雷池社区版本SYSlog使用教程

雷池会对恶意攻击进行拦截,但是日志都在雷池机器上显示

如何把日志都同步到相关设备进行统一的管理和分析呢?

如需将雷池攻击日志实时同步到第三方服务器, 可使用雷池的 Syslog 外发 功能

启用 Syslog 外发

进入雷池 系统设置 页面, 配置 Syslog 设置 选项即可完成

雷池 Syslog 使用 UDP 协议进行传输, 内存格式遵从 RFC-5424

image.png

效果测试

Syslog 配置完成后,点击 测试 按钮,若 Syslog 服务器收到以下信息,则代表配置成功

<30>1 2024-03-20T20:02:38+08:00 55ae65e87e75 /matio/mario 1 safeline_event - Connectivity test requested.

雷池 Syslog 事件格式说明

{
  "scheme": "http",                 // 请求协议为 HTTP
  "src_ip": "12.123.123.123",       // 源 IP 地址
  "src_port": 53008,                // 源端口号
  "socket_ip": "10.2.71.103",       // Socket IP 地址
  "upstream_addr": "10.2.34.20",    // 上游地址
  "req_start_time": 1712819316749,  // 请求开始时间
  "rsp_start_time": null,           // 响应开始时间
  "req_end_time": 1712819316749,    // 请求结束时间
  "rsp_end_time": null,             // 响应结束时间
  "host": "safeline-ce.chaitin.net",// 主机名
  "method": "GET",                  // 请求方法为 GET
  "query_string": "",               // 查询字符串
  "event_id": "32be0ce3ba6c44be9ed7e1235f9eebab",            // 事件 ID
  "session": "",                    // 会话
  "site_uuid": "35",                // 站点 UUID
  "site_url": "http://safeline-ce.chaitin.net:8083",         // 站点 URL
  "req_detector_name": "1276d0f467e4",                       // 请求检测器名称
  "req_detect_time": 286,           // 请求检测时间
  "req_proxy_name": "16912fe30d8f", // 请求代理名称
  "req_rule_id": "m_rule/9bf31c7ff062936a96d3c8bd1f8f2ff3",  // 请求规则 ID
  "req_location": "urlpath",        // 请求位置为 URL 路径
  "req_payload": "",                // 请求负载为空
  "req_decode_path": "",            // 请求解码路径
  "req_rule_module": "m_rule",      // 请求规则模块为 m_rule
  "req_http_body_is_truncate": 0,   // 请求 HTTP 主体
  "rsp_http_body_is_truncate": 0,   // 响应 HTTP 主体
  "req_skynet_rule_id_list": [      // 请求 Skynet 规则 ID 列表
    65595,
    65595
  ],
  "http_body_is_abandoned": 0,      // HTTP 主体
  "country": "US",                  // 国家
  "province": "",                   // 省份
  "city": "",                       // 城市
  "timestamp": 1712819316,          // 时间戳
  "payload": "",  
  "location": "urlpath",            // 位置为 URL 路径
  "rule_id": "m_rule/9bf31c7ff062936a96d3c8bd1f8f2ff3",     / 规则 ID
  "decode_path": "",                // 解码路径
  "cookie": "sl-session=Z0WLa8mjGGZPki+QHX+HNQ==",          // Cookie
  "user_agent": "PostmanRuntime/7.28.4",                    // 用户代理
  "referer": "",                    // 引用页
  "timestamp_human": "2024-04-11 15:08:36",                 // 时间戳
  "resp_reason_phrase": "",         // 响应
  "module": "m_rule",               // 模块为 m_rule
  "reason": "",                     // 原因
  "proxy_name": "16912fe30d8f",     // 代理名称
  "node": "1276d0f467e4",           // 节点
  "dest_port": 8083,                // 目标端口号
  "dest_ip": "10.2.34.20",          // 目标 IP 地址
  "urlpath": "/webshell.php",       // URL 路径
  "protocol": "http",               // 协议为 HTTP
  "attack_type": "backdoor",        // 攻击类型
  "risk_level": "high",             // 风险级别
  "action": "deny",                 // 动作
  "req_header_raw": "GET /webshell.php HTTP/1.1\r\nHost: safeline-ce.chaitin.net:8083\r\nUser-Agent: PostmanRuntime/7.28.4\r\nAccept: */*\r\nAccept-Encoding: gzip, deflate, br\r\nCache-Control: no-cache\r\nCookie: sl-session=Z0WLa8mjGGZPki+QHX+HNQ==\r\nPostman-Token: 8e67bec1-6e79-458c-8ee5-0498f3f724db\r\nX-Real-Ip: 12.123.123.123\r\nSL-CE-SUID: 35\r\n\r\n",                      // 请求头原始内容
  "body": "",                       // 主体
  "req_block_reason": "web",        // 请求阻止原因
  "req_attack_type": "backdoor",    // 请求攻击类型
  "req_risk_level": "high",         // 请求风险级别
  "req_action": "deny"              // 动作
}

如果没有收到syslog,错误排除思路

1.先确认发送方机器与接受方机器的网络是否联通

2.确认接受方机器对应端口可以接受到UDP的syslog信息

3.确认发送方机器能把syslog信息发出去当前机器的环境

4.多检查防火墙,安全组等相关的网络策略是否有额外的拦截

内容概要:文章详细介绍了电梯门禁(梯控)系统的硬件安装与接线要点。首先强调了梯控板与楼层按键对接的重要性,包括遵循一一对应原则以避免错层、越层问题,允许空层存在以适应实际需求。接着阐述了不同接线方式(COM、NO、NC端口的不同组合)对用户权限的影响,如单层权限用户刷卡直达指定楼层,多层权限用户在特定接线方式下的操作限制。硬件安装方面,强调了无源干触点设计原则以确保电气隔离,防止系统间干扰,以及读卡器接入时的规范要求。文章还介绍了梯控系统的技术原理,如身份验证机制(二维码/IC卡/人脸识别)、消防联动功能(紧急情况下释放所有楼层权限),并指出该系统适用于小区、写字楼等场景,支持机器人乘梯SDK扩展。最后,根据不同场景需求提出了适用的接线方式选择,如严格管控场景下选择4.3接线以实现精准权限控制,限制多层用户手动选层场景下选择4.1接线并配合软件权限设置。; 适合人群:从事电梯安装维护的技术人员、楼宇自动化工程师及相关领域的管理人员。; 使用场景及目标:①指导技术人员正确安装和接线梯控系统,确保系统安全稳定运行;②帮助管理人员了解不同接线方式对用户权限的影响,以便根据实际需求选择合适的配置方案;③提升楼宇安全管理和服务质量,特别是在小区、写字楼等场所的应用。; 其他说明:梯控系统的正确安装和接线不仅关系到系统的正常运作,更直接影响到用户的安全和使用体验。因此,在实际操作中务必严格按照规范执行,同时关注最新的技术发展和应用场景变化,以确保系统始终处于最佳状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值