[建议] 关于攻击日志传递及本地日志分端口存放 - Githubissues

chaitin / SafeLine

serve as a reverse proxy to protect your web services from attacks and exploits.

https://waf.chaitin.com

GNU General Public License v3.0

13.28k stars 817 forks source link

[建议] 关于攻击日志传递及本地日志分端口存放 #243

Closed Aoocodee closed 1 year ago

Aoocodee commented 1 year ago

背景与遇到的问题

在真实业务系统，会有多种安全设备，他们彼此孤立，不能实现联动
开启非攻击日志后，所有端口日志均存放于safeline/log/access.log，如过添加防护站点太多，日志将显得非常杂乱

建议的解决方案

建议增加对攻击日志的外传功能，比如：webhook或者能支持自定义插件方式，自实现其功能。
建议增加的防护站点的日志，以 “access_域名_端口.log”方式，分开存放。

D0n9 commented 1 year ago

可以用 logstash 在 filter 判断 host 打 tag ，output 到不同 index

yrluke commented 1 year ago

师傅可以参考https://waf-ce.chaitin.cn/docs/faq/other#%E5%A6%82%E4%BD%95%E5%B0%86%E9%9B%B7%E6%B1%A0%E7%9A%84%E6%97%A5%E5%BF%97%E5%AF%BC%E5%87%BA%E5%88%B0-xxx