用於雲環境中的保證的日誌管理的方法和裝置與流程

2023-12-02 21:29:01 1

本公開一般地涉及在「雲」計算環境中部署應用。

背景技術：

新興的信息技術(it)交付(delivery)模型是雲計算，共享的資源、軟體和信息通過雲計算經由網際網路按需要提供到計算機和其他設備。雲計算能夠顯著地減小it成本和複雜度，同時改善工作負荷優化和服務交付。利用該方法，應用實例可以被託管(host)並且使得可從基於網際網路的資源可用，基於網際網路的資源可經由http通過傳統web瀏覽器訪問。示例應用可以是提供諸如電子郵件、日程表、聯繫人管理和即時通訊的消息傳遞功能的公共集合的一個應用。用戶然後將直徑經由網際網路訪問服務。使用該服務，企業將其電子郵件、日程表和/或合作基礎設施放置在雲中，並且終端用戶將使用適當的客戶端來訪問他的或她的電子郵件，或者執行日程表操作。

雲計算資源典型地容納在運行一個或多個網絡應用的大伺服器群中，其典型地使用虛擬架構，其中應用運行映射到數據中心設施中的物理伺服器的內部虛擬伺服器或所謂「虛擬機」(vm)。虛擬機典型地在管理程序頂端運行，管理程序是將物理資源分配給虛擬機的控制程序。

商業企業通常必須提供信息以顯示符合不同的政府規定。這些規定包括例如薩班斯法案(sarbanes-oxley(sox)act)、健康保險可攜性和責任法案(healthinsuranceportabilityandaccountabilityact)等。通常，符合這些和其他規定可以使用由信息技術(it)組織保持的審計日誌中包含的信息來顯示。為了合規性的原因，這些審計日誌通常保持多年。審計日誌用於檢查信息技術控制的實施和效率、可歸責性和易損性、和/或風險分析。信息技術組織也可以使用安全性相關的關鍵活動的審計以輔助法院調查，諸如可能出現的安全性事件。當安全性事件出現時，審計日誌使得能夠分析在安全性事件出現之前出現的活動歷史。這些活動包括誰做什麼、何時、何地以及如何。利用審計日誌的分析，可以採取適當的矯正動作。審計日誌典型地在關係資料庫中可用，以允許通過報告程序或軟體容易查詢以生成運行和趨勢報告。

儘管合規性可以被視為確保用於保證實施安全性策略的能力，但是合規性還可以應用於其他類型的策略，諸如服務水平協議(例如，在審計日誌上使用時間戳以確保滿足總體服務水平協議(sla))、法律的合規性(例如，關於隱私相關信息的控制或發布)、或者甚至策略管理本身(例如，誰改變策略、何時以及如何、以及是否符合合規性策略管理的策略)。

安全性情報和審計能力要求日誌資源的集中收集和管理。儘管用於日誌收集的許多選項可用，但是由於迅速改變的軟體環境，集中管理在虛擬環境中變得更加困難。更重要地，逐日誌的策略的實時應用可能不可能，儘管其對於審計和安全性情報是關鍵的。

在日誌管理的許多領域存在現有技術。基於雲的平臺允許日誌自登記。此外，軟體可用於基於安裝在機器上的應用的日誌自動發現。集中的策略管理解決方案也是可用的。然而，這些選項在虛擬應用區域環境中是不足的，由於日誌收集和處理要求是上下文特定(context-specific)且動態的。

技術實現要素：

根據本公開，提供一種日誌管理機制，用於優選地基於應用上下文和部署拓撲，將日誌自登記與集中的策略集成，以便使得在雲環境中管理日誌。

在一個實施例中，日誌管理服務提供用於部署在雲上的任何應用的自動化日誌管理。定義用於應用的日誌記錄請求的安全性(或者「審計日誌」)簡檔與應用相關聯。在部署期間，部署裝置查詢通常提供於應用上下文和部署拓撲的服務。日誌管理服務參照安全性簡單中針對定義的日誌請求提供的應用上下文和部署拓撲，並且響應於此，確定日誌文件、駐留和壽命請求的可應用集合。日誌管理服務然後識別/指定所需的日誌收集資源和請求，並且指示請求的部署處理(或一些其他實體)根據需要配置一個或多個日誌資源和事件收集器。隨著由日誌資源生成日誌數據，日誌發送到為部署的應用指定的日誌管理服務提供者，並且日誌管理服務提供者處理特定審計請求。

前述已經概述公開的主題的更多相關特徵中的一些。這些特徵應該理解為僅僅是說明性的。通過以不同的方式應用公開的主題或通過修改如將描述的本發明，可以獲得許多其他有益結果。

附圖說明

為了本發明及其優點的更完全理解，參照以下結合附圖進行的描述，附圖中：

圖1描述其中可以實施說明性實施例的示例性方面的分布式數據處理環境的示例性框圖；

圖2是其中可以實施說明性實施例的示例性方面的數據處理系統的示例性框圖；

圖3圖示其中可以實施公開的主題的示例性雲計算架構；

圖4圖示其中基於網絡的裝置可以用於便利一個或多個基於雲的供應的示例性運行環境；

圖5圖示基於網絡的裝置的代表性功能組件；

圖6圖示本公開的安全性保證服務的基本操作組件的框圖；

圖7圖示其中根據本公開提供日誌管理服務的雲運行環境；以及

圖8描述其中可以實施本公開的應用區域日誌管理器的示例性數據中心。

具體實施方式

現在參照附圖並且特別參照圖1和圖2，提供其中可以實施本公開的說明性實施例的數據處理環境的示例圖。應該理解，圖1和圖2僅僅是示例性的而不旨在明示或暗示對於其中可以實施公開的主題的各方面或實施例的環境的任何限制。可以對描繪的環境進行許多修改而不背離本發明的精神和範圍。

客戶端-伺服器技術

現在參照附圖，圖1描述其中可以實施說明性實施例的各方面的示例性分布式數據處理系統的圖形表示。分布式數據處理系統100可以包括其中可以實施說明性實施例的各方面的計算機網絡。分布式數據處理系統100包含至少一個網絡102，其實用於提供在分布式數據處理系統100中連接在一起的各種設備和計算機之間的通信鏈路的介質。網絡102可以包括諸如有線、無線通信鏈路或光線線纜的連接。

在描述的示例中，伺服器104和伺服器106連同存儲單元108連接到網絡102。此外，客戶端110、112和114也連接到網絡102。這些客戶端110、112和114例如可以是個人計算機、網絡計算機等。在描述的示例中，伺服器104提供諸如引導文件、作業系統鏡像和應用的數據給客戶端110、112和114。客戶端110、112和114在描述的示例中是到伺服器104的客戶端。分布式數據處理系統100可以包括沒有示出的額外伺服器、客戶端和其他設備。

在描述的示例中，分布式數據處理系統100是具有網絡102的網際網路，網絡102代表使用傳輸控制協議/網際網路協議(tcp/ip)協議族相互通信的網絡和網關的全球集合。處於網際網路心臟的是由成千上萬的商業、政府、教育和其他計算機系統構成的主節點或主機計算機之間的高速數據通信線路的主幹網，其路由數據和消息。當然，分布式數據處理系統100也可以實施為包括多個不同類型的網絡，諸如例如內聯網、區域網(lan)、廣域網(wan)等。如上所述，圖1旨在作為示例，而不是作為對於公開的主題的不同實施例的架構性限制，並且因此圖1中示出的特定元件不應被視為對於其中可以實施本發明的示例性實施例的環境的限制。

現在參照圖2，示出了其中可以事實說明性實施例的各個方面的示例性數據處理系統的框圖。數據處理系統200是諸如圖1中的客戶端110的計算機的示例，其中可以布置實施用於本公開的說明性實施例的處理的計算機可用代碼或指令。

現在參照圖2，示出了其中可以實施說明性實施例的數據處理系統的框圖。數據處理系統200是諸如圖1中的伺服器104或客戶端110的計算機的示例，其中可以布置用於實施說明性實施例的處理的計算機可用程序代碼或指令。在該說明性示例中，數據處理系統200包括在處理器單元204、存儲器206、持久存儲208、通信單元210、輸入/輸出(i/o)單元212和顯示器214之間提供通信的通信結構。

處理器單元204用於執行用於可以載入存儲器206的軟體的指令。取決於特定實施方式，處理器單元204可以是一個或多個處理器的集合，或者可以是多個處理器核心。此外，處理器單元204可以使用一個或多個不同處理器系統實施，其中在單個晶片上存在具有二級處理器的主處理器。作為另一說明性示例，處理器單元204可以是包含相同類型的多個處理器的對稱多處理器(smp)系統。

存儲器206和持久存儲208是存儲設備的示例。存儲設備是能夠臨時或持久存儲信息的任何一塊硬體。在這些示例中，存儲器206例如可以是隨機存取存儲器或任何合適的易失性或非易失性存儲設備。取決於特定實施方式，持久存儲208可以採取各種形式。例如，持久存儲208可以是硬驅動器、閃速存儲器、可重寫光碟、可重寫磁帶或以上的一些組合。由持久存儲208使用的介質還可以是可移除的。例如，可移除硬驅動器可以用作持久存儲208。

在這些示例中，通信單元210提供與其他數據處理系統或設備的通信。在這些示例中，通信單元210是網絡接口卡。通信單元210可以通過使用物理和無線通信鏈路之一或兩者提供通信。

輸入/輸出單元212允許與可以連接到數據處理系統200的其他設備的數據的輸入和輸出。例如，輸入/輸出單元212可以通過鍵盤和滑鼠提供用於用戶輸入的連接。此外，輸入/輸出單元212可以發送輸出到印表機。顯示器214提供為用戶顯示信息的機制。

用於作業系統和應用的指令或程序位於持久存儲208。這些指令可以載入存儲器206用於通過處理器單元204執行。不同實施例的處理可以由處理器單元204使用計算機實施的指令執行，計算機實施的指令可以位於諸如存儲器206的存儲器中。這些指令被稱為程序代碼、計算機可用程序代碼或者計算機可讀程序代碼，其可以由處理器單元204中的處理器讀取和執行。不同實施例中的程序代碼可以體現在不同物理或有形計算機可讀介質上，諸如存儲器206或持久存儲208。

程序代碼216以功能形式位於可選擇性地移除的計算機可讀介質218上，並且可以加載到或轉移到數據處理系統200，用於由處理器單元204執行。程序代碼216和計算機可讀介質218形成這些示例中的電腦程式產品220。在一個示例中，計算機可讀介質218可以為有形形式，諸如例如插入或放置到作為持久存儲208一部分的驅動器或其他設備的光碟或磁碟，用於轉移到諸如作為持久存儲208的一部分的硬驅動器的存儲設備上。以有形形式，計算機可讀介質218還可以採取持久存儲的形式，諸如連接到數據處理系統200的硬驅動器、指狀存儲器或閃速存儲器。計算機可讀介質218的有形形式還可以稱為計算機可記錄存儲介質。在一些實例中，計算機可讀介質218可能不可移除。

可替代地，程序代碼216可以通過到通信單元210的通信鏈路和/或通過到輸入/輸出單元212的連接，從計算機可讀介質218轉移到數據處理系統200。通信鏈路和/或連接在說明性示例中可以是物理的或無線的。計算機可讀介質還可以採取無形介質的形式，諸如包含程序代碼的通信鏈路或無線傳輸。為數據處理系統200圖示的不同組件不旨在提供對於其中可以實施不同實施例的方式的架構性限制。在包括除了為數據處理系統200圖示的那些組件外或替代那些組件的組件的數據處理系統中，可以實施不同的說明性實施例。圖2中示出的其他組件可以從示出的說明性示例變化。作為一個示例，數據處理系統200中的存儲設備是可以存儲數據的任何硬體裝置。存儲器206、持久存儲208和計算機可讀介質218是有形形式的存儲設備的示例。

在另一示例中，總線系統可以用於實施通信結構202，並且可以包括一個或多個總線，諸如系統總線或輸入/輸出總線。當然，總線系統可以使用提供附接到總線系統的不同組件或設備之間的數據轉移的任何適當類型的架構來實施。此外，通信單元可以包括用於傳輸和接收數據一個或多個設備，諸如數據機或網絡適配器。此外，存儲器可以是例如存儲器206或者高速緩存，諸如在通信結構202中可能存在的接口和存儲器控制器集線器中發現。

用於執行本發明的操作的電腦程式代碼可以以一個或多個程式語言的任何組合，包括諸如javatm、smalltalk、c++、c#、objective-c、等等面向對象的程式語言，以及傳統的程序程式語言。程序代碼可以整體地在用戶的計算機上、部分地在用戶的計算機上、作為獨立軟體包、部分地在用戶的計算機上並且部分地在遠程計算機上、或者整體地在遠程計算機或伺服器上執行。在後一場景中，遠程計算機可以通過任何類型網絡(包括區域網(lan)或廣域網(wan))連接到用戶的計算機，或者可以進行到外部計算機的連接(例如，使用網際網路服務提供商通過網際網路)。

本領域的技術人員將理解圖1-2中的硬體可以依賴於實施方式變化。除了圖1-2中描繪的硬體或者替代圖1-2中描繪的硬體，可以使用其他內部硬體或外部硬體，諸如閃速存儲器、等價的非易失性存儲器、或者光碟驅動器等。此外，除了之前提及的smp系統外，說明性實施例的處理可以應用於多處理器數據處理系統，而不背離公開的主題的精神和內容。

如將所見的，在此描述的技術可以與諸如圖1中圖示的標準客戶端-伺服器範例結合操作，其中客戶端機器與在一個或多個機器的集合上執行的網際網路可訪問的基於web的門戶通信。終端用戶操作能夠訪問和與門戶接口的可連接網際網路的設備(例如，桌面型計算機、筆記本計算機、啟用網際網路的行動裝置等)。典型地，每個客戶端或伺服器機器是包括硬體和軟體的諸如圖2中圖示的數據處理系統，並且這些實體在諸如網際網路、內聯網、外聯網、私有網絡或任何其他通信介質或鏈路的網絡上相互通信。數據處理系統典型地包括一個或多個處理器、作業系統、一個或多個應用、以及一個或多個設施。數據處理系統上的應用提供用於web服務的本地支持，其中包括對於http、soap、xml、wsdl、uddi和wsfl的支持。關於soap、wsdl、uddi和wsfl的信息可從負責開發和維護這些標準的全球資訊網聯盟(w3c)獲取；關於http和xml的進一步信息可從網際網路工程任務組(ietf)獲取。假定對於這些標準是熟悉的。

雲計算模型

雲計算是用於實現對於可配置的計算資源(例如，網絡、網絡寬帶、伺服器、處理、存儲器、存儲、應用、虛擬機和服務)池的便利的、按需網絡訪問的服務傳送模型，可以利用最小的管理精力或與服務提供者的交互迅速地供應和釋放可配置的計算資源池。該雲模型可以包括至少五個特徵、至少三個服務模型、以及至少四個部署模型，所有如由petermell和timgrance在2009年10月7日在「雲計算的草案nist工作定義」中更具體地描述和定義。

具體地，以下是典型的特徵：

按需自助式服務：雲的消費者在無需與服務提供者進行人為交互的情況下能夠單方面自動地按需部署諸如伺服器時間和網絡存儲等的計算能力。

廣泛的網絡接入：計算能力可以通過標準機制在網絡上獲取，這種標準機制促進了通過不同種類的瘦客戶機平臺或厚客戶機平臺(例如行動電話、膝上型電腦、個人數字助理pda)對雲的使用。

資源池：提供者的計算資源被歸入資源池並通過多租戶(multi-tenant)模式服務於多重消費者，其中按需將不同的實體資源和虛擬資源動態地分配和再分配。一般情況下，消費者不能控制或甚至並不知曉所提供的資源的確切位置，但可以在較高抽象程度上指定位置(例如國家、州或數據中心)，因此具有位置無關性。

迅速彈性：能夠迅速、有彈性地(有時是自動地)部署計算能力，以實現快速擴展，並且能迅速釋放來快速縮小。在消費者看來，用於部署的可用計算能力往往顯得是無限的，並能在任意時候都能獲取任意數量的計算能力。

可測量的服務：雲系統通過利用適於服務類型(例如存儲、處理、帶寬和活躍用戶帳號)的某種抽象程度的計量能力，自動地控制和優化資源效用。可以監測、控制和報告資源使用情況，為服務提供者和消費者雙方提供透明度。

服務模型通常如下：

軟體即服務(saas)：向消費者提供的能力是使用提供者在雲基礎架構上運行的應用。可以通過諸如網絡瀏覽器的瘦客戶機接口(例如基於網絡的電子郵件)從各種客戶機設備訪問應用。除了有限的特定於用戶的應用配置設置外，消費者既不管理也不控制包括網絡、伺服器、作業系統、存儲、乃至單個應用能力等的底層雲基礎架構。

平臺即服務(paas)：向消費者提供的能力是在雲基礎架構上部署消費者創建或獲得的應用，這些應用利用提供者支持的程序設計語言和工具創建。消費者既不管理也不控制包括網絡、伺服器、作業系統或存儲的底層雲基礎架構，但對其部署的應用具有控制權，對應用託管環境配置可能也具有控制權。

基礎架構即服務(iaas)：向消費者提供的能力是消費者能夠在其中部署並運行包括作業系統和應用的任意軟體的處理、存儲、網絡和其他基礎計算資源。消費者既不管理也不控制底層的雲基礎架構，但是對作業系統、存儲和其部署的應用具有控制權，對選擇的網絡組件(例如主機防火牆)可能具有有限的控制權。

部署模型通常如下：

私有云：雲基礎架構單獨為某個組織運行。雲基礎架構可以由該組織或第三方管理並且可以存在於該組織內部或外部。

共同體云：雲基礎架構被若干組織共享並支持有共同利害關係(例如任務使命、安全要求、政策和合規考慮)的特定共同體。共同體雲可以由共同體內的多個組織或第三方管理並且可以存在於該共同體內部或外部。

公共云：雲基礎架構向公眾或大型產業群提供並由出售雲服務的組織擁有。

混合云：雲基礎架構由兩個或更多部署模型的雲(私有雲、共同體雲或公共雲)組成，這些雲依然是獨特的實體，但是通過使數據和應用能夠移植的標準化技術或私有技術(例如用於雲之間的負載平衡的雲突發流量分擔技術)綁定在一起。

雲計算環境是面向服務的，特點集中在無狀態性、低耦合性、模塊性和語意的互操作性。雲計算的核心是包含互連節點網絡的基礎架構。

代表性的雲計算模型如上圖2所示。具體地，在雲計算節點中，存在計算機系統/伺服器，其可與多種其他通用或專用計算系統環境或配置運行。可以適於與計算機系統/伺服器使用的公知的計算系統、環境和/或配置的示例包括但不限於個人計算機系統、伺服器計算機系統、瘦客戶端、厚客戶端、手持或膝上型設備、多處理器系統、基於微處理器的系統、機頂盒、可編程消費電子產品、網絡pc、迷你計算機系統、主機計算機系統以及包括上面的系統或設備的任何的分布式雲計算環境等。

計算機系統/伺服器可以在由計算機系統執行的計算機系統可執行指令(諸如程序模塊)的一般語境下描述。通常，程序模塊可以包括執行特定的任務或者實現特定的抽象數據類型的例程、程序、目標程序、組件、邏輯、數據結構等。計算機系統/伺服器可以在通過通信網絡連結的遠程處理設備執行任務的分布式雲計算環境中實施。在分布式雲計算環境中，程序模塊可以位於包括存儲設備的本地或遠程計算系統存儲介質上。

現在參照圖3，作為額外背景，示出了由雲計算環境提供的功能抽象層的集合。應該預先理解的是圖3中示出的組件、層和配置僅僅旨在是說明性的，並且本發明的實施例不限於此。如所描述的，提供以下層和相應的功能：

硬體和軟體層300包括硬體和軟體組件。硬體組件的例子包括：主機，例如系統；基於risc(精簡指令集計算機)體系結構的伺服器，例如ibm系統；ibm系統；ibm系統；存儲設備；網絡和網絡組件。軟體組件的例子包括：網絡應用伺服器軟體，例如ibm應用伺服器軟體；資料庫軟體，例如ibm資料庫軟體。(ibm,zseries,pseries,xseries,bladecenter,websphere以及db2是國際商業機器公司在全世界各地的註冊商標)。

虛擬層302提供一個抽象層，該層可以提供下列虛擬實體的例子：虛擬伺服器、虛擬存儲、虛擬網絡(包括虛擬私有網絡)、虛擬應用和作業系統，以及虛擬客戶端。

在一個示例中，管理層304可以提供下述功能：資源供應功能：提供用於在雲計算環境中執行任務的計算資源和其它資源的動態獲取；計量和定價功能：在雲計算環境內對資源的使用進行成本跟蹤，並為此提供帳單和發票。在一個例子中，該資源可以包括應用軟體許可。安全功能：為雲的消費者和任務提供身份認證，為數據和其它資源提供保護。用戶門戶功能：為消費者和系統管理員提供對雲計算環境的訪問。服務水平管理功能：提供雲計算資源的分配和管理，以滿足必需的服務水平。服務水平協議(sla)計劃和履行功能：為根據sla預測的對雲計算資源未來需求提供預先安排和供應。

工作負載層306提供雲計算環境可能實現的功能的示例。在該層中，可提供的工作負載或功能的示例包括：地圖繪製與導航；軟體開發及生命周期管理；虛擬教室的教學提供；數據分析處理；交易處理；以及其他(如私有雲中的企業特定功能)。

應該預先理解儘管本公開包括關於雲計算的詳細描述，但是在此敘述的教導的實施方式不是對於雲計算環境的限制。而是本發明的實施例能夠結合現在已知或隨後開發的任何其他類型的計算環境來實施。

因此，代表性雲計算環境具有高級功能組件的集合，包括前端標識管理器、商業支持服務(bss)功能組件、操作支持服務(oss)服務組件以及計算雲組件。標識管理器負責與請求的客戶端接口以提供標識管理，並且該組件可以用一個或多個已知系統(諸如可從紐約阿蒙克市的ibm公司獲取的tivoli聯合標識管理器)實施。在適當的情況下，tfim可以用於提供聯合單點登陸(f-sso)給其他雲組件。商業支持服務組件提供特定管理功能，諸如帳單支持。操作支持服務組件用於提供其他雲組件(諸如虛擬機(vm)實例)的提供和管理。雲組件代表主要的計算資源，其通常是用於運行可經由雲用於訪問的目標應用的多個虛擬機實力。一個或多個資料庫用於存儲目錄、日誌和其他工作數據。所有這些組件(包括前端標識管理器)位於雲「內部」，但是這不是要求。在替代性實施例中，標識管理器可以在雲外部運行。服務提供者也可以在雲外部運行。

一些雲基於非傳統ip網絡。因此，例如雲可以基於具有使用mac地址的散列的特定單層ip路由的基於兩級clos網絡。在此描述的技術可以在這樣的非傳統雲中使用。

雲部署技術

已知提供基於裝置的解決方案以便利作為服務供應的基礎設施和平臺兩者的迅速採用和部署。如上所述，一個這樣的裝置是ibm工作負荷部署器(iwd)，並且該裝置還可以用於管理共享的、多租戶環境，其中隔離和安全性是最重要的。物理裝置(在此有時也稱為盒子)的安全屬性通常由自停用開關提供，如果移除裝置外殼則觸發自停用開關。該物理安全性使得裝置用作證書的安全庫，其可以在整個生命周期(在存儲、分發、在雲中運行或者從雲移除)中捆綁到虛擬鏡像。ibm工作負荷部署器還包含存儲驅動器，其使鏡像定製的存儲合理化。它還用作用於預加載和定製的中間件虛擬鏡像和模式的專用存儲。該裝置還包括先進的壓縮和存儲技術，其實現大量這些虛擬鏡像(每個可能是相當大的)存儲。

在運行中，裝置可能提供標準的和定製的中間件虛擬鏡像和模式，其能夠被安全地在私有或內部雲計算環境中部署和管理。這些虛擬鏡像可以幫助容易地和快速地開發、測試和部署商業應用，因此終結通常與創建這些複雜環境相關聯的手動的、重複的和易錯的處理。在完成時，資源自動返回到共享的資源池用於未來使用，並且記錄日誌用於內部退費目的。裝置還管理各個用戶和分組對於資源的訪問，為it管理員提供以精細粒度水平優化效率所需的控制。

典型地，裝置包括硬體和軟體加密支持以加密硬碟上的所有數據。該數據包括但不限於時間日誌數據。沒有用戶(包括管理用戶)可以訪問物理盤上的任何數據。特別地，作業系統(例如，linux)封閉根帳戶並且不提供命令殼，並且用戶沒有文件系統訪問權。當管理員執行裝置的備份時，加密備份鏡像以保護數據的機密性。當恢復加密的鏡像時，因此需要解密密鑰來解密備份鏡像，以使得數據恢復到裝置。

參照圖4，代表性操作環境包括物理裝置400，其與雲402接口。裝置可以使用諸如參照圖2的上述數據處理系統實施。優選地，裝置400包括基於web2.0的用戶界面(ui)、命令行界面(cli)、以及基於rest的應用編程界面(api)。裝置提供實現基於雲的解決方案的迅速部署的管理功能。為此，裝置提供存儲用於(i)用於管理用戶和組對於資源的訪問的數據404、(ii)用於預加載和/或可定製中間件虛擬鏡像406、以及(iii)用於可配置模式和腳本包408。模式是包括特定解決方案的物理和虛擬資產兩者的邏輯描述。如下面將更詳細描述的，模式優選地根據tosca規範構成。管理功能和界面提供用於構造的基於模板的方法，其允許本來複雜的硬體和軟體組件的集合的迅速創建和修改。特別地，模式的使用允許組織一次構造個別元素或集成的解決方案，然後按需分發最終產品。典型地，存在兩個類型的模式：虛擬系統模式提供兩個類型的最靈活性和定製化選項。其包含作業系統以及潛在的額外軟體解決方案，諸如應用伺服器。典型地為了支持單一工作負荷的目的優化和構造虛擬應用模式。

還如圖4所見，其上運行中間件應用的內部或私有雲環境402典型地構成分配到裝置的管理程序、網絡基礎設施和存儲設備。代表性環境可以以上述參照圖3的方式實施。

圖5圖示裝置如何能夠用於建造定製自由雲。在步驟1，識別用於雲的硬體、管理程序和網絡。在步驟2，用戶選擇和定製虛擬鏡像。在步驟3，用戶根據需要添加一個或多個腳本包以定製部署的中間件環境。在步驟4，預安裝或定製的模式用於描述要部署的中間件拓撲。例如，可以使用拖放界面從虛擬鏡像建造模式。在步驟5，將虛擬系統部署到雲。

在此參照ibm工作負荷部署器是示例性的，並且不應被採用來限制公開的技術，其可以在具有已經描述的通用特徵和操作功能的任何裝置(或者，更一般地，機器)上實施。對於iwd的具體參照應該理解為包括上述產品以及實施上面參照的功能性的其他技術。

基於上下文的安全性保證服務

作為對於本公開的進一步背景，以下部分描述「基於上下文的安全性保證服務」或「安全性保證服務」(或者僅僅簡稱為「服務」)，其中優選地實施本公開的日誌管理技術。

不作為限制，安全性保證服務可以在如已經描述的雲部署平臺系統或裝置(圖4)內或結合雲部署平臺系統或裝置實施，或者使用任何類型的部署系統、產品、設備、程序或處理實施。可以利用其實施安全性保證服務的代表性雲應用平臺包括但不限於純應用系統(pureapplicationsystem)，其是專門涉及並且協調用於運行應用的平臺系統，並且支持使用模式用於到其雲環境的簡易部署。參照該商業系統不旨在是限制性的，由於安全性保證服務可以與任何雲基礎設施協作。

安全性保證服務可以實施為管理解決方案、服務、產品、裝置、設備、處理、程序、運行線程等。典型地，結合在諸如問題數據的一個或多個數據源中存儲的數據，以軟體實施技術，作為在硬體處理元件中運行的一個或多個電腦程式。描述的一些或所有處理步驟可以結合其他系統自動和自主運行。自動性可以是完全或部分的，並且運行(整體或部分)可以是同步或異步的、基於需求的、或者其他。

以下是安全性保證服務的高級描述。通常，服務運行通常用於收集(或者另外從其他數據源獲取)關於可用的雲平臺、拓撲和性能的信息。服務還識別可用於設置的安全性性能。這些安全性性能包括但不限於虛擬周長網絡(dmz)、網絡分離、存儲隔離、入侵防禦系統(ips)部署、安全性信息和事件管理(siem)部署、反向代理、防火牆、ssl通信、利用現有siem的配置、多因素認證、基於風險的認證等等。優選地，服務將可用性能簡化(或者抽象)為易於理解的用於環境的現有拓撲的安全性保證類別。作為非限制和代表性實力，一個這樣的類別可以包括「高/中/低」風格累表，其中認為「中」保證可以對應於ssl保護的通信量、ips和siem集成，但沒有多因素認證的資源分離和隔離。

優選地，保證服務將類別公開給用戶(在應用部署期間)作為「模板」。模板具有與其相關聯的一個或多個安全性配置改變的給定集合。用戶(典型地為應用開發者)然後選擇他或她希望服務對於應用配置/提供的一個或多個這樣的安全性模板。服務可以在這方面為用戶提供推薦。基於用戶選擇，服務然後解釋請求的一個或多個安全性保證模板，並且作為響應，生成一個或多個安全性配置改變(典型地為對於現有安全性基礎設施的安全性設置的改變/更新)的具體列表。可選地，服務還生成對於用於應用的性能的安全性管理員的注釋。在應用部署期間，服務應用安全性改變，優選地遠程地使用到現有(配置的)安全性產品的基於rest(或等價的)接口，並且根據需要滿足模板，其還部署新的安全性軟體實例(由於可應用並且如果許可可用)。服務區還可以優選地使用現有雲設施並且根據應用的需要，提供硬體和網絡環境。以此方式，安全性保證服務為正在部署的應用創建特定上下文的安全雲應用區域。當安全性配置更新完成時，收回應用部署平臺；平臺然後完成部署，並且激活新部署的並且安全的應用。

如所描述，保證服務優選地以基於上下文的方式運行，考慮其中要部署應用的「上下文」。代表性「上下文」信息包括而不限於目標平臺的屬性、其中預期運行的工作負荷的環境的屬性、對於工作負荷的任何合規性或其他規範要求的屬性等。因此，例如如果在亞馬遜雲(其是公開的)上部署工作負荷時，服務將考慮公共雲要求，諸如用於所有通信量的ssl通信，即使這樣的要求在私有雲中不必強制執行。作為另一示例，如果在測試或開發環境中運行工作負荷，那麼服務可以僅提供關於數據的最小控制，由於應用(在此上下文中)將不處理實際(實時)顧客數據。作為另一示例，如果工作負荷需要是pci兼容的，那麼服務可以僅在特定網絡上提供它，而不允許(或者阻止)工作負荷移動到不安全的網絡或vlan。這些僅僅是代表性示例。通過安全性保證服務直接收集安全性上下文信息，或者使得這樣的信息從具有該信息(或者具有對該信息的訪問權)的其他連接的數據源可用於安全性保證服務。

圖6圖示雲安全性保證服務600的代表性實施例的基本組件。如所述的，該方法提供用於管理由應用部署影響的所有安全性資源(或者安全性資源中的限定資源)的集中或聯合服務。這些資源可以是完全各種各樣的，並且包括反向代理、http伺服器、授權更新、新標識的添加、vpn的提供、利用siem解決方案的日誌集成、對於開放埠的防火牆配置等。優選地，服務調用遠程接口(例如，基於rest的接口)以更新用於安全性資源的配置。哪些安全性資源要更新以及如何更新的確定依賴於基於模板的方法。特別地，服務600提供一個或多個安全性保證模板603(或者僅僅「模板」)，其優選地基於並且從由服務發現(或者另外對於服務可用的)可用資源或配置信息得到。在替代中，基於從其他安全性基礎設施實施方式(或者知識基礎)得到的信息，安全性模板可以是預定的或者相對「靜態」。優選地，並且如在此使用的，保證模板602是提供易於理解的安全性類別或簡檔以及其相關聯的安全性級別(諸如「高/中/低內部網絡安全性」以及「高/中/低防火牆安全性」)的服務內的模塊。服務600還包括保證配置代理604，其優選地基於系統配置和可用資源的上下文，識別選擇模板的安全性目標，並且運行以將模板的選擇轉換為詳細的配置步驟。下面更詳細地描述該轉換操作。

如所描述的，安全性保證服務還優選地包括(或者與其相關聯)上下文監視器606，其分類並且跟蹤雲拓撲和性能。此外，服務包括(或者與其相關聯)安全性管理界面608，其是用於添加或移除安全性模塊以提供管理的安全性資源的手動配置、和/或推翻(在允許的情況下)由終端用戶選擇的安全性模板的配置點。安全性保證服務還包括雲安全性處理工作流610，其是調用適當的(例如，基於rest的)界面以應用改變到如由配置代理604指示的潛在安全性基礎設施(安全性資源)的模塊。保證模式模塊612是特定雲服務，其協調應用部署並且提供安全性保證服務600。典型地，保證模式模塊612包括一些其他雲應用平臺的組件，儘管這不是要求。保證模式模塊612基於正在部署的應用查詢用於可用保證模塊602的保證服務。

在圖6中，在左上的應用所有者/管理員代表應用部署者：這些是優選地僅需要具有對於易於理解的安全性保證級別標誌符(通過類別/安全性級別)具有訪問權的個體。在左下的雲團隊或者其他管理員代表可能要求關於用於提供這些安全性保證級別的安全性資源的潛在安全性設置的更多特定信息的個體。

這些上述組件典型地每個實施為軟體，即作為在一個或多個硬體處理器中運行的電腦程式指令的集合。各組件示出為區別的，但是不是要求，由於各組件還可以整體或部分相互集成。一個或多個組件可以在專用位置運行，或者相互遠離運行。一個或多個組件可以具有一起運行來提供功能性的子組件。不要求安全性保證服務的特定功能由如上命名的特定組件運行，由於在此的功能性(或者其任何方面)可以在其他組件或系統中實施。

安全性保證服務可以由運行用於私有雲、公開雲或混合雲的基礎設施的雲服務提供者實施。在一個特定實施方式場景中，企業具有由雲應用平臺管理的相關聯私有雲(在雲服務內實施)。該平臺然後可以增大以與本公開的安全性保證服務交互操作(或者實際包括本公開的安全性保證服務)。更一般地，安全性保證服務可以以獨立方式由企業實施。其可用做由雲服務或者一些其他服務提供者提供的受管理的服務。

服務通過使終端用戶提供服務然後使用(在解釋應用要求和可用資源之後)的安全性級別(例如，「高網絡安全性」)的一般指定來運行，以生成用於應用的安全性優化的部署。典型地，應用被部署到現有環境中，並且安全性保證服務運行來定義和/或裁剪對於(應用將部署到的)現有環境所要求的安全性配置改變。對於應用的安全性優化部署在此有時稱為安全的基於上下文的「雲應用區域」，或者簡稱為「安全應用區域」。

如在此使用的「安全性級別」有時稱為「安全性保證級別」。如上注意到的，如與可能另外對於所謂安全性專家已知或可用的更精細粒度特異度相比，這些級別公開為易於理解或者「粗糙」粒度描述符(「高」或「低」)。術語「粗糙」或「精細」是相對短語，但是安全性保證級別的「粗糙」指定的概念是僅僅提供可用於用戶的基本信息的一個概念，用戶可能沒有另外知曉或能夠確定(或者關心)特定「粗糙」安全性保證級別下的具體安全性要求。在此情況下用戶僅知曉他或她(對於特定類別)希望的安全性保證級別是「高」或「低」或者一些其他分類(然而描述的)是足夠的。因此，術語「高」(參照特定粗糙安全性保證級別)在替代方案中可以由數值、一些其他標識符或標誌數據指定。

在代表性實施例中，服務顯示、提供或與可能根據類型分類的安全性模板的集合交互操作。這些模板由圖6中示出的保證模板模塊提供。因此，例如服務可以顯示具有以下類別的安全性模板：「內部網絡安全性」、「應用安全性」、「數據安全性」和「入侵者保護」。這些僅僅是代表性的。然後可以根據定義的安全性級別(諸如「高」或「低」)識別特定模板類別。服務可以僅提供「低」或「高」模板，或者其可以提供進一步的級別(例如，低、中和高、或者進一步更具體的級別等)。部署的特定企業應用因此可以具有與其相關聯的一個或多個這種安全性模板，每個定義類別和指定安全性級別。因此，例如，部署的特定應用可以具有以下規範：內部網絡安全(低)、應用安全性(高)、數據安全性(高)和入侵者保護(高)。基於web的或其他配置接口可以用於指定要與部署的特定應用相關聯的一個或多個安全性模板。該接口可以與傳統工作負荷部署工具(諸如工作負荷部署器虛擬應用建立器(workloaddeployervirtualapplicationbuilder))相關聯。在替代方案中，自動地或編程地定義類別和安全性級別，或者使得這樣的信息可從由另一源發布的這種數據的庫獲得。

如在此使用的，「模板」或「安全性模板」指簡檔或安全性設置的集合，該簡檔或安全性設置的集合預期為給定安全性資源或對於給定安全性資源提供特定級別的安全性，該安全性資源可能是系統、設備、裝置、程序、處理或安全性基礎設施中的其他計算實體。優選地，每個安全性模板具有與其相關聯的一個或多個安全性配置(安全性資源設置)，其實施該類別(並且以指定的級別)。優選地，通過安全性保證配置代理組件(參見圖6)識別這些安全性配置，其採用選擇的模板的安全性目標(作為輸入)，並且基於系統配置和(如由上下文監視器提供的)可用資源的上下文將該選擇轉換為詳細的配置步驟(或者改變)。

因此，例如如果應用類別是「內部網絡安全性」並且安全級別是所謂「低」，那麼代理確定實施該模板所需的詳細安全性步驟可能包括：(i)基於應用端點創建前端代理伺服器與後端web應用伺服器之間的「接合(junction)」、(ii)對於該接合使用基礎認證，並且對於單點登錄(sso)配置應用伺服器中的信任關聯攔截器(tai)、以及(iii)實現限制防火牆，並且對於應用端點開放埠。作為另一示例，如果應用類別是「應用安全性」並且安全性級別是所謂「高」，那麼實施該模板所需的詳細安全性步驟可能包括：(i)針對端點運行安全性分析工具(例如，appscan)，並且如果識別任何關鍵易損性則停止開發、(ii)指示雲應用平臺提供vpn以在雲中作為應用主機、(iii)對於由應用定義的授權角色配置訪問管理員策略、以及(iv)在應用專用的雲中創建額外的基於軟體的dmz。作為另一示例，如果應用類別是「數據安全性」，並且安全性級別是所謂「低」，那麼實施該模板所需的詳細安全性步驟可能包括：(i)更新應用伺服器以到資料庫的ssl連接等。作為另一示例，如果應用類別是「入侵者保護」，並且安全性級別是所謂「高」，那麼實施該模板所需的詳細安全性步驟可能包括：(i)配置安全性情報平臺(例如，qradar)日誌資源、(ii)更新用於應用的siem過濾器、以及(iii)更新用於應用的ips規則。當然，存在僅僅是安全性配置改變的代表性(非限制)示例。由安全性保證服務實施的特定改變將依賴於實施方式和可用的資源(產品、系統、配置等)。

因此，當雲提供者部署應用(或者發起部署)時，將一個或多個選擇的(或者另外定義或規定的)安全性模板通知安全性保證服務。優選地，雲提供者還發送應用的保證服務細節。安全性保證服務採用選擇的模板作為引導，並且代理組件然後裁剪詳細的安全性配置改變，該安全性配置改變是現有環境支持已經指定的選擇的安全性限制以及可用資源的上下文(如由上下文監視器確定)內的應用所需的。如果希望，則可以將這些安全性配置改變呈現給安全性管理員用於在實施之前驗證。在驗證時(如果實施可選操作)，那麼安全性保證服務優先調用遠程接口用於軟體配置。此外，如果需要，則服務與雲提供者通信以獲得關於當配置應用時可能需要解決的任何先決條件的信息。這些先決條件可能包括例如vpn的創建、或者對於提供者獨特的其他安全性要求。

安全性保證服務還提供雲應用指定其安全性要求的能力、評估那些要求的能力(例如，針對特定的雲部署環境)、以及使得應用能夠控制安全性保證服務以便如果環境不具有必須的拓撲以及部署的安全性資源、則在雲中提供額外安全性技術以支持應用的部署(或者在任何位置的重新部署)的能力。

安全性保證服務一般地操作來部署用於在雲環境中運行的應用的安全性環境(「安全應用區域」)。在安全性保證服務部署用於特定應用的安全區域之後，應用可以通過傳遞(例如，在應用有效載荷中)其安全性權利來查詢服務。如果由安全性保證服務提供的安全性性能足夠或者好於應用的安全性權利，則應用正常運行。然而，如果由安全性保證服務建立的安全性環境對於應用不足，則為應用提供一個或多個補救選項，例如管理員通知、關閉(臨時自失能)和管理員通知、發出請求到安全性保證服務以更新安全性環境、發出請求到服務以將應用轉移到不同的雲安全性保證區域或者到具有更大範圍的安全性性能的雲平臺、發出請求到服務以轉移到不同雲區域或雲平臺(例如，以便避免主機衝突等)等等。具體的補救選項可以變化，並且選項可以是確定性嘗試或者在以一些另外的可配置方式。具體地，安全性保證服務然後嘗試實施補救選項。在選項完成時(例如，更新安全性環境、轉移到新的環境等)，應用可以再次查詢安全性保證服務，並且可以重複處理。

不旨在作為限定，應用安全性權利可以使用安全性權利模塊以及配置工具提供，配置工具將各種配置界面和選項呈現給管理員或其他允許的用戶。

用於雲環境中保證的日誌管理的應用自服務

以前述作為背景，現在描述本公開的日誌管理技術。在優選實施例中，結合其中實施安全性保證服務(例如，圖6)的雲環境(例如，圖3)並且結合應用部署技術和系統(例如，圖5和圖6)，執行日誌管理。然而，以此方式的實施不是限制，由於下面描述的技術可以在沒有併入描述的特定安全性保證和部署服務的其他雲環境中實施。日誌管理服務還可以整體地或部分地作為獨立解決方案實施。

基本的運行假設是存在這樣的雲環境，其中正部署和管理雲應用並且其中這樣的應用具有不同的日誌記錄要求。應用可以具有一個或多個日誌資源，即收集和報告日誌數據的組件(典型地運行在雲中)。日誌數據或日誌記錄資源的特定屬性不是本公開的限制。相反，在此的技術適於便利對於部署在雲上的任何應用的自動化日誌管理，而不論潛在的利用的日誌資源或者應用的特定日誌記錄要求。解決方案還設想可以存在一個或多個日誌管理服務提供者，其中日誌管理服務提供者可以是接收、存儲、管理和提供日誌數據的一個或多個計算實體(可能由第三方運行)。日誌管理服務提供者因此可以運行和管理網絡可訪問的並且可以從其查看、搜索或分析收集的日誌數據的一個或多個日誌伺服器。該類型的日誌管理系統是已知的。

以前述作為背景，現在描述本公開的日誌管理方法的優選實施例。優選地，技術在應用區域日誌管理器(azlm)中實施，azlm通常可以實施為一個或多個計算機器(例如，硬體和軟體)。因此，如圖7所描述的，雲環境700包括或與應用區域日誌管理器702相關聯，應用區域日誌管理器702實施根據本公開的日誌管理。該命名不旨在作為限制。如所描述的，並且僅為了描述的目的，azlm702包括兩個主要組件：日誌保證註冊704和安全性配置代理706。azlm的基本操作是便利用於在雲上部署的任何應用的自動化日誌管理。azlm自身典型地不收集、存儲或輸出自身的日誌數據；而是組件運行為用於現有日誌系統的管理基礎設施(或層、或框架)以及在雲自身上或結合雲可用的組件。例如，典型地位於內部的事件收集器708收集提供給一個或多個日誌管理服務提供者710的日誌。如上注意到的，日誌管理服務提供者710典型地運行一個或多個日誌記錄系統，其可以包括網絡可訪問的日誌伺服器、資料庫、接口等。

也如所描述的，應用開發者701與雲700接口，雲700主要使用上述部署技術(圖4到圖5)部署應用。安全性和合規性官員703對於部署在雲區域(諸如安全性保證區域(圖6))的工作負荷指定日誌管理標準。優選地，指定日誌管理標準作為一個或多個安全性簡檔714。在此有時稱為「日誌審計」簡檔的安全性簡檔714包括信息的集合，信息諸如但不限於事件類型(系統、應用、一些其他用戶定義的類型)、合規性標籤、日誌數據存儲/類型、數據保留數據、以及數據混淆值。安全性簡檔的特定結構和格式可以變化；更一般地，用於特定部署的應用的特定安全性(日誌審計)簡檔可以從用於任何其他部署的應用的簡檔變化。如所注意的，特定安全性簡檔可以由安全性管理員、由根據一個或多個azlm提供的模板默認、或者通過任何其他手段定義。

一般地，並且如上注意到的，應用區域日誌管理器(azlm)702為部署在雲700上的任何應用提供自動化日誌管理。現在按照圖7，現在提供用於保證的日誌管理的系統的優選操作。操作的特定順序不旨在作為限制。

為了描述的目的，處理在步驟(1)開始，其中安全性和合規性官員703為官員負責的一個或多個雲應用定義安全性(日誌審計)簡檔714。儘管在人類操作者具有給定責任的上下文中描述該步驟，但是這不是限制，如上注意到的，可以由機器以自動化或程序化方式或者基於系統中已經預先配置或提供的一個或多個默認安全性簡單，指定作為安全性簡檔。如所描述的，安全性簡檔714指定信息，諸如(不是限制)系統或應用的類型、數據保留/混淆要求、日誌數據類型和頻率、審計和合規性要求、以及其他這種信息。同樣如上所描述的，包括給定安全性簡檔714的信息的屬性和格式典型地跨越環境中部署的各雲應用變化。此外，給定安全性簡檔可以例如響應於條件或其他事件自動地改變或更新。

在步驟(2)，應用開發者701使用一個或多個部署技術、平臺或系統(諸如上面結合圖4和圖5描述的)部署應用、虛擬鏡像或虛擬系統。優選地，並且連同該部署，開發者701為正部署的應用選擇可應用的安全性(日誌審計)簡檔714。為此目的可以使得一個或多個安全性簡檔的選擇對於開發者可用。不作為限制，用於指定安全性簡檔的一種方法是在部署期間給工作負荷附加一個或多個唯一的標籤(標識應用以及其相關聯的安全性簡檔)。在替代實施例中，正部署的特定類型的應用具有自然定義(如分配的相反)的默認安全性簡檔。正部署的應用可以具有與其相關聯的多於一個安全性簡檔714。儘管在人類操作者具有給定責任的上下文中描述該步驟(2)，但是這不是限制，可以由機器以自動化或程序化方式或者基於系統中已經預先配置或提供的一個或多個默認安全性簡單，指定作為安全性簡檔。

在步驟(3)，azlm中的日誌保證註冊704提供應用及其安全性簡檔可以通過其註冊或者更一般地與azlm「相關聯」的機制，以及其他計算實體可以通過其查詢(例如，標識日誌管理服務提供者710的哪個負責給定安全性簡檔)的機制(例如，使用一個或多個標籤)。註冊704可以實施為跨越其上運行一個或多個處理或程序的一個或多個計算機器的服務。在一個實施例中，日誌保證註冊704由一個或多個日誌管理伺服器實施。

步驟(4)描述雲平臺700查詢這些日誌管理伺服器，例如發現負責特定給定安全性簡檔的日誌管理伺服器提供者710。步驟(4)可以異步地、周期性地或者在給定條件或事件時執行。

步驟(5)描述添加日誌源到特定安全性簡檔的雲環境700中的應用或其他元件。步驟(5)可以異步地、周期性地或者在給定條件或事件時執行。因此，如上所注意到的，描述的步驟的集合中步驟(4)和(5)的相對位置應該不以任何方式作為限制。這些操作可以在任何時間出現。

azlm中的安全性配置代理706具有若干責任。該元件可以實施為跨越其上運行一個或多個處理或程序的一個或多個計算機器的服務。優選地，安全性配置代理支持顯示一個或多個功能/操作的應用程式界面(api)。通常，代理組件706轉發日誌註冊請求到適當的日誌管理伺服器提用著。這描述為步驟(6a)，並且其可以通過調用添加日誌源api功能實現。步驟(6b)描述安全性配置代理706的另一主要功能，即配置雲環境700中的一個或多個日誌源或資源，以實施已經關聯到正在雲上部署的應用的安全性簡檔714。該請求的配置保證日誌源或與其相關聯的應用將日誌轉發到一個或多個事件收集器708。因此，步驟(7a)代表日誌數據的實際收集。在步驟(7b)，日誌管理服務提供者710根據指定的安全性策略714從應用(並且，具體地從與其相關聯的事件收集器708)收集日誌。

在步驟(8)，日誌管理服務提供者710為一個或多個安全性事件創建基準集712。這是傳統的日誌處理功能。在步驟(9)，例如經由界面將基準集712輸出到應用開發者701。可以以任何方式(例如，物理報告、顯示器上的數據、作為一個或多個web頁面、消息、通知、警報等)提供信息。可以查看、搜索、分子或另外處理數據(例如，為了審計或其他合規性目的)。

如果應用資源或安全性策略改變，那麼通知應用區域日誌管理器702。這在步驟(10)描述。響應於此，安全性配置代理706可以適當地更新設置以提供日誌保證。

儘管日誌保證註冊704和安全性配置代理706示出為分離的元件，但是這不是要求。這些操作可以組合。此外，如上注意到的，這些機制可以實施為計算機的集合，其中該計算機的集合操作地連接到一個或多個存儲或者存儲器設備，使得該計算機的集合可以執行分別與執行描述的操作的程序指令集合相關聯的操作。

如本領域技術人員將理解的，azlm運行為集中日誌管理系統/服務。優選地，一個或多個日誌管理服務提供者710提供他們自己的日誌伺服器用於日誌數據的實際收集和存儲。在操作中，雲平臺700以傳統方式提供新的應用和鏡像。在部署期間，部署裝置、系統或平臺(例如，圖4到圖5)可以查詢集中日誌管理服務(azlm)。這樣的查詢典型地提供應用上下文以及部署拓撲。azlm(典型地，安全性配置代理706)參照針對定義的日誌要求(例如，iso要求、管理員指定的設置等)提供的應用上下文以及部署拓撲，以確定日誌文件、駐留和壽命要求的可應用集合。azlm(典型地，安全性配置代理706)然後識別/指定所需的日誌收集請求，並且指示請求的部署處理根據需要配置一個或多個日誌資源和事件收集器。隨著由日誌資源生成日誌數據，日誌發送到為部署的應用指定的日誌管理服務提供者(以及其日誌伺服器)，並且日誌管理服務提供者中的日誌服務例如基於日誌上下文處理審計請求。

在此的主題提供顯著的優點。其實現例如基於應用上下文以及部署拓撲的日誌請求的動態識別。當部署應用或鏡像時，優選地部署系統與日誌保證註冊握手以識別部署的雲應用所需的可應用日誌。安全性配置代理配置請求的日誌記錄元件。收集日誌並且自動發送到與一個或多個日誌管理服務提供者相關聯的一個或多個日誌記錄伺服器。優選地，日誌管理服務提供者與識別的日誌請求相關聯。基於標籤或安全性簡檔，azlm識別由應用使用的雲資源，並且根據需要指示日誌管理服務提供者以便利基準集的創建。該方法實現了新的日誌登記伺服器的簡單和有效部署，以便在沒有發現匹配的日誌登記伺服器的情況下處理用於任何新部署的應用的日誌請求。該方法實現基於應用側或策略側改變的日誌記錄連接的有效的重新配置。該方法還實現基於應用側或策略側改變的日誌記錄伺服器的有效的重新配置。

當然，上面的示例場景和變體不應被用來限制公開的主題。為了完整性，圖8圖示一種典型的it基礎設施，其支持資源的虛擬化並且其中可以實施本公開的應用區域日誌管理器(azlm)。為了說明的目的，提供共享的(公開的)資源的it數據中心是「提供者」，並且使用這些共享的資源以主持、存儲和管理其數據和應用(以所有形式)的顧客或公司是「訂戶」(或者「顧客」或「租戶」)。在圖8中，圖示了示例虛擬機主機環境(替代地在此稱為數據中心或「雲」)。該環境包括典型地經由管理程序管理vlan806連接到物理數據中心網絡804的主機(hv)802(例如，伺服器或類似的物理機計算設備)。儘管沒有明確描述，但是該環境典型地還包括負載平衡器、網絡數據交換機(例如，架頂交換機)、防火牆等。如圖8所示，物理伺服器802每個適於使用虛擬技術動態地提供一個或多個虛擬機(vm)808。這樣的技術例如從或其他商業上可用。伺服器虛擬化是本領域公知的技術。如所描述的，多個vm可以置於單個主機中並且共享主機的cpu、存儲器和其他資源，從而提升組織的數據中心的利用。在該環境中，租戶應用810在網絡裝置812中主持，並且租戶數據存在數據存儲和資料庫814中。應用和數據存儲典型地經由網絡管理/存儲vlan816連接到物理數據中心網絡804。虛擬機、應用和租戶數據共同地代表訂戶可訪問的虛擬資源管理域805。通過該域，訂戶的僱員可以訪問和管理(使用各種基於角色的特權)已經由提供者分配並且由物理it基礎設施支持的虛擬資源。基礎設施的底部圖示提供者可訪問的管理域815。該域包括提供者僱員管理入口818、bss/oss管理功能820、各種標識和訪問管理功能822、安全性策略伺服器824以及管理功能826，以便管理伺服器鏡像828。這些功能經由管理vlan830接口到物理數據中心網絡。提供者的僱員具有專門特權(並且可能具有特定客戶端/網絡)，他們從其具有對於操作和商業支持服務(oss/bss)的訪問權，他們使用oss/bss以管理it數據中心基礎設施(例如，硬體和軟體安裝、配置、監督、技術支持、帳單等)。

通常，雲計算基礎設施為虛擬機提供包括經由網絡連接的主機(例如，伺服器或類似物理機計算設備)以及一個或多個管理伺服器的主機環境。典型地，物理伺服器每個適於使用虛擬技術(諸如vmwareesx/esxi)動態地提供一個或多個虛擬機。多個vm可以被置於單個的主機中，並且共享主機的cpu、存儲器和其他資源，從而提升組織的數據中心的利用。在其他任務中，管理伺服器監督基礎設施，並且根據需要例如通過在主機之間移動虛擬機自動操縱vm放置。

在非限制性實施方式中，代表性平臺技術是(不是限制)利用vmwarevsphere4.1update1和5.0的ibmsystem伺服器。

如所述的，在此的方法可以整體或部分地手動或者以自動化方式實施。

儘管已經描述優選的運行環境和使用情況(雲裝置或平臺)，但是在此的技術可以在任何其他運行環境中使用，其中希望部署應用或其他服務同時實施給定的安全性上下文。

如已經描述的，上述功能可以實施為獨立的方法，例如由一個或多個處理器執行的一個或多個基於軟體的功能，或者其可用作管理的服務(包括經由soap/xml界面的web服務)。在此描述的特定硬體和軟體實施方式細節僅僅是為了說明的目的，而不旨在限制描述的主題的範圍。

更一般地，公開的主題的上下文中的計算設備每個是包括硬體和軟體的數據處理系統(諸如如圖2所示)，並且這些實體通過諸如網際網路、內聯網、外聯網、私有網絡或任何其他通信介質或鏈路，相互通信。數據處理系統上的應用提供對於web和其他已知服務和協議的原生支持，包括但不限於對於http、ftp、smtp、soap、xml、wsdl和wsfl等的支持。關於soap、wsdl、uddi和wsfl的信息可從負責開發和維護這些標準的全球資訊網聯盟(w3c)獲取；關於http和xml的進一步信息可從網際網路工程任務組(ietf)獲取。

除了基於雲的環境，在此描述的技術可以以各種伺服器側架構或結合各種伺服器側架構實施，各種伺服器側架構包括簡單的n層架構、web入口、聯合系統等。

更一般地，在此描述的主題可以採取整體硬體實施例、整體軟體實施例或包含硬體和軟體元件兩者的形式。在優選實施例中，安全性保證服務(或者其任何組件)以軟體實施，其包括但不限於固件、駐留軟體、微代碼等。此外，下載和刪除界面和功能可以採用可從計算機可用或計算機可讀介質訪問的電腦程式產品的形式，計算機可用或計算機可讀介質提供由計算機或任何指令執行系統或結合計算機或任何指令執行系統使用的程序代碼。為了該描述的目的，計算機可用或計算機可讀介質可以是任何裝置，其可以包含或存儲用於由指令執行系統、裝置或設備或者結合指令執行系統、裝置或設備使用的程序。介質可以是電的、磁的、光學的、電磁的、紅外或者半導體系統(或者裝置或者設備)。計算機可讀介質的示例包括半導體或固態存儲器、磁帶、可移除計算機盤、隨機存取存儲器(ram)、只讀存儲器(rom)、硬磁碟或光碟。光碟的當前示例包括緻密盤-只讀存儲器(cd-rom)、緻密盤-讀/寫(cd-r/w)和dvd。計算機可讀介質是有形的、非臨時物品。

電腦程式產品可以是具有用於實施一個或多個描述的功能的程序指令(或者程序代碼)的產品。那些指令或代碼可以在通過網絡從遠程數據處理系統下載之後，存儲在數據處理系統的計算機可讀存儲介質中。或者，那些指令或代碼可以存儲在伺服器數據處理系統的計算機可讀存儲介質中，並且適於通過網絡下載到遠程數據處理系統用於在遠程系統的計算機可讀存儲介質中使用。

在代表性實施例中，在專用計算平臺中(優選地在由一個或多個處理器運行的軟體中)實施技術。該軟體保持在與一個或多個處理器相關聯的一個或多個數據存儲或存儲器中，並且軟體可以實施為一個或多個電腦程式。該專用硬體和軟體共同地包括上述功能。

在如上所述的優選實施例中，在此提供的功能實施為對於現有雲計算部署解決方案的附屬或擴展。

儘管上面描述了由本發明的特定實施例執行的操作的特定順序，但是應該理解這樣的順序是示例性的，由於替代實施例可以以不同順序執行操作，組合特定操作、重疊特定操作等。說明書對於給定實施例的參照指示描述的實施例可以包括特定特徵、結構、或特性，但是每個實施例不必包括該特定特徵、結構、或特性。

最後，儘管已經分別描述了系統的給定組件，但是本領域的技術人員將理解在給定指令、程序序列、代碼部分等中可以組合或共享一些功能。

在此的技術提供對於另一技術或技術領域(即，管理雲部署的計算實體)的改進，以及對於雲應用以及其他相關日誌記錄設施和系統的功能的改進。

如注意到的，日誌數據的屬性以及數據用於什麼(例如，審計、合規性等)不是本公開的限制。

已經描述了本發明，並且要求保護權利要求的內容。