Java 版本特殊选项

OpenRASP 使用修改过的 log4j (版本 1.2.17) 作为日志输出框架,

  • 将默认包名 org.apache.log4j 更改为 com.baidu.openrasp.log4j
  • 将默认配置关键字 log4j.configuration 更改为 log4j.rasp.configuration
  • 增加 Syslog TCP Appender,支持按照TCP方式传输报警日志

本文提到的配置,与log4j 官方配置文档并无不同,用户也可参考官方文档进行配置

具体配置文件为 <app_home>/rasp/conf/rasp-log4j.xml,OpenRASP 在启动时会检查这个文件是否存在,若不存在则生成一个

配置说明

1. 使用 Syslog 采集报警日志

通常单条报警日志都会超过 1KB,所以你只能使用 Syslog TCP 方式传输日志。

打开 <app_home>/rasp/conf/openrasp.yml,增加如下内容(注意修正 syslog 服务器地址和端口

syslog.enable: true
syslog.url: tcp://X.X.X.X:XXX

修改后立即生效。

2. 开启日志限速

当插件需要打印大量调试日志时,你可以开启日志限速功能,防止对服务器的性能产生影响

打开 rasp-log4j.xml,找到你要限速的 <appender> 节点,添加如下内容

<filter class="com.baidu.openrasp.messaging.BurstFilter">
    <param name="maxBurst" value="100" />
    <param name="refillAmount" value="100" />
    <param name="refillInterval" value="60" />
</filter>

这表示在 在60秒内,最多打印100条日志

修改后重启应用服务生效