專利名稱:管理網絡日志信息的系統(tǒng)及方法
技術領域:
本發(fā)明涉及網絡通信技術領域�,尤其涉及一種管理網絡日志信息的系統(tǒng)及方法。
背景技術:
網絡的發(fā)展不僅使人們的正常聯(lián)系��、溝通更為高效�,同時,由于Internet(互聯(lián)網)使人們在網絡上的行為處于某種匿名的狀態(tài)�����,也方便了一些不良信息的流通�����。
網絡和服務提供商提供網絡產品和服務�����,為了提高運營效率����、降低運營成本��,必須對網絡情況及接入用戶情況了如指掌���,通過上線率、異常下線率等掌握網絡情況��,根據用戶在線數量掌握網絡使用率���,根據實際網絡、用戶的情況決策網絡優(yōu)化和改造方案�����,有的放矢���,事半功倍。
而且,按照中華人民共和國公安部指定的條例要求�����,網絡和服務提供商必須提供在線和歷史用戶的查詢和追蹤�����,通過用戶上線、下線信息記錄��,只要指定了追蹤用戶的帳號�、IP地址、使用時間等標識信息���,就可以一步到位查詢到用戶信息�。
因此����,為了保證網絡運營管理人員對接入網絡的用戶的有效管理,及網絡的正常使用����,必須在網絡中提供用戶相關的日志功能,即按要求記錄下某些用戶上網的信息����,方便網絡運營管理人員進行管理。
為此�,目前提出了一種基于AAA(鑒權、認證���、計費)服務器實現(xiàn)所述日志功能的技術方案����。這時因為,在電信數據網絡用戶上線���、下線過程中��,一般會使用某種AAA機制進行認證和計費���,比如通過RADIUS(遠程撥號認證服務器)進行認證計費。因此�,充分利用RADIUS等AAA機制,在整網所有設備和服務器不做任何修改的情況下便可以輕而易舉地提供上下線日志���。
基于AAA的日志系統(tǒng)架構如圖1所示,客戶端進行上線和下線操作��,網絡設備如接入服務器BRAS(寬帶接入服務器)在通過RADIUS進行認證計費同時���,將用戶的信息加入�,從而在AAA服務器(比如RADIUS服務器)上建立相應的日志����。具體為根據基于RADIUS協(xié)議傳送至RADIUS服務器的認證計費信息獲取需要的日志信息��,RADIUS服務器包含日志服務器功能���,所述基于AAA的日志系統(tǒng)中應用的協(xié)議棧如圖2所示,日志服務器基于RADIUS協(xié)議獲取日志信息�����。
日志服務器獲取的日志信息包括上線日志和下線日志����,下面分別對日志信息的具體獲取過程進行說明。
對于用戶的上線日志信息的獲取過程如圖3所示�,具體包括以下步驟步驟31客戶終端請求認證,或者是其他接入服務器能夠感知的請求��。
步驟32接入服務器通過RADIUS協(xié)議向RADIUS服務器發(fā)起針對接入用戶的認證請求����,同時將用戶信息包括但不限于帳號、IP地址����、MAC地址��、網絡端口和信息�、時間等日志信息包含在RADIUS報文中發(fā)送給AAA服務器中的RADIUS服務器�����。
步驟33RADIUS服務器根據用戶信息判斷用戶是否合法����,然后返回認證結果。
步驟34接入服務器將認證結果返回給客戶端����。如果成功,繼續(xù)流程�����。如果失敗��,則流程到此結束�。
步驟35接入服務器通過RADIUS協(xié)議向RADIUS服務器發(fā)起計費請求��,同時將用戶信息包括但不限于帳號����、IP地址��、MAC地址��、網絡端口和信息�、時間等日志信息包含在RADIUS報文中發(fā)送給RADIUS服務器��;
發(fā)送所述報文的時間可以與認證請求時完全一致����,也可能將認證請求后變化的參數刷新到報文中。
步驟36RADIUS服務器回應計費報文��。
通過上述過程�����,從認證請求和/或計費請求中攜帶的用戶日志信息���,可以通過標準的RADIUS協(xié)議報文和標準的RADIUS服務器提供用戶上線日志����。
對于用戶的下線日志信息的獲取過程如圖4、圖5所示���,對于在線用戶�,當用戶終止網絡業(yè)務時��,同樣也可以通過RADIUS協(xié)議將下線日志信息送到RADIUS服務器���。用戶下線日志包括用戶主動下線和異常下線兩種情況�����。
用戶主動下線日志獲取的流程如圖4所示����,具體包括以下步驟步驟41客戶終端主動向接入服務器發(fā)送下線請求�;步驟42接入服務器向客戶終端發(fā)送下線回應;步驟43接入服務器向AAA服務器發(fā)送計費停止請求的報文�,同時將用戶信息包括但不限于帳號、IP地址�����、MAC地址�、網絡端口和信息、時間等日志信息包含在RADIUS報文中�����;步驟44AAA服務器向接入服務器回計費停止請求報文的回應����。
用戶異常下線日志獲取的流程如圖5所示,具體包括以下步驟步驟51接入服務器檢測到用戶已經不在線��;步驟52接入服務器向AAA服務器發(fā)送計費停止請求的報文�,同時將用戶信息包括但不限于帳號、IP地址����、MAC地址、網絡端口和信息�、時間等日志信息包含在RADIUS報文中;步驟53AAA服務器向接入服務器回計費停止請求報文的回應�����。
日志服務器獲取所述用戶接入網絡的日志信息后����,還需要提供相應的日志查詢功能��,以便于對日志信息的查詢��。
具體可以通過RADIUS提供的后臺系統(tǒng)進行查詢�。
主流的RADIUS都提供認證�����、計費日志功能���,即在用戶進行認證�、計費時提供“事件日志”��,可以通過“事件日志”界面�,直接查詢IP地址、帳號等信息�。
同時,RADIUS的原始認證��、計費信息也提供良好的查詢界面�����,尤其是計費信息��,可以從計費查詢界面按照帳號、IP地址��、MAC地址等等進行方便的查詢��。
如果需要特殊的查詢處理�,則可以通過RADIUS提供的標準數據庫/接口等進行二次開發(fā)�����。
由上述描述可以看出���,目前使用的AAA協(xié)議和服務器(如RADIUS���、TACACS系列、DIAMETER等)���,AAA服務器是為通用的AAA功能即認證�、授權�、計費功能設計的,并不是為獲取日志信息設計的���,因此存在很多缺陷���,具體如下在日志的產生階段���,必須是認證以后才能夠生成日志,非認證計費失敗原因無法統(tǒng)計��。
在日志內容中����,由于使用標準的AAA協(xié)議,因此�,只能使用AAA(如RADIUS、TACACS系列���、DIAMETER等)標準屬性和部分廠商擴展屬性可以承載的信息����,無法根據需要隨時定制信息�。
在內部日志保存時,只能使用AAA(如RADIUS��、TACACS系列����、DIAMETER等)規(guī)定的格式���,不能根據需要使用靈活方便的格式。
在傳送日志信息上��,只能使用AAA(如RADIUS���、TACACS系列�����、DIAMETER等)協(xié)議,無法提供靈活的加密����、壓縮、過濾手段等等����。在追蹤查詢分析時,只能使用AAA(如RADIUS��、TACACS(TerminalAccess Controller Access Control System����,終端訪問控制器控制系統(tǒng)協(xié)議)系列��、DIAMETER(一種新的AAA協(xié)議��,針對RADIUS全面改進����,名稱就是DIAMETER)等)定制的方式比如AAA事件日志�����、AAA數據庫接口等���,無法提供靈活的查詢界面��、算法和分析手段等���。
發(fā)明內容
鑒于上述現(xiàn)有技術所存在的問題,本發(fā)明的目的是提供一種管理網絡日志信息的系統(tǒng)及方法�,從而使得在通信網絡中可以靈活地獲取需要的日志信息,且實現(xiàn)簡單方便�����。
本發(fā)明的目的是通過以下技術方案實現(xiàn)的本發(fā)明提供了一種獲取網絡日志信息的方法,包括A�、在通信設備上獲取用戶接入網絡開展業(yè)務過程中的日志信息;B�、將所述的日志信息基于日志協(xié)議封裝為日志消息,并發(fā)送給日志服務器���。
所述的步驟A包括A1��、當用戶上線或下線過程中�,獲取并記錄用戶的接入認證結果��、計費和/或授權信息的用戶上下線日志信息��;A2�、當用戶訪問網絡過程中����,獲取并記錄用戶訪問網絡過程中的用戶訪問日志信息;A3�����、當對網絡中傳輸的報文進行NAT轉換時����,獲取并記錄針對傳輸的報文進行NAT轉換前����、后的NAT轉換日志信息���。
所述的步驟A1包括A11�、當通信設備接收客戶終端的請求認證消息時��,判斷所述客戶終端是否認證成功�,如果是,執(zhí)行步驟A12�����,否則��,執(zhí)行步驟A13����;A12、獲取并記錄客戶終端的信息和上線成功的信息��;A13���、獲取并記錄客戶終端的信息和上線失敗的信息�。
所述的步驟A1還包括通信設備接收客戶終端的下線請求或定時檢測到客戶終端已經不在線時,獲取并記錄所述下線客戶終端的信息和下線原因����。
所述的步驟A包括在通信設備上保存所述的日志信息,當確定符合日志消息發(fā)送條件時�,執(zhí)行步驟B。
所述的日志消息發(fā)送條件包括日志消息發(fā)送的時間�、日志消息發(fā)送的間隔時間、觸發(fā)上報日志消息的事件或日志服務器端下發(fā)的命令���。
所述的日志協(xié)議包括系統(tǒng)日志SysLOG協(xié)議�����、超文本傳輸協(xié)議HTTP���、文件傳輸協(xié)議FTP或簡單文件傳輸協(xié)議TFTP�����。
所述的日志消息報文的報文頭包括日志報文版本號字段�、日志報文類型字段、當前報文中的流記錄數字段、日志報文產生的時間字段��、日志報文的序列號字段����、生成日志報文設備類型字段和/或設備中的槽位號字段。
所述的日志消息報文包括根據用戶上下線日志信息生成的日志消息報文包括用戶名字段��、上下線操作字段����、上下線時間字段、虛擬局域網標識VLAN ID字段�����、虛通道標識VPI字段���、虛通路標識VCI字段����、接口名稱字段���、IP地址字段和/或媒體接入控制MAC地址字段��;根據用戶訪問日志信息生成的日志消息報文包括源IP地址字段���、目的IP地址字段���、源端口號字段、目的端口號字段����、流起始時間字段、流結束時間字段��、IP承載的協(xié)議類型字段�����、操作字字段���、服務類型字段�����、傳輸控制協(xié)議TCP標志字段、入方向報文數目字段��、出方向報文數目字段、入方向字節(jié)數目字段和/或出方向字節(jié)數目字段���;根據NAT日志信息生成的日志消息報文包括源IP地址字段����、NAT轉換后的源IP地址字段���、目的IP地址字段����、NAT轉換后的目的IP地址字段��、源端口號字段��、NAT轉換后的源端口號字段�����、目的端口號字段�����,NAT轉換后的目的端口號字段�、IP承載的協(xié)議類型字段��、操作字字段�����、流起始時間字段和/或流結束時間字段�。
所述的根據用戶上下線日志信息生成的日志消息報文包括消息類型字段���、原因值字段�����、用戶類型字段�、接入方式字段��、接入用戶端口號字段���、用戶開始登錄時間字段�����、消息產生時間字段��、當前在線用戶數字段�����、端口在線用戶數字段��、ISP在線用戶數字段����、用戶名稱字段���、用戶IP地址字段��、用戶MAC地址字段��、用戶鏈路VPI字段��、用戶鏈路VCI字段����、用戶所屬VLAN字段���、DSLAM MAC地址字段���、DSLAM端口號字段��、認證服務器地址字段�、發(fā)送認證請求次數字段����、計費服務器地址字段、發(fā)送計費請求次數字段�����、計費開始時間字段����、計費結束時間字段、輸出流量信息字段和/或輸入流量信息字段���。
所述的步驟B包括接入服務器接收客戶終端的請求認證消息后��,將對所述客戶終端的認證處理結果通過日志消息發(fā)送給日志服務器�,所述的認證結果包括認證成功和認證失敗信息���。
所述的步驟B包括接入服務器接收客戶終端的下線請求或定時檢測到客戶終端已經不在線時��,將所述客戶終端的下線信息通過日志消息發(fā)送給日志服務器��。
所述的步驟B包括將所述的日志信息加密和/或壓縮處理后發(fā)送給日志服務器����。
所述的步驟B包括當確定日志服務器未收到所述的日志信息時�,則重新發(fā)送所述日志信息,直至相應的日志服務器收到所述的日志信息���。
所述的獲取網絡日志信息的方法還包括
日志服務器記錄所述客戶終端開展業(yè)務過程中的日志信息���;日志服務器根據用戶輸入的查詢參數信息查找保存的日志信息,并將與所述查詢參數信息匹配的日志信息輸出��。
本發(fā)明還提供了一種管理網絡日志信息的系統(tǒng)�,包括日志信息生成模塊用于在客戶終端接入網絡開展業(yè)務過程中獲取相應的日志信息;日志信息發(fā)送模塊用于將日志信息生成模塊獲取的日志信息生成日志消息發(fā)送給日志服務器���;日志服務器接收日志信息生成模塊發(fā)來的日志消息���,并記錄相應的日志信息。
所述的日志信息生成模塊設置于網絡設備或網絡接入設備中���。
所述的日志信息生成模塊包括上下線日志信息生成模塊用于記錄接入網絡的用戶的上��、下線日志信息�����,包括接入認證��、計費和/或授權信息�;和/或,網絡訪問日志信息生成模塊用于記錄接入網絡的用戶訪問網絡過程中的日志信息�;和/或,網絡地址轉換NAT日志信息生成模塊用于記錄通信網絡中對傳送的報文進行NAT處理過程中的日志信息��。
所述的管理網絡日志信息的系統(tǒng)還包括發(fā)送控制模塊用于根據設定的日志消息發(fā)送規(guī)則控制日志信息發(fā)送模塊進行日志消息的發(fā)送����;和/或,日志信息生成控制模塊用于根據預先設定的規(guī)則控制日志信息生成模塊按照所述規(guī)則進行日志信息的獲取�����。
所述的日志服務器包括日志信息接收模塊用于接收日志信息生成模塊發(fā)送來的日志消息����;日志信息存儲模塊用于保存日志信息接收模塊接收的日志消息中攜帶的日志信息�。
所述的日志服務器還包括日志信息查詢模塊根據用戶輸入的查詢參數查詢讀取日志信息存儲模塊中的呼叫日志信息��。
所述的日志服務器還提供數據訪問接口�����,外部系統(tǒng)可以通過所述數據訪問接口獲取日志信息���。
基于上述系統(tǒng)����,本發(fā)明還提供了一種管理網絡日志信息的方法���,包括C、客戶終端接入網絡開展業(yè)務時�����,日志信息生成模塊將客戶終端開展業(yè)務過程中的日志信息記錄�����;D�����、日志信息發(fā)送模塊將日志信息生成模塊記錄的日志信息通過日志消息發(fā)送給日志服務器;E����、日志服務器記錄所述客戶終端開展業(yè)務過程中的日志信息。
所述的步驟C包括當用戶上線或下線過程��,訪問網絡過程以及網絡設備對網絡中傳輸的報文進行NAT轉換時�����,日志信息生成模塊記錄相應的日志信息�����。
所述的步驟D包括D1��、日志發(fā)送模塊判斷是否符合發(fā)送所述日志信息的條件�,如果符合,則執(zhí)行步驟D2��,否則�����,繼續(xù)執(zhí)行步驟D1;D2���、日志發(fā)送模塊將所述的日志信息發(fā)送給日志服務器���。
所述的步驟D2包括日志信息發(fā)送模塊根據用戶選擇或設置的日志協(xié)議信息對所述的日志信息進行封裝,并將封裝后的日志消息報文發(fā)送給日志服務器�����。
由上述本發(fā)明提供的技術方案可以看出�,本發(fā)明提供強大的日志功能,可以在用戶進行某種動作時便生成相應的日志信息���,比如用戶上線、下線�、訪問某個網站等等,并可以根據預先配置或者動態(tài)下發(fā)的策略靈活獲取需要的日志信息�����。
本發(fā)明還可以根據需要獲取某一個用戶���、某一類用戶或者全部用戶的日志信息���,以滿足不同用戶的不同需求���。
本發(fā)明在傳送日志信息時,還提供了靈活的加密�、壓縮、過濾等手段���,從而確定日志信息的可靠傳送���。
針對獲取的日志信息,本發(fā)明還提供了相應的查詢功能�����,以便于對獲取的各種日志信息靈活進行查詢分析��。
圖1為基于AAA的日志系統(tǒng)架構示意圖�����;圖2為基于AAA的日志系統(tǒng)中應用的協(xié)議棧示意圖��;圖3為用戶的上線日志信息的獲取過程示意圖�����;圖4為用戶正常下線日志信息的獲取過程示意圖;圖5為用戶異常下線日志信息的獲取過程示意圖����;圖6為本發(fā)明所述的方法的流程圖1;圖7為本發(fā)明所述的系統(tǒng)的結構示意圖���;圖8為本發(fā)明所述的方法的流程圖2�;圖9為獲取客戶端上線和下線日志信息的處理過程流程圖�。
具體實施例方式
本發(fā)明的核心是在通信網絡中根據網絡的通信特點提供了相應的用于獲取日志信息的方法,并專門建立用于獲取日志信息的系統(tǒng)���,從而使得針對網絡通信過程中用戶上下線日志信息�����、用戶訪問日志信息和NAT轉換日志信息均可以根據需要靈活獲取。
本發(fā)明所述的獲取網絡日志信息的方法����,主要包括以下步驟步驟1、在通信設備上獲取用戶接入網絡開展業(yè)務過程中的日志信息�,具體包括(1)當用戶上線或下線過程中�,獲取并記錄用戶的接入認證結果��、計費和/或授權信息的用戶上下線日志信息���,例如接入服務器接收客戶終端的請求認證消息后��,將對所述客戶終端的認證處理結果通過日志消息發(fā)送給日志服務器����,所述的認證結果包括認證成功和認證失敗信息��;接入服務器接收客戶終端的下線請求或定時檢測到客戶終端已經不在線時�����,將所述客戶終端的下線信息通過日志消息發(fā)送給日志服務器��;(2)當用戶訪問網絡過程中����,獲取并記錄用戶訪問網絡過程中的用戶訪問日志信息;(3)當對網絡中傳輸的報文進行NAT轉換時��,獲取并記錄針對傳輸的報文進行NAT轉換前��、后的NAT轉換日志信息。
步驟2在通信設備上保存所述的日志信息����,以便于當符合日志消息發(fā)送條件時再發(fā)送所述的日志信息;步驟3實時或定時判斷當前是否符合日志消息發(fā)送條件�,如果符合,則執(zhí)行步驟4�,否則,繼續(xù)步驟1�����;所述的日志消息發(fā)送條件包括日志消息發(fā)送的時間����、日志消息發(fā)送的間隔時間、觸發(fā)上報日志消息的事件或日志服務器端下發(fā)的命令等等��。
步驟4將所述的日志信息基于專用日志協(xié)議封裝為日志消息�,并發(fā)送給日志服務器;具體可以將所述的日志信息加密和/或壓縮處理后再發(fā)送給日志服務器�,以確保日志信息的安全性,及傳輸的便捷性�。
步驟5判斷日志服務器是否收到所述的日志消息���,如果收到����,則執(zhí)行步驟6,本次日志消息傳送過程結束��,否則��,執(zhí)行步驟7�,重新發(fā)送所述日志消息,直至相應的日志服務器收到所述的日志消息���;判斷日志服務器是否收到所述的日志消息可以根據是否收到日志服務器返回的日志消息接收確認消息確定��,當然���,也可以采用其他方式確定。
步驟8日志服務器接收所述的日志消息后���,保存所述客戶終端開展業(yè)務過程中的日志信息�����;步驟9日志服務器接收管理用戶輸入的查詢參數信息�;所述的查詢參數信息包括客戶終端的身份信息、地址信息��、訪問網絡時間信息���,等等��;步驟10根據用戶輸入的查詢參數信息查找保存的日志信息�����,并將與所述查詢參數信息匹配的日志信息輸出���。
本發(fā)明所述的管理網絡日志信息的系統(tǒng)的結構如圖7所示,具體包括以下各組成模塊(1)日志信息生成模塊所述日志信息生成模塊設置于網絡設備或網絡接入設備中�����,用于在客戶終端接入網絡開展業(yè)務過程中獲取相應的日志信息���;所述的日志信息生成模塊具體包括上下線日志信息生成模塊用于記錄接入網絡的用戶的上��、下線日志信息�����,具體包括接入認證��、計費和/或授權信息��;網絡訪問日志信息生成模塊用于記錄接入網絡的用戶訪問網絡過程中的日志信息���;
網絡地址轉換NAT日志信息生成模塊用于記錄通信網絡中對傳送的報文進行NAT處理過程中的日志信息。
所述的日志信息生成模塊還連接設置有日志信息生成控制模塊��,用于根據預先設定的規(guī)則控制日志信息生成模塊按照所述規(guī)則進行日志信息的獲取���,即用戶可以根據需要通過日志信息生成控制模塊設定獲取的日志信息的規(guī)則����,從而控制日志信息生成模塊具體獲取的日志信息��。
(2)日志信息發(fā)送模塊用于將日志信息生成模塊獲取的日志信息基于選定的日志傳送協(xié)議生成相應的日志消息發(fā)送給日志服務器�;所述的日志信息發(fā)送模塊還連接設置有發(fā)送控制模塊,用于根據設定的日志消息發(fā)送規(guī)則控制日志信息發(fā)送模塊進行日志消息的發(fā)送�,如可以設定每隔預定的時間需要向日志服務器發(fā)送一次日志消息。
(3)日志服務器接收日志信息生成模塊發(fā)來的日志消息�,并記錄相應的日志信息�;所述的日志服務器具體包括日志信息接收模塊用于接收日志信息生成模塊發(fā)送來的日志消息����;日志信息存儲模塊用于保存日志信息接收模塊接收的日志消息中攜帶的日志信息;日志信息查詢模塊根據用戶輸入的查詢參數查詢讀取日志信息存儲模塊中的呼叫日志信息�,所述的查詢參數可以為查詢某一時間段某一用戶訪問網絡的日志信息等;所述的日志服務器還提供數據訪問接口�����,以便于其他外部系統(tǒng)可以通過該數據訪問接口獲取相應的日志信息�����。
基于上述系統(tǒng)本發(fā)明還提供了一種管理網絡日志信息的方法管理網絡日志信息的方法����,如圖8所示,下面將作進一步說明���。
(1)客戶終端接入網絡開展業(yè)務時����,日志信息生成模塊將客戶終端開展業(yè)務過程中的日志信息記錄��,具體包括a、當用戶上線或下線過程中�,日志信息生成模塊記錄用戶的接入認證結果、計費和/或授權信息的用戶上下線日志信息����,所述的認證結果包括認證成功和認證失敗�����;針對用戶上線日志信息的記錄過程具體如下客戶終端請求認證(或者其他接入服務器能夠感知的請求)�;接入服務器對用戶進行認證���,比如本地認證或者通過RADIUS協(xié)議向RADIUS服務器請求認證等��,然后將認證結果返回給客戶端����;如果用戶上線成功��,則記錄用戶上線的日志信息����,具體包括但不限于帳號�����、IP地址���、MAC地址、網絡端口和信息�����、時間等信息�����;如果用戶上線失敗��,同樣需要記錄用戶的日志信息����,相應的日志信息包括用戶名、IP地址����、MAC地址,失敗原因等信息�����;針對用戶下線日志信息的記錄過程具體如下客戶終端主動向接入服務器發(fā)送下線請求,或者接入服務器檢測到用戶已經不在線�����;接入服務器記錄下線日志信息��,所述下線日志信息包括但不限于帳號�����、IP地址����、MAC地址��、網絡端口和信息��、時間等信息�����;b���、當用戶訪問網絡過程中�,日志信息生成模塊記錄用戶訪問網絡過程中的用戶訪問日志信息;網絡訪問日志信息的記錄過程具體如下客戶終端訪問某一個網站�����;網站提供內容給所述客戶終端�����;接入服務器對用戶訪問進行監(jiān)聽����,當用戶訪問開始時,記錄訪問起始時間�����,當用戶終止訪問時記錄結束時間��,同時記錄訪問過程中的日志信息��;
c�����、當對網絡中傳輸的報文進行NAT轉換時,日志信息生成模塊記錄針對傳輸的報文進行NAT轉換前��、后的NAT轉換日志信息�;NAT日志信息的記錄過程具體如下私網客戶終端訪問某一個網站;接入服務器或者NAT設備進行NAT轉換����,將用戶私網地址轉換為公網地址,從而可以訪問網站�;網站提供內容給相應的私網客戶終端;接入服務器或者NAT設備進行NAT轉換��,將返回的報文中用戶公網地址轉換為私網地址���,從而可以轉發(fā)到用戶。
接入服務器或者NAT設備對用戶訪問進行監(jiān)聽����,當用戶NAT轉換開始時記錄起始時間,當用戶終止NAT轉換時記錄結束時間�,同時記錄具體的NAT轉換日志信息;隨著NAT設備和BRAS等接入設備在網絡上日益廣泛的應用��,暴露出的問題也就越來越多��;例如,某個網吧的PC機是通過NAT設備后接入了Internet���,在網吧上網的某個用戶在維護某個非法站點�����,或者訪問一些非法站點����。在這種情況下��,由于網吧PC機的IP地址是經過NAT轉換的�,即使有關部門最后根據IP地址定位追蹤到這個網吧,也無法定位具體是從事非法活動的人使用了哪臺PC機��;因此�,通過提供完整的上下線日志、訪問日志和NAT日志����,在合法監(jiān)聽的情況下,網絡和服務提供商可以提供指定的單個或者多個或者所有用戶訪問記錄��;在該過程中,還需要將記錄的日志信息進行臨時或者永久保存��,具體可以根據固定格式�、靈活選擇格式或者用戶自定義格式等方式將內部記錄的數據轉換為指定的日志信息格式進行保存。
(2)日志信息發(fā)送模塊將日志信息生成模塊記錄的日志信息通過日志消息發(fā)送給日志服務器���,如圖7中的步驟81至步驟84所示����;日志信息發(fā)送模塊可以根據設定的條件進行日志消息的發(fā)送���,所述設定的條件可以為設定的發(fā)送日志信息的間隔時間�,觸發(fā)事件條件等等��,具體的處理過程包括記錄日志信息的網絡設備判斷是否符合設定的發(fā)送所述日志信息的條件����,如果符合,則將所述的日志信息通過所述的日志信息發(fā)送模塊發(fā)送給日志服務器����,否則��,繼續(xù)等待;日志信息發(fā)送模塊通常將日志信息以特定的格式傳送到指定的日志服務器�,如果日志信息在保存時已經轉化為對應的格式,則直接發(fā)送即可�;如果日志信息保存時是內部格式,則根據固定格式�、靈活選擇格式或者用戶自定義格式等方式將內部記錄的數據轉換為指定的日志信息格式,然后再發(fā)送�;所述的日志信息發(fā)送模塊可以根據用戶選擇或設置的協(xié)議信息對所述的日志信息進行封裝,并將封裝后的日志消息報文發(fā)送給日志服務器�;所述的協(xié)議信息包括SysLOG(系統(tǒng)日志)協(xié)議、FTP(文件傳輸協(xié)議)���、HTTP(超文本傳輸協(xié)議)或TFTP(簡單文件傳輸協(xié)議)��,當然����,也可以采用其他自定義的協(xié)議�����;在日志消息傳送過程中�����,根據需求,可以對日志消息傳送的日志信息內容進行加密�,以保證日志信息的安全;可以使用通用的加密算法加密日志信息內容��,或者直接使用標準的IPSec(IP網絡安全協(xié)議)或者SSL(安全套接層)等協(xié)議等�,可以使用但不限于DES/3DES/RSA/MD5/SHA等加密算法;另外�����,日志一般是文本信息���,因此�,可以通過壓縮算法進行內容壓縮�,減少帶寬的占用和傳送的時間;在日志傳送過程中�,根據需要還可以再提供相應的過濾功能,根據源IP地址�����、源端口�、目的IP地址、目的端口���、協(xié)議類型��、用戶接入的物理端口或者VLAN/PVC等邏輯端口��、用戶QoS標記(包括但不限于802.1pCoS/TOS/DSCP等)�����、用戶帳號����、用戶域等信息任意組合配置相應的過濾規(guī)則�,根據相應的過濾規(guī)則可以選擇獲取某一個用戶、某一類用戶��,或者直接選擇全部用戶的日志信息����;或者也可以根據日志發(fā)送的物理端口或者VLAN/PVC等邏輯端口、日志服務器的地址���、日志的功能和優(yōu)先級等信息配置相應的過濾規(guī)則��,然后根據該過濾規(guī)則選中的日志信息���,進行或者禁止日志傳送�,沒有選中的用戶禁止或者進行日志傳送�����;在該過程中����,如果用戶需要的日志信息量比較小時,例如���,只記錄用戶上下線信息�����,用戶量少��,則可以用本地輸出方式獲取日志信息�����,這種方式將日志信息以文本的形式���,輸出到信息終端���,用戶可以直接查看日志信息;例如���,用戶上下線信息%12/17/2002 18:31:15-USERLOG-5-ACCESSlining;login���;2002/12/17 13:25:00����;169.254.1.1��。
(3)日志服務器記錄所述客戶終端開展業(yè)務過程中的日志信息�;日志服務器通過日志協(xié)議接收日志信息后,需求將日志信息保存為文本文件或者數據庫等等�����,可以將日志信息原封不動的保存�����,也可以根據需要���,通過固定格式�、靈活選擇格式或者用戶自定義格式等方式保存日志信息;日志服務器還可以根據用戶輸入的查詢參數信息查找保存的日志信息��,并將與所述查詢參數信息匹配的日志信息輸出��,從而便于用戶根據需要靈活獲取需要的日志信息�����;日志服務器可以將收到的日志信息保存為文本文件或者數據庫�,在后臺系統(tǒng)無論是Unix、Linux還是Windows等所有系統(tǒng)上�,均可以通過通用的文本查詢工具、文件編輯器等進行簡單的文本查詢�����,或者提供查詢程序����,提供各種便于用戶使用和進行追蹤、分析的方法����,可以提供包括簡單的順序查找�、關鍵字查找等等功能����;具體可以通過日志服務器提供的后臺系統(tǒng)中相應的訪問接口進行日志信息的查詢,以便于獲取相應的日志信息����。
為便于對本發(fā)明有進一步的理解�����,下面對本發(fā)明中日志信息的傳送過程作進一步的詳細說明�。
所有日志信息產生后,將通過由一個或者多個日志信息組成UDP(用戶數據報協(xié)議)報文發(fā)送出去�,供網上的日志服務器接收并處理。所述的報文(即日志消息報文)由一個報文頭和若干條報文記錄組成�����,每條記錄分別對應一條日志���。
日志消息報文的報文頭格式如下表所示
����。
當內部私網的用戶通過NAT訪問Internet時,將IP報文按照源IP地址��、轉換后的源IP地址�、目的IP地址、源端口���、轉換后的源端口���、目的端口、協(xié)議號等7元組進行分類�����,每一類報文構成一條NAT流��,生成一個HASH(哈希)表項記錄到NAT的HASH表中�����,并通過定時老化和強制老化等方式���,將記錄下來的NAT轉換日志信息輸出����;當所述的日志消息報文承載著NAT1.0轉換日志信息時,相應的報文格式如下表所示
���;當所述的日志消息報文承載著NAT2.0轉換日志信息時���,相應的報文的格式如下表所示
。
本發(fā)明中�����,當所述報文承載用戶上下線日志信息時�,相應的UDP報文格式分別如下用于記錄ACCESS1.0日志信息的UDP報文的格式如下表所示
���;用于記錄ACCESS2.0日志信息的UDP報文的格式如下表所示
���;當采用典型的Syslog協(xié)議傳送日志信息,則相應的報文中承載的信息格式如下表所示
例如��,一個典型的Syslog日志報文如下{<158>Nov 10 17:00:20 202.173.12.88 AAA SN=123456��,TYPE=1����,CAUSE=2���,USERTYPE=2,ACCESSTYPE=1���,PORT=”FE12/1/1”���,ISP=”CNC”,STARTTIME=”11/10/2004:17:00:00:00”�,TIME=”011/10/2004:17:00:05:00”,ONLINE=0�����,PORTONLINE=0�����,ISPONLINE=0��,USERNAME=””��,USERIP=””����,MAC=””����,VPI=0���,VCI=0�����,VLAN=0�,DSLAMMAC=0�����,DSLAMPORT=0����,AUTHSERVER=””�����,AUTHNUM=0�����,ACCTSERVER=””,ACCTNUM=0�����,ACCOUTSTART=””���,ACCOUNTEND=””�����,TRAFFICIN=0�����,TRAFFICOUT=0�,PROFILENAME=””}上述報文表示2004年11月10日從FE12/1/1端口發(fā)起的一次呼叫��,該呼叫為CNC的用戶�,用戶類型為PPP,接入類型為PPPOE�����,該呼叫失敗,原因是認證失敗�����,呼叫時長為5秒��。
本發(fā)明中��,當所述報文承載著用戶訪問日志信息時����,相應的UDP報文的格式分別如下
用于記錄FLOW1.0日志信息的UDP報文的格式如下表所示
;用于記錄FLOW2.0日志信息的UDP報文的格式如下表所示
�����。
本發(fā)明中��,日志信息的發(fā)送具體可以采用兩種處理過程模式����,一種為簡單模式�����,另一種為可靠模式。
所述的簡單模式指設備發(fā)送日志只發(fā)送一次���,如果發(fā)送失敗�����,則根據需要按照一定的重傳次數和間隔時間重傳����,如果在網絡中丟棄則無法保證日志服務器獲得此日志信息��,具體處理流程如下用戶動作或者事件觸發(fā)接入服務器產生日志信息��;接入服務器將一條或者多條日志信息組合成UDP報文��,然后將此報文發(fā)送到對應的日志服務器���;如果發(fā)送失敗��,則根據需要按照一定的重傳次數和間隔時間重傳����;此時��,如果在網絡中丟棄則無法保證日志服務器獲得此日志信息。
所述的可靠模式指設備發(fā)送的日志����,需要日志服務器確認,這樣即使日志信息丟失也可以通過重傳機制保證日志服務器獲得此日志信息�����,相應的具體處理流程如下用戶動作或者事件觸發(fā)接入服務器產生日志���;接入服務器將一條或者多條日志信息組合成UDP報文�����,然后將此報文發(fā)送到對應的日志服務器�。如果發(fā)送失敗���,或者發(fā)送后超時沒有收到回應����,則根據需要按照一定的重傳次數和間隔時間重傳�;日志服務器接收到此報文則進行回應,直接使用接收報文的頭部回應即可;如果日志信息丟失�����,則接入服務器端無法收到回應���,此時,便可以通過重傳機制保證日志服務器獲得此日志信息�����。
下面再以獲取用戶接入網絡過程中日志信息的處理為例�,對本發(fā)明作進一步的說明,具體參見圖9���,包括以下步驟步驟91當接入服務器接收客戶終端的請求認證消息��,即用戶上線時�����,判斷所述客戶終端是否認證成功��,如果是�����,執(zhí)行步驟92����,否則,執(zhí)行步驟93�����;步驟92獲取客戶終端的信息和上線成功的信息���,執(zhí)行步驟95��;步驟93獲取客戶終端的信息和上線失敗的原因信息����,執(zhí)行步驟95���。
步驟94當用戶下線����,即接入服務器接收客戶終端的下線請求或定時檢測到客戶終端已經不在線時�,獲取并記錄所述下線客戶終端的信息和下線的原因���,執(zhí)行步驟95步驟95將獲取的客戶終端的上線和下線日志信息保存于相應的存儲區(qū)中;步驟96當符合日志消息發(fā)送條件時�����,將所述的上線和下線日志信息發(fā)送給日志服務器�����;步驟97日志服務器接收所述的上線和下線日志信息���,并保存于設置的存儲區(qū)域中;步驟98將所述的上線和下線日志信息通過日志服務器提供的查詢界面和/或數據訪問接口提供給其他用戶及其他外部系統(tǒng)��,以便于其他外部系統(tǒng)可以獲取相應的日志信息���。
以上所述���,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此��,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內����,可輕易想到的變化或替換�,都應涵蓋在本發(fā)明的保護范圍之內����。因此,本發(fā)明的保護范圍應該以權利要求的保護范圍為準�����。
權利要求
1.一種獲取網絡日志信息的方法�,其特征在于,包括A���、在通信設備上獲取用戶接入網絡開展業(yè)務過程中的日志信息���;B、將所述的日志信息基于日志協(xié)議封裝為日志消息�����,并發(fā)送給日志服務器�����。
2.根據權利要求1所述的獲取網絡日志信息的方法,其特征在于��,所述的步驟A包括A1�����、當用戶上線或下線過程中�,獲取并記錄用戶的接入認證結果、計費和/或授權信息的用戶上下線日志信息���;A2、當用戶訪問網絡過程中��,獲取并記錄用戶訪問網絡過程中的用戶訪問日志信息��;A3�、當對網絡中傳輸的報文進行NAT轉換時,獲取并記錄針對傳輸的報文進行NAT轉換前�����、后的NAT轉換日志信息�����。
3.根據權利要求2所述的獲取網絡日志信息的方法,其特征在于�����,所述的步驟A1包括A11�����、當通信設備接收客戶終端的請求認證消息時���,判斷所述客戶終端是否認證成功���,如果是,執(zhí)行步驟A12�����,否則�,執(zhí)行步驟A13;A12�、獲取并記錄客戶終端的信息和上線成功的信息;A13���、獲取并記錄客戶終端的信息和上線失敗的信息���。
4.根據權利要求3所述的獲取網絡日志信息的方法�����,其特征在于��,所述的步驟A1還包括通信設備接收客戶終端的下線請求或定時檢測到客戶終端已經不在線時����,獲取并記錄所述下線客戶終端的信息和下線原因�。
5.根據權利要求1所述的獲取網絡日志信息的方法,其特征在于�����,所述的步驟A包括在通信設備上保存所述的日志信息��,當確定符合日志消息發(fā)送條件時����,執(zhí)行步驟B�。
6.根據權利要求5所述的獲取網絡日志信息的方法,其特征在于��,所述的日志消息發(fā)送條件包括日志消息發(fā)送的時間、日志消息發(fā)送的間隔時間�、觸發(fā)上報日志消息的事件或日志服務器端下發(fā)的命令。
7.根據權利要求1所述的獲取網絡日志信息的方法�,其特征在于,所述的日志協(xié)議包括系統(tǒng)日志SysLOG協(xié)議�、超文本傳輸協(xié)議HTTP、文件傳輸協(xié)議FTP或簡單文件傳輸協(xié)議TFTP����。
8.根據權利要求1至7任一項所述的獲取網絡日志信息的方法,其特征在于��,所述的日志消息報文的報文頭包括日志報文版本號字段��、日志報文類型字段����、當前報文中的流記錄數字段、日志報文產生的時間字段�、日志報文的序列號字段、生成日志報文設備類型字段和/或設備中的槽位號字段�。
9.根據權利要求1至7任一項所述的獲取網絡日志信息的方法,其特征在于����,所述的日志消息報文包括根據用戶上下線日志信息生成的日志消息報文包括用戶名字段���、上下線操作字段、上下線時間字段����、虛擬局域網標識VLAN ID字段、虛通道標識VPI字段�、虛通路標識VCI字段、接口名稱字段��、IP地址字段和/或媒體接入控制MAC地址字段�����;根據用戶訪問日志信息生成的日志消息報文包括源IP地址字段����、目的IP地址字段、源端口號字段��、目的端口號字段�、流起始時間字段�����、流結束時間字段、IP承載的協(xié)議類型字段��、操作字字段�、服務類型字段、傳輸控制協(xié)議TCP標志字段�、入方向報文數目字段、出方向報文數目字段��、入方向字節(jié)數目字段和/或出方向字節(jié)數目字段����;根據NAT日志信息生成的日志消息報文包括源IP地址字段、NAT轉換后的源IP地址字段�����、目的IP地址字段�、NAT轉換后的目的IP地址字段、源端口號字段�、NAT轉換后的源端口號字段、目的端口號字段�����,NAT轉換后的目的端口號字段、IP承載的協(xié)議類型字段����、操作字字段、流起始時間字段和/或流結束時間字段�。
10.根據權利要求1至7任一項所述的獲取網絡日志信息的方法,其特征在于�,所述的根據用戶上下線日志信息生成的日志消息報文包括消息類型字段、原因值字段�、用戶類型字段、接入方式字段����、接入用戶端口號字段、用戶開始登錄時間字段����、消息產生時間字段、當前在線用戶數字段���、端口在線用戶數字段���、ISP在線用戶數字段、用戶名稱字段�、用戶IP地址字段、用戶MAC地址字段�、用戶鏈路VPI字段、用戶鏈路VCI字段��、用戶所屬VLAN字段�、DSLAM MAC地址字段、DSLAM端口號字段��、認證服務器地址字段���、發(fā)送認證請求次數字段���、計費服務器地址字段、發(fā)送計費請求次數字段��、計費開始時間字段�、計費結束時間字段、輸出流量信息字段和/或輸入流量信息字段���。
11.根據權利要求1至7任一項所述的獲取網絡日志信息的方法���,其特征在于,所述的步驟B包括接入服務器接收客戶終端的請求認證消息后���,將對所述客戶終端的認證處理結果通過日志消息發(fā)送給日志服務器�����,所述的認證結果包括認證成功和認證失敗信息����。
12.根據權利要求1至7任一項所述的獲取網絡日志信息的方法,其特征在于��,所述的步驟B包括接入服務器接收客戶終端的下線請求或定時檢測到客戶終端已經不在線時�,將所述客戶終端的下線信息通過日志消息發(fā)送給日志服務器。
13.根據權利要求1至7任一項所述的獲取網絡日志信息的方法�����,其特征在于��,所述的步驟B包括將所述的日志信息加密和/或壓縮處理后發(fā)送給日志服務器���。
14.根據權利要求1至7任一項所述的獲取網絡日志信息的方法�����,其特征在于����,所述的步驟B包括當確定日志服務器未收到所述的日志信息時,則重新發(fā)送所述日志信息�,直至相應的日志服務器收到所述的日志信息�。
15.根據權利要求1至7任一項所述的獲取網絡日志信息的方法,其特征在于�����,該方法還包括日志服務器記錄所述客戶終端開展業(yè)務過程中的日志信息���;日志服務器根據用戶輸入的查詢參數信息查找保存的日志信息��,并將與所述查詢參數信息匹配的日志信息輸出�。
16.一種管理網絡日志信息的系統(tǒng)���,其特征在于�����,包括日志信息生成模塊用于在客戶終端接入網絡開展業(yè)務過程中獲取相應的日志信息���;日志信息發(fā)送模塊用于將日志信息生成模塊獲取的日志信息生成日志消息發(fā)送給日志服務器�����;日志服務器接收日志信息生成模塊發(fā)來的日志消息�����,并記錄相應的日志信息���。
17.根據權利要求16所述的管理網絡日志信息的系統(tǒng),其特征在于����,所述的日志信息生成模塊設置于網絡設備或網絡接入設備中。
18.根據權利要求16所述的管理網絡日志信息的系統(tǒng)�����,其特征在于��,所述的日志信息生成模塊包括上下線日志信息生成模塊用于記錄接入網絡的用戶的上�、下線日志信息,包括接入認證��、計費和/或授權信息�����;和/或,網絡訪問日志信息生成模塊用于記錄接入網絡的用戶訪問網絡過程中的日志信息�����;和/或�,網絡地址轉換NAT日志信息生成模塊用于記錄通信網絡中對傳送的報文進行NAT處理過程中的日志信息�����。
19.根據權利要求16所述的管理網絡日志信息的系統(tǒng)���,其特征在于�����,該系統(tǒng)還包括發(fā)送控制模塊用于根據設定的日志消息發(fā)送規(guī)則控制日志信息發(fā)送模塊進行日志消息的發(fā)送��;和/或���,日志信息生成控制模塊用于根據預先設定的規(guī)則控制日志信息生成模塊按照所述規(guī)則進行日志信息的獲取。
20.根據權利要求16����、17�����、18或19所述的管理網絡日志信息的系統(tǒng)��,其特征在于���,所述的日志服務器包括日志信息接收模塊用于接收日志信息生成模塊發(fā)送來的日志消息;日志信息存儲模塊用于保存日志信息接收模塊接收的日志消息中攜帶的日志信息��。
21.根據權利要求20所述的管理網絡日志信息的系統(tǒng)�����,其特征在于��,所述的日志服務器還包括日志信息查詢模塊根據用戶輸入的查詢參數查詢讀取日志信息存儲模塊中的呼叫日志信息�。
22.根據權利要求20所述的管理日志信息的系統(tǒng),其特征在于�����,所述的日志服務器還提供數據訪問接口,外部系統(tǒng)可以通過所述數據訪問接口獲取日志信息�����。
23.一種管理網絡日志信息的方法�,其特征在于,包括C��、客戶終端接入網絡開展業(yè)務時����,日志信息生成模塊將客戶終端開展業(yè)務過程中的日志信息記錄;D����、日志信息發(fā)送模塊將日志信息生成模塊記錄的日志信息通過日志消息發(fā)送給日志服務器�����;E�、日志服務器記錄所述客戶終端開展業(yè)務過程中的日志信息。
24.根據權利要求23所述的管理網絡日志信息的方法�,其特征在于,所述的步驟C包括當用戶上線或下線過程����,訪問網絡過程以及網絡設備對網絡中傳輸的報文進行NAT轉換時��,日志信息生成模塊記錄相應的日志信息�����。
25.根據權利要求23或24所述的管理網絡日志信息的方法��,其特征在于�,所述的步驟D包括D1����、日志發(fā)送模塊判斷是否符合發(fā)送所述日志信息的條件,如果符合���,則執(zhí)行步驟D2���,否則,繼續(xù)執(zhí)行步驟D1�;D2、日志發(fā)送模塊將所述的日志信息發(fā)送給日志服務器���。
26.根據權利要求25所述的管理網絡日志信息的方法�����,其特征在于����,所述的步驟D2包括日志信息發(fā)送模塊根據用戶選擇或設置的日志協(xié)議信息對所述的日志信息進行封裝,并將封裝后的日志消息報文發(fā)送給日志服務器���。
全文摘要
本發(fā)明涉及一種管理網絡日志信息的系統(tǒng)及方法����。本發(fā)明主要是在通信網絡中根據網絡的通信特點專門建立用于獲取日志信息的系統(tǒng)���,并提供相應的用于獲取日志信息的方法����,從而使得針對網絡通信過程中用戶上下線日志信息��、用戶訪問日志信息和NAT轉換日志信息均可以根據需要靈活獲取���。本發(fā)明基于專用的日志協(xié)議實現(xiàn),從而提供強大的日志功能��。本發(fā)明可以在用戶進行某種動作時便生成相應的日志信息,比如用戶上線���、下線��、訪問某個網站�����,以及進行NAT轉換等等��,并可以根據預先配置或者動態(tài)下發(fā)的策略靈活獲取需要的日志信息����。
文檔編號H04L12/24GK1825812SQ20051000877
公開日2006年8月30日 申請日期2005年2月25日 優(yōu)先權日2005年2月25日
發(fā)明者金濤 申請人:華為技術有限公司