关键字 日志采集 插件 开发
本文所做的工作是“网络安全管理平台”项目的一部分。
“网络安全管理平台”项目的开发主要考虑到大型企业信息网通常由分布在全国各地的广域网和更多的企业内网组成,配套的安全设备地域分布广泛且品种较多,而目前企业网络安全管理人员和编制通常较为紧缺;对于这样一个规模大且物理位置分散的网络安全系统,手工式的管理效率低、安全风险高,不易实现对网络安全设备的实时监控,很难确保网络安全设备发挥安全防护的作用;同时在安全系统运行过程中,各类安全设备的运行状态和运行日志不能被有效利用,极大降低了安全设备的使用价值。鉴于以上原因,建设一个安全可靠的企业信息网安全防护系统,需要有一套智能化的网络安全管理平台,实现对企业全网装备使用的安全设备实施集中统一的、高度自动化的管理。
2 瑞星防病毒软件概况
瑞星杀毒软件作为国内知名的防病毒应用解决方案提供商,其丰富的产品现满足了各阶层用户的使用需要,本文的插件开发使用的是瑞星杀毒软件网络版(中小企业版本),版本号 18.34.20。
瑞星杀毒软件网络版是一款应用于复杂网络结构的企业级反病毒产品,该产品专门为企业用户量身定做,使企业轻松构建安全的立体防毒体系。该产品主要适用于企业服务器与客户端,支持 WindowsNT/2000/XP、Unix、Linux等多种操作平台,全面满足企业整体反病毒需要。
3 瑞星插件开发流程
3.1 瑞星插件管理器
报警插件用于把病毒日志、漏洞信息、漏洞攻击信息和事件日志定时或实时上报给指定的接收者。通过报警插件配置工具,您可以配置报警插件,为插件设置报警内容。
在 Windows 界面上,选择【开始】 / 【程序】 / 【瑞星杀毒软件】 / 【报警插件配置工具】,即可打开报警插件配置工具界面。如图3.1所示(图中红圈所示为安全管理平台日志报警插件)。
瑞星系统中心的报警中心RavAlert对报警插件进行管理,所有报警插件都存放在的系统中心的%RAVDIR%\plugin目录下(%RAVDIR%表示瑞星安装目录)。每一个报警插件可以配置多个报警方式,例如“消息框报警”插件,可以添加多个报警方式,分别报告给不同的主机。
图3.1瑞星插件管理器
注意:报警插件配置工具只能安装在系统中心所在计算机上,客户端无此工具。
3.2 瑞星报警插件开发
下面详细介绍利用报警插件配置工具提供的病毒日志二次开发接口实现的安全管理平台报警插件的过程。
图3.2 瑞星插件在平台中的位置
安全管理平台日志管理功能需要取得设备日志用于后续审计和分析,安全管理平台日志服务器端驻留监听程序统一接收各类安全设备发送的日志,针对瑞星防病毒网络版设备而言,取得并发送日志是由“安全管理平台日志采集插件”完成的,该插件在整个安全管理平台中的位置如图3.2所示。
病毒报警插件的主要功能是取得本地病毒报警日志并发送到安全管理平台日志采集服务器,同时插件提供必要的配置界面,供用户设定一些必要的变量,如日志采集服务器地址和端口,瑞星本地病毒日志存放位置等等。
病毒报警插件为一个动态链接库dll文件(本文是SMAlertLogPlugin.dll)。要想开发的插件程序能被管理,首先必须实现下面这些接口。
这些接口列表见表3.1所示。
|
通用接口名称 |
接口描述 |
|
GetPlugInInfo
|
该接口用于插件配置工具获取报警插件的名称,并用于判断是否是瑞星病毒报警插件。 |
|
RealTimeAlert |
报警接口,报告发现病毒的详细信息。 |
|
InsertAlert
|
此接口应该显示插件本身的配置界面,并按照报警方式的格式写配置信息。 |
|
ModifyAlert
|
修改一个报警方式, 该接口提供给插件配置工具调用。 |
|
DeleteAlert
|
删除报警方式, 该接口提供给插件配置工具调用。 |
表3.1 瑞星插件通用接口列表