SIEM 系统集成
无论是自研的,开源的还是商业SIEM产品,OpenRASP 都可以无缝集成。
文件日志
默认情况下,我们会打印 JSON 格式的报警日志、基线日志。你可以通过部署主机agent,来采集日志。目前开源的日志采集工具有 Logstash
, Flume
, Filebeat
等等。如果你想要使用这种方案,请参考 Logstash 章节进行配置,其他软件大同小异。
Syslog TCP 方式
由于单条报警日志大小超过了1KB,所以我们只支持以 Syslog TCP 方式,直接将日志发送到指定的服务器。若要采用这种方式采集日志,请参考 Splunk 章节进行配置。
值得注意的是,在PHP版本里,syslog 是阻塞发送的。如果因为网络问题,导致syslog远程服务器不可用,发生攻击时会阻塞当前请求。
管理后台推送
当管理后台收到报警日志,我们可以立即将日志推送到指定的 HTTP/HTTPS 地址,直接在界面上配置即可。为了方便你测试,我们还支持推送测试报警。