[发明专利]一种网络系统监控分析方法、装置、电子设备及存储介质

权利要求书

1.一种网络系统监控分析方法，其特征在于，所述方法应用于容器化的多个虚拟主机，所述多个虚拟主机安装于宿主机上，所述方法包括：

从所述宿主机上所述多个虚拟主机外获取所述多个虚拟主机的相关信息，所述相关信息包括网络连接信息、文件事件、用户行为、流量和备份文件；

基于所述相关信息，对所述多个虚拟主机进行监控，并对所述多个虚拟主机中发生的事件进行分析。

2.根据权利要求1所述的一种网络系统监控分析方法，其特征在于，所述从所述宿主机上所述多个虚拟主机外监控所述多个虚拟主机的相关信息，包括：

捕获所述宿主机上所有与所述多个虚拟主机相关的用户行为；

轮询所述宿主机上与所述多个虚拟主机相关的网络连接信息；

捕获所述宿主机上与所述多个虚拟主机相关的镜像可读写层文件目录下发生的文件事件。

3.根据权利要求2所述的一种网络系统监控分析方法，其特征在于，所述捕获所述宿主机上所有与所述多个虚拟主机相关的用户行为，包括：

启动用户行为监控程序监控所述宿主机上所有的用户操作；

获取所述用户行为监控程序的输出信息，并对所述用户行为监控程序的输出信息进行解析，获取操作命令记录；

获取所述操作命令记录中的父进程号，并基于所述父进程号，获取所述宿主机中所有操作命令记录关联进程所在的控制组信息；

基于所述控制组信息，将所述操作命令记录与多个所述虚拟主机一一对应并记录。

4.根据权利要求2所述的一种网络系统监控分析方法，其特征在于，所述轮询所述宿主机上与所述多个虚拟主机相关的网络连接信息，包括：

创建网络连接记录表，所述网络连接记录表用于记录所述宿主机中与所述多个虚拟主机相关的网络连接信息；

获取宿主机中与所述多个虚拟主机相关进程的进程号；

基于所述进程的进程号，周期性的获取与所述进程的进程号相关的网络连接信息；

判断所述网络连接信息是否存在于所述网络连接记录表中，

若是，则更新所述网络连接记录表中网络连接信息的起始时间和结束时间；

若否，则将所述网络连接信息添加到所述网络连接记录表中；

解析所述网络连接记录表中每个所述网络连接信息，获取每个所述网络连接信息对应的虚拟主机连接信息，所述虚拟主机连接信息包括虚拟主机IP、起始时间、结束时间、本地IP地址、本地端口、外部IP、外部端口、用户名、进程名、进程可执行文件名和进程的进程号；

基于所述虚拟主机连接信息，对所述网络连接记录表中多个虚拟主机的网络连接信息进行扩充。

5.根据权利要求2所述的一种网络系统监控分析方法，其特征在于，所述捕获所述宿主机上与所述多个虚拟主机相关的镜像可读写层文件目录下发生的文件事件，包括：

创建文件事件监控目录，遍历所述宿主机上的镜像层目录，并将所述镜像层目录添加到所述文件事件监控目录中；

启动文件监控程序监控所述文件事件监控目录中的所有文件产生的文件事件，所述文件事件的类型包括访问事件、打开事件、关闭事件、属性修改事件、创建事件、删除事件和移动事件；

对获取到的文件事件进行解析，获取所述文件事件中文件的文件路径；

并对所述文件事件的类型进行判断；

若所述文件事件的类型为访问事件、打开事件、关闭事件或属性修改事件，则保存所述文件事件及文件路径；

若所述文件事件的类型为创建事件、删除事件或移动事件，则基于所述文件事件更新所述文件事件监控目录，并保存所述文件事件及文件路径；

根据所述文件路径中的镜像层目录名称，与所述多个虚拟主机一一对应。

6.根据权利要求1所述的一种网络系统监控分析方法，其特征在于，所述获取所述多个虚拟主机的备份文件，包括：

从所述宿主机上与所述多个虚拟主机相关的镜像可读写层文件目录中，拷贝所述多个虚拟主机的文件，得到备份文件。