网站备案 山东核验点,起名网站建设,凡客诚品官方在哪个网店,视频加字幕软件app雷池会对恶意攻击进行拦截#xff0c;但是日志都在雷池机器上显示
如何把日志都同步到相关设备进行统一的管理和分析呢#xff1f;
如需将雷池攻击日志实时同步到第三方服务器, 可使用雷池的 Syslog 外发 功能
启用 Syslog 外发
进入雷池 系统设置 页面, 配置 Syslog 设置…雷池会对恶意攻击进行拦截但是日志都在雷池机器上显示
如何把日志都同步到相关设备进行统一的管理和分析呢
如需将雷池攻击日志实时同步到第三方服务器, 可使用雷池的 Syslog 外发 功能
启用 Syslog 外发
进入雷池 系统设置 页面, 配置 Syslog 设置 选项即可完成 雷池 Syslog 使用 UDP 协议进行传输, 内存格式遵从 RFC-5424 效果测试
Syslog 配置完成后点击 测试 按钮若 Syslog 服务器收到以下信息则代表配置成功
301 2024-03-20T20:02:3808:00 55ae65e87e75 /matio/mario 1 safeline_event - Connectivity test requested.雷池 Syslog 事件格式说明
{scheme: http, // 请求协议为 HTTPsrc_ip: 12.123.123.123, // 源 IP 地址src_port: 53008, // 源端口号socket_ip: 10.2.71.103, // Socket IP 地址upstream_addr: 10.2.34.20, // 上游地址req_start_time: 1712819316749, // 请求开始时间rsp_start_time: null, // 响应开始时间req_end_time: 1712819316749, // 请求结束时间rsp_end_time: null, // 响应结束时间host: safeline-ce.chaitin.net,// 主机名method: GET, // 请求方法为 GETquery_string: , // 查询字符串event_id: 32be0ce3ba6c44be9ed7e1235f9eebab, // 事件 IDsession: , // 会话site_uuid: 35, // 站点 UUIDsite_url: http://safeline-ce.chaitin.net:8083, // 站点 URLreq_detector_name: 1276d0f467e4, // 请求检测器名称req_detect_time: 286, // 请求检测时间req_proxy_name: 16912fe30d8f, // 请求代理名称req_rule_id: m_rule/9bf31c7ff062936a96d3c8bd1f8f2ff3, // 请求规则 IDreq_location: urlpath, // 请求位置为 URL 路径req_payload: , // 请求负载为空req_decode_path: , // 请求解码路径req_rule_module: m_rule, // 请求规则模块为 m_rulereq_http_body_is_truncate: 0, // 请求 HTTP 主体rsp_http_body_is_truncate: 0, // 响应 HTTP 主体req_skynet_rule_id_list: [ // 请求 Skynet 规则 ID 列表65595,65595],http_body_is_abandoned: 0, // HTTP 主体country: US, // 国家province: , // 省份city: , // 城市timestamp: 1712819316, // 时间戳payload: , location: urlpath, // 位置为 URL 路径rule_id: m_rule/9bf31c7ff062936a96d3c8bd1f8f2ff3, / 规则 IDdecode_path: , // 解码路径cookie: sl-sessionZ0WLa8mjGGZPkiQHXHNQ, // Cookieuser_agent: PostmanRuntime/7.28.4, // 用户代理referer: , // 引用页timestamp_human: 2024-04-11 15:08:36, // 时间戳resp_reason_phrase: , // 响应module: m_rule, // 模块为 m_rulereason: , // 原因proxy_name: 16912fe30d8f, // 代理名称node: 1276d0f467e4, // 节点dest_port: 8083, // 目标端口号dest_ip: 10.2.34.20, // 目标 IP 地址urlpath: /webshell.php, // URL 路径protocol: http, // 协议为 HTTPattack_type: backdoor, // 攻击类型risk_level: high, // 风险级别action: deny, // 动作req_header_raw: GET /webshell.php HTTP/1.1\r\nHost: safeline-ce.chaitin.net:8083\r\nUser-Agent: PostmanRuntime/7.28.4\r\nAccept: */*\r\nAccept-Encoding: gzip, deflate, br\r\nCache-Control: no-cache\r\nCookie: sl-sessionZ0WLa8mjGGZPkiQHXHNQ\r\nPostman-Token: 8e67bec1-6e79-458c-8ee5-0498f3f724db\r\nX-Real-Ip: 12.123.123.123\r\nSL-CE-SUID: 35\r\n\r\n, // 请求头原始内容body: , // 主体req_block_reason: web, // 请求阻止原因req_attack_type: backdoor, // 请求攻击类型req_risk_level: high, // 请求风险级别req_action: deny // 动作
}如果没有收到syslog错误排除思路
1.先确认发送方机器与接受方机器的网络是否联通
2.确认接受方机器对应端口可以接受到UDP的syslog信息
3.确认发送方机器能把syslog信息发出去当前机器的环境
4.多检查防火墙安全组等相关的网络策略是否有额外的拦截
