项模块和高日志级别配置模块。
可选地,所述日志文件记录了每个NFS客户端上的用户地址、访问的文件、访问时间和操作结果信息。
本发明实施例方案采用日志文件记录NFS客户端的所有操作和执行结果,来对NFS客户端上每个用户的地址、访问的文件、访问时间及操作结果等具体操作进行记录,提高了NFS访问的安全性和可追踪性,为使用者提供一种更为直观的访问操作监控,使用者可以实时的对NFS客户端的各种操作和执行结果进行查看。
以上所述只是本发明的优选实施方式,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也被视为本发明的保护范围。
Claims (10)
1.一种分布式文件***的NFS访问审计方法,其特征是,包括以下步骤:
开启访问审计功能;
设置日志级别;
对审计日志重新定向;
重启NFS服务;
日志文件管理。
2.根据权利要求1所述的一种分布式文件***的NFS访问审计方法,其特征是,所述开启访问审计功能的过程为:在NFS配置文件中加入Audit配置项,Audit配置项配置为true或false,用以开启访问审计或关闭访问审计。
3.根据权利要求1所述的一种分布式文件***的NFS访问审计方法,其特征是,所述设置日志级别的过程为:在NFS配置文件中加入Audit_Level配置项,所述Audit_Level配置项包括低日志级别配置项、中日志级别配置项和高日志级别配置项。
4.根据权利要求1所述的一种分布式文件***的NFS访问审计方法,其特征是,所述对审计日志重新定向的过程为:在NFS配置文件中加入日志路径配置项,所述日志路径配置项包括日志文件的具体存放位置和日志文件名称。
5.根据权利要求1所述的一种分布式文件***的NFS访问审计方法,其特征是,所述重启NFS服务的过程为:保存修改的NFS配置文件后对NFS服务进行重启。
6.根据权利要求1所述的一种分布式文件***的NFS访问审计方法,其特征是,所述日志文件管理的过程为:当日志文件达到一定的容量时,进行文件的打包转存,然后打开一个新的日志文件进行记录NFS访问操作。
7.根据权利要求1至6任意一项所述的一种分布式文件***的NFS访问审计方法,其特征是,所述日志文件记录了每个NFS客户端上的用户地址、访问的文件、访问时间和操作结果信息。
8.一种分布式文件***的NFS访问审计***,其特征是,包括:
访问审计模块,用以开启或关闭访问审计功能;
日志级别模块,用以设置日志级别;
日志重新定向模块,用以对审计日志进行重新定向;
NFS服务重启模块,用以重启NFS服务;
日志管理模块,用以对日志文件进行管理。
9.根据权利要求8所述的一种分布式文件***的NFS访问审计***,其特征是,所述日志级别模块包括低日志级别配置模块、中日志级别配置项模块和高日志级别配置模块。
10.根据权利要求8或9所述的一种分布式文件***的NFS访问审计***,其特征是,所述日志文件记录了每个NFS客户端上的用户地址、访问的文件、访问时间和操作结果信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710600625.5A CN107357922A (zh) | 2017-07-21 | 2017-07-21 | 一种分布式文件***的nfs访问审计方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710600625.5A CN107357922A (zh) | 2017-07-21 | 2017-07-21 | 一种分布式文件***的nfs访问审计方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107357922A true CN107357922A (zh) | 2017-11-17 |
Family
ID=60285225
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710600625.5A Pending CN107357922A (zh) | 2017-07-21 | 2017-07-21 | 一种分布式文件***的nfs访问审计方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107357922A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108132815A (zh) * | 2017-12-25 | 2018-06-08 | 郑州云海信息技术有限公司 | 一种配置文件动态加载的方法、装置和存储介质 |
CN108920347A (zh) * | 2018-06-07 | 2018-11-30 | 郑州云海信息技术有限公司 | 一种基于分布式存储***的访问审计方法及*** |
CN110780857A (zh) * | 2019-10-23 | 2020-02-11 | 杭州涂鸦信息技术有限公司 | 一种统一日志组件 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103685579A (zh) * | 2014-01-13 | 2014-03-26 | 浪潮(北京)电子信息产业有限公司 | 一种集群nas存储***共享访问方法 |
CN104320401A (zh) * | 2014-10-31 | 2015-01-28 | 北京思特奇信息技术股份有限公司 | 一种基于分布式文件***的大数据存储访问***及方法 |
CN104462349A (zh) * | 2014-12-05 | 2015-03-25 | 曙光信息产业(北京)有限公司 | 一种文件处理方法及装置 |
CN104881353A (zh) * | 2015-06-15 | 2015-09-02 | 成都千寻科技有限公司 | 面向Hive平台的用户行为审计***及方法 |
CN104881483A (zh) * | 2015-06-05 | 2015-09-02 | 南京大学 | 用于Hadoop平台数据泄露攻击的自动检测取证方法 |
CN105656903A (zh) * | 2016-01-15 | 2016-06-08 | 国家计算机网络与信息安全管理中心 | 一种Hive平台的用户安全管理***及应用 |
CN105827574A (zh) * | 2015-01-07 | 2016-08-03 | ***通信集团设计院有限公司 | 一种文件访问***、方法及装置 |
CN106446079A (zh) * | 2016-09-08 | 2017-02-22 | 中国科学院计算技术研究所 | 一种面向分布式文件***的文件预取/缓存方法及装置 |
-
2017
- 2017-07-21 CN CN201710600625.5A patent/CN107357922A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103685579A (zh) * | 2014-01-13 | 2014-03-26 | 浪潮(北京)电子信息产业有限公司 | 一种集群nas存储***共享访问方法 |
CN104320401A (zh) * | 2014-10-31 | 2015-01-28 | 北京思特奇信息技术股份有限公司 | 一种基于分布式文件***的大数据存储访问***及方法 |
CN104462349A (zh) * | 2014-12-05 | 2015-03-25 | 曙光信息产业(北京)有限公司 | 一种文件处理方法及装置 |
CN105827574A (zh) * | 2015-01-07 | 2016-08-03 | ***通信集团设计院有限公司 | 一种文件访问***、方法及装置 |
CN104881483A (zh) * | 2015-06-05 | 2015-09-02 | 南京大学 | 用于Hadoop平台数据泄露攻击的自动检测取证方法 |
CN104881353A (zh) * | 2015-06-15 | 2015-09-02 | 成都千寻科技有限公司 | 面向Hive平台的用户行为审计***及方法 |
CN105656903A (zh) * | 2016-01-15 | 2016-06-08 | 国家计算机网络与信息安全管理中心 | 一种Hive平台的用户安全管理***及应用 |
CN106446079A (zh) * | 2016-09-08 | 2017-02-22 | 中国科学院计算技术研究所 | 一种面向分布式文件***的文件预取/缓存方法及装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108132815A (zh) * | 2017-12-25 | 2018-06-08 | 郑州云海信息技术有限公司 | 一种配置文件动态加载的方法、装置和存储介质 |
CN108920347A (zh) * | 2018-06-07 | 2018-11-30 | 郑州云海信息技术有限公司 | 一种基于分布式存储***的访问审计方法及*** |
CN110780857A (zh) * | 2019-10-23 | 2020-02-11 | 杭州涂鸦信息技术有限公司 | 一种统一日志组件 |
CN110780857B (zh) * | 2019-10-23 | 2024-01-30 | 杭州涂鸦信息技术有限公司 | 一种统一日志组件 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9491104B2 (en) | System and method for storing/caching, searching for, and accessing data | |
CN105005528B (zh) | 一种日志信息提取方法及装置 | |
CN106254466B (zh) | 基于局域网的hdfs分布式文件共享方法 | |
CN106156289A (zh) | 一种读写对象存储***中的数据的方法以及装置 | |
CN105940396A (zh) | 分布式存储***中对象的层级组块 | |
CN101442558B (zh) | 一种为p2sp网络提供索引服务的方法和*** | |
CN102111285B (zh) | 一种日志信息管理方法及*** | |
CN107122377A (zh) | 自动匹配数据集与存储组件 | |
CN103888499A (zh) | 一种分布式对象处理的方法及*** | |
CN107357922A (zh) | 一种分布式文件***的nfs访问审计方法及*** | |
CN106126551A (zh) | 一种Hbase数据库访问日志的生成方法、装置及*** | |
CN108427677A (zh) | 一种对象访问方法、装置及电子设备 | |
CN103490978A (zh) | 终端、服务器和消息监视方法 | |
CN105975352A (zh) | 一种缓存数据处理方法及服务器 | |
CN106294842A (zh) | 一种数据交互方法、平台及分布式文件*** | |
US10031904B2 (en) | Database management system based on a spreadsheet concept deployed in an object grid | |
CN108876291A (zh) | 一种企业经营数据采集***、方法及云端服务器 | |
CN108520052A (zh) | 慢查询信息检索方法、装置、服务器及可读存储介质 | |
CN114547204A (zh) | 数据同步方法、装置、计算机设备和存储介质 | |
US20230385280A1 (en) | Database system with run-time query mode selection | |
CN108197323A (zh) | 应用于分布式***地图数据处理方法 | |
CN103714089B (zh) | 一种实现云数据库回滚的方法及*** | |
Johnston | Challenges in preservation and archiving digital materials | |
CN110442645A (zh) | 数据索引方法及装置 | |
CN103152377B (zh) | 一种面向ftp服务的数据访问方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171117 |