• SIEM 系统集成
    • 文件日志
    • Syslog TCP 方式
    • 管理后台推送

    SIEM 系统集成

    无论是自研的,开源的还是商业SIEM产品,OpenRASP 都可以无缝集成。

    文件日志

    默认情况下,我们会打印 JSON 格式的报警日志、基线日志。你可以通过部署主机agent,来采集日志。目前开源的日志采集工具有 Logstash, Flume, Filebeat 等等。如果你想要使用这种方案,请参考 Logstash 章节进行配置,其他软件大同小异。

    Syslog TCP 方式

    由于单条报警日志大小超过了1KB,所以我们只支持以 Syslog TCP 方式,直接将日志发送到指定的服务器。若要采用这种方式采集日志,请参考 Splunk 章节进行配置。

    值得注意的是,在PHP版本里,syslog 是阻塞发送的。如果因为网络问题,导致syslog远程服务器不可用,发生攻击时会阻塞当前请求。

    管理后台推送

    当管理后台收到报警日志,我们可以立即将日志推送到指定的 HTTP/HTTPS 地址,直接在界面上配置即可。为了方便你测试,我们还支持推送测试报警。