java日志官方文档_日志说明 - OpenRASP 官方文档 - 开源自适应安全产品

最新推荐文章于 2021-12-02 23:39:29 发布
最新推荐文章于 2021-12-02 23:39:29 发布
阅读量301 收藏
点赞数
文章标签: java日志官方文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36319219/article/details/114706032
版权

日志说明

存储路径

OpenRASP 默认会开启文件日志,存储路径如下:

Java 版本: /rasp/logs/alarm/*.log*

PHP 版本: /logs/alarm/*.log

值得注意的是,Java 版本当前的报警没有日期,只有日志滚动之后才会有日期,e.g

/tomcat/rasp/logs/alarm/alarm.log

/tomcat/rasp/logs/alarm/alarm.log.2018-12-04

...

对于 PHP 版本,报警日志总是会带有日期,e.g

/opt/rasp/logs/alarm/alarm.log.2018-12-16

不过,由于 PHP 本身的限制,有些日志还是会打印到 PHP 错误日志里,比如 INI 配置错误。

日志类型

OpenRASP 包含四类日志,

文件名

文件内容

plugin/plugin-DATE.log

检测插件的日志,e.g 插件异常、插件调试输出

rasp/rasp-DATE.log

rasp agent 调试日志

alarm/alarm-DATE.log

攻击报警日志,JSON 格式,一行一个

policy_alarm/policy_alarm-DATE.log

安全基线检查报警日志,JSON 格式,一行一个

日志格式

1. 攻击日志格式

当发生攻击事件时,OpenRASP 将会记录以下信息,

字段

说明

rasp_id

RASP agent id

app_id

应用ID

event_type

日志类型,固定为 attack 字样

event_time

事件发生时间

request_id

当前请求ID

request_method

请求方法

intercept_state

拦截状态

attack_source

攻击来源 IP

target

被攻击目标域名

server_hostname

被攻击的服务器主机名

server_ip

被攻击目标 IP

server_type

应用服务器类型

server_version

应用服务器版本

path

当前URL,不包含参数

url

当前URL,包含完整GET参数

attack_type

攻击类型

attack_params

攻击参数

attack_source

请求来源

client_ip

客户端真实IP地址,请参考 其他配置选项 进行配置

plugin_name

报告攻击插件名称

plugin_confidence

检测结果可靠性,插件返回

plugin_message

检测结果信息

plugin_algorithm

插件检测算法

header

请求header信息

stack_trace

当前调用堆栈

body

当前请求的body,如果有

一个完整的 JSON 日志样例如下:

{

"attack_type": "xss_userinput",

"request_method": "get",

"server_version": "7.0.78.0",

"path": "/vulns/017-xss.jsp",

"event_type": "attack",

"attack_params": {

"name": "input",

"value": ""

},

"server_ip": "127.0.0.1",

"client_ip": "",

"attack_source": "127.0.0.1",

"app_id": "1e46d1ae2cec7966343c1c1455cdb9ea3c356662",

"server_nic": [

{

"name": "eth0",

"ip": "172.24.172.168"

}

],

"intercept_state": "log",

"plugin_confidence": 100,

"plugin_algorithm": "xss_userinput",

"plugin_name": "java_builtin_plugin",

"server_hostname": "devnull",

"url": "http://127.0.0.1:8080/vulns/017-xss.jsp?input=%3cscript%3ealert(1)%3c%2fscript%3e",

"target": "127.0.0.1",

"header": {

"referer": "http://127.0.0.1:8080/vulns/017-xss.jsp",

"accept-language": "en-US,en;q=0.9,fr;q=0.8,zh-CN;q=0.7,zh;q=0.6,zh-TW;q=0.5,hr;q=0.4,ja;q=0.3,pt;q=0.2,la;q=0.1",

"cookie": "JSESSIONID=E51A4982D9E62B1C49F1B522404C6AA7; 89facc616a91c8542b4120d0985ae97c=r7f62uq42ihucmdt4j53kufepj",

"host": "127.0.0.1:8080",

"upgrade-insecure-requests": "1",

"connection": "keep-alive",

"cache-control": "no-cache",

"pragma": "no-cache",

"accept-encoding": "gzip, deflate, br",

"user-agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.1453.93 Safari/537.36",

"accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3"

},

"stack_trace": "org.apache.catalina.connector.OutputBuffer.close(OutputBuffer.java)\norg.apache.catalina.connector.Response.finishResponse(Response.java:537)\norg.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:483)\norg.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1115)\norg.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:637)\norg.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:318)\njava.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)\njava.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)\norg.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)\njava.lang.Thread.run(Thread.java:748)",

"rasp_id": "18619d5f553f0fc31a4e4f0eb96b2564",

"request_id": "3ff7d8cae4d3441e927433a1161be89c",

"source_code": [

"",

"this.outputBuffer.close();",

"",

"this.adapter.service(this.request, this.response);",

"",

"state = this.this$0.handler.process(this.socket, this.status);",

"runnable.run();",

"this.this$0.runWorker(this);",

"this.wrappedRunnable.run();",

"this.target.run();"

],

"event_time": "2019-05-27T14:36:42+0800",

"plugin_message": "Reflected XSS attack detected, parameter name: input",

"server_type": "tomcat"

}

2. 安全基线检查日志

当检测到不符合安全规范的配置时,OpenRASP 将会记录以下信息:

字段

说明

event_type

日志类型,固定为 security_policy 字样

event_time

事件发生时间

server_hostname

服务器主机名

server_nic

服务器IP

server_type

应用服务器类型

server_version

应用服务器版本

policy_id

匹配的策略编号

policy_params

基线报警额外参数,比如 PID

message

不符合规范的配置说明

stack_trace

当前调用堆栈,某些情况可能为空

一个完整的 JSON 日志样例如下:

{

"event_type": "security_policy",

"event_time" : "2017-04-01T08:00:00Z",

"policy_id": "3002",

"server_hostname": "my-bloodly-hostname",

"server_nic": {

{

"name": "eth0",

"ip": "10.10.1.131"

},

{

"name": "eth0",

"ip": "192.168.1.150"

}

},

"server_type": "Tomcat",

"stack_trace": "org.apache.catalina.startup.Catalina.start(Catalina.java)\nsun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)\nsun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:57)\nsun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)\njava.lang.reflect.Method.invoke(Method.java:606)\norg.apache.catalina.startup.Bootstrap.start(Bootstrap.java:294)\norg.apache.catalina.startup.Bootstrap.main(Bootstrap.java:428)\n"

"server_version": "7.0.15",

"message": "Tomcat 不应该以root权限启动",

"policy_params": {

"pid": 1023

}

}

3. 应用行为日志

当你在管理后台 -> 防护设置里,开启 打印「行为日志」,仅用于调试,请勿在线上开启 后,我们会在 plugin.log 里打印应用的行为日志,样例如下:

2021-01-04 10:11:39,627 INFO [http-bio-8080-exec-2][com.baidu.openrasp.plugin.js.log] http://127.0.0.1:8080/vulns/004-command-1.jsp [official] Read file: /usr/local/apache-tomcat-7.0.78/webapps/vulns/004-command-1.jsp

2021-01-04 10:11:40,882 INFO [http-bio-8080-exec-1][com.baidu.openrasp.plugin.js.log] http://127.0.0.1:8080/vulns/004-command-1.jsp [official] Execute command: cp /etc/passwd /tmp/ [ 'java.lang.UNIXProcess.',

'java.lang.ProcessImpl.start',

'java.lang.ProcessBuilder.start',

'java.lang.Runtime.exec',

'java.lang.Runtime.exec',

'java.lang.Runtime.exec',

'org.apache.jsp._004_002dcommand_002d1_jsp._jspService',

'org.apache.jasper.runtime.HttpJspBase.service',

'javax.servlet.http.HttpServlet.service',

'org.apache.jasper.servlet.JspServletWrapper.service',

'org.apache.jasper.servlet.JspServlet.serviceJspFile',

'org.apache.jasper.servlet.JspServlet.service',

'javax.servlet.http.HttpServlet.service',

'org.apache.catalina.core.ApplicationFilterChain.internalDoFilter',

'org.apache.catalina.core.ApplicationFilterChain.doFilter',

'org.apache.tomcat.websocket.server.WsFilter.doFilter',

'org.apache.catalina.core.ApplicationFilterChain.internalDoFilter',

'org.apache.catalina.core.ApplicationFilterChain.doFilter',

'org.apache.catalina.core.StandardWrapperValve.invoke',

'org.apache.catalina.core.StandardContextValve.invoke',

'org.apache.catalina.authenticator.AuthenticatorBase.invoke',

'org.apache.catalina.core.StandardHostValve.invoke',

'org.apache.catalina.valves.ErrorReportValve.invoke',

'org.apache.catalina.valves.AccessLogValve.invoke',

'org.apache.catalina.core.StandardEngineValve.invoke',

'org.apache.catalina.connector.CoyoteAdapter.service',

'org.apache.coyote.http11.AbstractHttp11Processor.process',

'org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process',

'org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run',

'java.util.concurrent.ThreadPoolExecutor.runWorker',

'java.util.concurrent.ThreadPoolExecutor$Worker.run',

'org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run',

'java.lang.Thread.run' ]

Luca.cc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java log日志_java中log日志的使用(完全版)
weixin_32602727的博客
02-12 1944
#org.apache.commons.logging.Log=org.apache.commons.logging.impl.SimpleLogorg.apache.commons.logging.Log=org.apache.commons.logging.impl.Log4JLogger#org.apache.commons.logging.Log=org.apache.commons.lo...
Spark日志分析--json格式、传统格式日志
timicai的博客
11-23 454
目录一、Json文件日志1.1 清洗数据1.2 rdd转dataFrame格式1.3 提取'cm'中信息1.4 提取'event'中信息1.5 按'en'中的类型分类生成表1.6 将生成的表保存到hive库1.7 查看hive中的表二、传统格式日志2.1 数据清洗2.2 拆分url2.3 数据保存到MySQL库 点击下载样例文件 提取码: vjex 一、Json文件日志 使用数据 op.log文件 注:spark-shell界面操作 1.1 清洗数据 数据样例展示:cm ap et id "cm": {"l
日志产品使用系列二:使用日志易 SaaS 版本完成一次 JSON 日志分析
chengdimi5453的博客
09-02 761
日志易为企业提供日志分析部署版服务的同时,也提供了 SaaS 版本供用户做一些简单的日志分析。使用日志易 SaaS 能做什么呢?今天小编就以 JSON 日志分析为例,使用日志易 SaaS 环境,为您展示一下日志日志分析的魅力。 1 SaaS 注册使用日志易 SaaS 第一步,自然是要注册 SaaS 账号。在浏览器打开日志易官网 www.rizhiyi.com,点击顶部菜单栏最右侧的“注册”按钮,...
CCV入门教程(二)
merryken的专栏
05-11 8304
梁登的csdn技术博客 1、CCV中涉及到的dll,库的调用关系 库 Addons目录下 ofxKinectCLNUI :包括了采用微软Kinect的设备(如Xbox NUI Audio, NUI Camera, NUI Motor and Accelerometer等)的稳定的驱动程序、SDK和API。 ofxopenCV:openCV的库。OpenCV是C/C++的一套函数库,基本上
OpenRasp源码分析-java功能
LoopherBear的博客
04-23 1977
OpenRasp源码分析-java功能 最近在做关于后台服务器和web的rasp这块工作,需要在OpenRasp的基础上做一个二次研发,为了能弄清其实现的技术细节,阅读了一下源码。记录的内容主要有以下几个点 RaspIntall.jar的功能 启动执行流程 核心原理 检测规则 其他 整个OpenRasp的基本就是上述几个过程。其中重点关注的是启动执行流程,核心原理,检测规则三个点,下面就一个个的...
flink-streaming-java_2.11-1.13.2-API文档-中文版.zip
06-06
赠送jar包:flink-streaming-java_2.11-1.13.2.jar; 赠送原API文档:flink-streaming-java_2.11-1.13.2-javadoc.jar;...人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
JAVA_ICQ_source_doc.rar_ICQ-IM-Chat_icq_java ICQ_java 文档_设计文档
09-22
JAVA ICQ实现,及设计文档,含服务端及客户端源码
flink-table-api-java-bridge_2.11-1.12.7-API文档-中文版.zip
07-12
赠送jar包:flink-table-api-java-bridge_2.11-1.12.7.jar; 赠送原API文档:flink-table-api-java-bridge_2.11-1.12.7-javadoc.jar; 赠送源代码:flink-table-api-java-bridge_2.11-1.12.7-sources.jar; 赠送...
flink-streaming-java_2.11-1.13.2-API文档-中英对照版.zip
06-05
赠送jar包:flink-streaming-java_2.11-1.13.2.jar; 赠送原API文档:flink-streaming-java_2.11-1.13.2...人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
flink-table-api-java-bridge_2.11-1.13.2-API文档-中文版.zip
06-05
赠送jar包:flink-table-api-java-bridge_2.11-1.13.2.jar; 赠送原API文档:flink-table-api-java-bridge_2.11-1.13.2-javadoc.jar; 赠送源代码:flink-table-api-java-bridge_2.11-1.13.2-sources.jar; 赠送...
java日志使用
越来越好ing的博客
10-03 1万+
 写在前面 log4j需要导入的包 添加配置文件 建立类文件+主函数 修改配置文件,将日志输出到console 设定输出的格式 将日志输出到文本文件 每一小时、每天、每半天生成一个文件 当文本文件为3KB大时新建一个文件 Log4j的日志级别 log4j的配置说明      写在前面 项目开发中,记录错误日志有以下好处: 方便调试 便于发现系统运行过程中的错误 ...
Java日志-总结【这一篇够了】
热门推荐
做Java整整10年,目前是教别人写代码,嘿嘿
12-02 1万+
JDK日志、log4j系列日志、logback系列日志 common-logging日志接口 ???? sl4j日志接口 一、JDK日志java.util.logging=jul) 从jdk1.4起,JDK开始自带一套日志系统。JDK Logger最大的优点就是不需要任何类库的支持,只要有Java的运行环境就可以使用。相对于其他的日志框架,JDK自带的日志可谓是鸡肋,无论易用性,功能还是扩展性都要稍逊一筹,所以在商业系统中很少直接使用。 JDK默认的logging配置文件为
Java的8个Java日志工具
随-记的专栏
06-28 6739
摘要 : 本文要来分享一些Java程序员最常用的Java日志框架组件。 日志工具 log4j – 最受欢迎的Java日志组件 Log4j是一款基于Java开源日志组件,Log4j功能非常强大,我们可以将日志信息输出到控制台、文件、用户界面,也可以输出到操作系统的事件记录器和一些系统常驻进程。更值得一提的是,Log4j可以允许你非常便捷地自定义日志格式和日志等级,可以帮助开发人员全方位地掌控...
java日志框架说明
qq_40765141的博客
03-09 52
日志门面接口 slf4j (simple logging facade for jave) 它的具体实现有java.util.logging, logback, log4j commons logging 它的具体实现由java.util.logging, log4j 使用方法 引入门面接口包 引入具体实现包 配置日志配置文件 调用门面接口api 日志级别 有高到低:error -> warn -> info -> debug -> trace 开发中配置成debug级别,
Java 定义一个日志的时候应该如何定义
HONEY MOOSE
02-25 529
在很多情况下,我们都会使用 SLF4J 来定义日志。 那么如何定义一个 Logger 呢? 相信绝大部分人都会定义为: private static final Logger logger = LoggerFactory.getLogger(BigDecimalDemoUnitTest.class); 但是我们为什么要使用 private static final 来进行修饰呢? ...
Java日志系统
清文的博客
06-02 4390
ava有大量的框架用于日志输出,常见的包括slf4j, log4j, logback, logging等. #一、slf4j slf4j只是一个门面(facet),它不包含具体的实现,而是将一些log4j,java.logging等实现包装成统一的接口。   commons-logging和slf4j都是日志的接口,供用户使用,而没有提供实现!   log4j,log
Java-log4j一直输出Debug级别的日志信息,修改log4j配置文件后依然如此
qq_38084142的博客
08-16 6087
如果在之前启动项目的时候,日志信息打印还正常;因为引入了某个架包之后出现“控制台只能打印Debug级别日志”的错误,就是因为你导入的架包和log4j架包冲突所导致。 解决办法很简单,将引入的架包去除冲突就可以了: <dependency> <!-- 引入的架包信息 --> <exclusions> <exclusion&...
java_ee_sdk-8u1.zip 下载
最新发布
10-02
1. 打开Java官方网站,进入Java Downloads页面。 2. 在Java SE部分,选择Java Platform (JDK)下的Java SE 8u1版本。 3. 点击下载按钮,选择适合您操作系统的版本。下载页面会弹出,默认勾选的选项为Java SE ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值