首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

一种基于eBPF的Linux内核事件日志采集方法及系统 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

申请/专利权人:浙江工业大学

摘要:本发明属于网络安全和操作系统领域,公开了一种基于eBPF的Linux内核事件日志采集方法及系统,方法包括解析用户输入的命令行,获得事件类型、输出格式和输出位置;采集器初始化;当挂载点触发时,解析钩子函数捕获的数据,并对解析后的数据进行过滤,将过滤后的数据进行结构转换,并在结构转换后进行编码压缩,将编码压缩后的数据存储至二级缓冲区,当环形缓冲区的空闲长度不小于编码压缩后的数据量时,将二级缓冲区中编码压缩后的数据同步至环形缓冲区中;处理线程获取环形缓冲区中的新增数据,将新增数据根据输出格式进行转换,并按照输出位置将转换后的数据输出。本发明对内核事件进行监控、跟踪和可观测性,具有较强的灵活性。

主权项:1.一种基于eBPF的Linux内核事件日志采集方法,其特征在于,所述基于eBPF的Linux内核事件日志采集方法,包括:步骤1、解析用户输入的命令行,获得事件类型、输出格式和输出位置;步骤2、采集器初始化,包括:步骤2-1、根据事件类型以及预加载的挂载点配置文件中用户选择进行跟踪的事件确定挂载点,对eBPF程序进行编译、验证和转换得到机器指令集,并将所述机器指令集作为钩子函数挂载到所确定的挂载点上;步骤2-2、加载过滤配置文件和事件结构配置文件,根据所述过滤配置文件对采集器进行数据过滤规则配置,根据所述事件结构配置文件对事件信息的结构进行配置;步骤2-3、初始化环形缓冲区,所述环形缓冲区位于内核中;步骤2-4、初始化二级缓冲区,所述二级缓冲区位于内核中;步骤2-5、创建处理线程,所述处理线程被配置为监听环形缓冲区中的数据变化并进行转换输出;步骤3、采集器进行数据采集:当挂载点触发时,解析钩子函数捕获的数据,并根据配置的数据过滤规则对解析后的数据进行过滤,将过滤后的数据按照配置的事件信息的结构进行结构转换,并在结构转换后进行编码压缩,将编码压缩后的数据存储至所述二级缓冲区,所述二级缓冲区根据编码压缩后的数据量定时动态调整大小,当环形缓冲区的空闲长度不小于编码压缩后的数据量时,将二级缓冲区中编码压缩后的数据同步至环形缓冲区中;步骤4、采集器进行数据输出:所述处理线程获取所述环形缓冲区中的新增数据,将新增数据根据所述输出格式进行转换,并按照所述输出位置将转换后的数据输出。

全文数据:

权利要求:

百度查询: 浙江工业大学 一种基于eBPF的Linux内核事件日志采集方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。