雷池社区版本SYSlog使用教程

雷池会对恶意攻击进行拦截，但是日志都在雷池机器上显示

如何把日志都同步到相关设备进行统一的管理和分析呢？

如需将雷池攻击日志实时同步到第三方服务器, 可使用雷池的 Syslog 外发 功能

启用 Syslog 外发

进入雷池 系统设置 页面, 配置 Syslog 设置 选项即可完成

雷池 Syslog 使用 UDP 协议进行传输, 内存格式遵从 RFC-5424

效果测试

Syslog 配置完成后，点击 测试 按钮，若 Syslog 服务器收到以下信息，则代表配置成功

<30>1 2024-03-20T20:02:38+08:00 55ae65e87e75 /matio/mario 1 safeline_event - Connectivity test requested.

雷池 Syslog 事件格式说明

{"scheme": "http",                 // 请求协议为 HTTP"src_ip": "12.123.123.123",       // 源 IP 地址"src_port": 53008,                // 源端口号"socket_ip": "10.2.71.103",       // Socket IP 地址"upstream_addr": "10.2.34.20",    // 上游地址"req_start_time": 1712819316749,  // 请求开始时间"rsp_start_time": null,           // 响应开始时间"req_end_time": 1712819316749,    // 请求结束时间"rsp_end_time": null,             // 响应结束时间"host": "safeline-ce.chaitin.net",// 主机名"method": "GET",                  // 请求方法为 GET"query_string": "",               // 查询字符串"event_id": "32be0ce3ba6c44be9ed7e1235f9eebab",            // 事件 ID"session": "",                    // 会话"site_uuid": "35",                // 站点 UUID"site_url": "http://safeline-ce.chaitin.net:8083",         // 站点 URL"req_detector_name": "1276d0f467e4",                       // 请求检测器名称"req_detect_time": 286,           // 请求检测时间"req_proxy_name": "16912fe30d8f", // 请求代理名称"req_rule_id": "m_rule/9bf31c7ff062936a96d3c8bd1f8f2ff3",  // 请求规则 ID"req_location": "urlpath",        // 请求位置为 URL 路径"req_payload": "",                // 请求负载为空"req_decode_path": "",            // 请求解码路径"req_rule_module": "m_rule",      // 请求规则模块为 m_rule"req_http_body_is_truncate": 0,   // 请求 HTTP 主体"rsp_http_body_is_truncate": 0,   // 响应 HTTP 主体"req_skynet_rule_id_list": [      // 请求 Skynet 规则 ID 列表65595,65595],"http_body_is_abandoned": 0,      // HTTP 主体"country": "US",                  // 国家"province": "",                   // 省份"city": "",                       // 城市"timestamp": 1712819316,          // 时间戳"payload": "",  "location": "urlpath",            // 位置为 URL 路径"rule_id": "m_rule/9bf31c7ff062936a96d3c8bd1f8f2ff3",     / 规则 ID"decode_path": "",                // 解码路径"cookie": "sl-session=Z0WLa8mjGGZPki+QHX+HNQ==",          // Cookie"user_agent": "PostmanRuntime/7.28.4",                    // 用户代理"referer": "",                    // 引用页"timestamp_human": "2024-04-11 15:08:36",                 // 时间戳"resp_reason_phrase": "",         // 响应"module": "m_rule",               // 模块为 m_rule"reason": "",                     // 原因"proxy_name": "16912fe30d8f",     // 代理名称"node": "1276d0f467e4",           // 节点"dest_port": 8083,                // 目标端口号"dest_ip": "10.2.34.20",          // 目标 IP 地址"urlpath": "/webshell.php",       // URL 路径"protocol": "http",               // 协议为 HTTP"attack_type": "backdoor",        // 攻击类型"risk_level": "high",             // 风险级别"action": "deny",                 // 动作"req_header_raw": "GET /webshell.php HTTP/1.1\r\nHost: safeline-ce.chaitin.net:8083\r\nUser-Agent: PostmanRuntime/7.28.4\r\nAccept: */*\r\nAccept-Encoding: gzip, deflate, br\r\nCache-Control: no-cache\r\nCookie: sl-session=Z0WLa8mjGGZPki+QHX+HNQ==\r\nPostman-Token: 8e67bec1-6e79-458c-8ee5-0498f3f724db\r\nX-Real-Ip: 12.123.123.123\r\nSL-CE-SUID: 35\r\n\r\n",                      // 请求头原始内容"body": "",                       // 主体"req_block_reason": "web",        // 请求阻止原因"req_attack_type": "backdoor",    // 请求攻击类型"req_risk_level": "high",         // 请求风险级别"req_action": "deny"              // 动作
}

如果没有收到syslog，错误排除思路

1.先确认发送方机器与接受方机器的网络是否联通

2.确认接受方机器对应端口可以接受到UDP的syslog信息

3.确认发送方机器能把syslog信息发出去当前机器的环境

4.多检查防火墙，安全组等相关的网络策略是否有额外的拦截