IAST 扫描器高级配置选项

启动参数

指定其他配置文件

在配置阶段,可以使用 -o 参数将配置文件生成到其他路径,e.g

  1. openrasp-iast config -o /path/to/config.yaml -a X -b Y -c Z -m mysql://xxx

在启动阶段,可以使用 -c 加载你指定的配置文件,e.g

  1. openrasp-iast start -f -c /path/to/config.yaml

若启动阶段没有指定配置文件,openrasp-iast 会从如下几个路径寻找,找不到无法启动:

  • ~/openrasp-iast/config.yaml
  • /etc/openrasp/config.yaml
  • ./config.yaml

配置文件

目前支持的配置内容如下,修改后需要重启 openrasp-iast 进程生效:

预处理模块

参数名说明默认值
preprocessor.http_port与rasp agent通信的http服务监听端口25931
preprocessor.process_numhttp服务进程数2
preprocessor.request_lru_size每个http服务进程的每个扫描目标对应一个LRU,用于存储32byte hash,总大小: 进程数 扫描目标数 lru_size1000
preprocessor.api_pathrasp agent发送数据的目标 url的path/openrasp-result
preprocessor.max_buffer_sizehttp服务器接受请求的缓冲区大小, 单位Bytes104857600
preprocessor.plugin_name使用的去重插件名default

监控模块

参数名说明默认值
monitor.schedule_interval扫描速率自动调整策略执行间隔(s)1.000
monitor.max_cpucpu使用率上限,超过限制会降低并发扫描速率98
monitor.min_cpucpu使用率上限下限,低于该值会增加并发扫描速率85
monitor.console_portweb管理后台使用的端口18664

扫描模块

参数名说明默认值
scanner.max_concurrent_request单个扫描任务最大扫描并发线程数20
scanner.min_request_interval每个扫描线程最小扫描请求间隔(ms)0
scanner.max_request_interval每个线程最大扫描请求间隔(ms)1000
scanner.request_timeout扫描请求超时时间(s)5
scanner.retry_times扫描请求失败重试次数3
scanner.max_module_instance最大并发扫描任务数量16

云控配置

参数名说明默认值
cloud_api.enable是否上传结果到云控True
cloud_api.backend_url云控地址http://127.0.0.1
cloud_api.app_secret云控的secret_key
cloud_api.app_id云控的app_id

CPU核心绑定

参数名说明默认值
affinity.enable是否以绑定CPU核心的方式运行False
affinity.core_num绑定的核心数量1

日志配置

参数名说明默认值
log.level日志级别,可选: DEBUG INFO WARNING ERRORINFO
log.pathlog文件路径, 为空时使用 /home/user/openrasp-iast/log
log.rotate_size单个日志文件触发rotate的日志大小,单位MB5
log.rotate_numrotate文件最多保存份数,不包括当前日志文件2

数据库配置

参数名说明默认值
database.hostmysql数据库地址localhost
database.portmysql端口3306
database.username用户名root
database.password连接密码
database.db_name数据库名openrasp