背景描述

  我们知道,ProxySG可以使用ICAP协议与DLP联动,将上传的对象送到网络层DLP中做敏感信息扫描并实时阻挡,但能否将阻挡的信息通过access log的方式记录下来呢?

需求分析

  在分析这个需求前,我们需要先知道ProxySG是如何记录Access Log的,Access Log是ProxySG区别于Syslog的一块独立的日志,它可以记录下来client到ProxySG,以及ProxySG到OCS的访问行为,通过将这部分日志发到Splunk等SIEM平台,可以为SOC人员提供更加丰富的分析视角。ProxySG对Access Log的记录其实就是抓取请求或响应报头中的字段,并将其塞到指定的位置,默认的Access Log字段极其鸡肋,所以,为了实现我们的目的,可以用自定义log format的方式自主设计Access Log。

ICAP协议简述

  这个协议其实不是很复杂,从数据包中看,它和HTTP协议非常相像,ICAP协议也是请求响应模式,也大量使用各种报头记录各种信息,连返回代码都照抄HTTP协议,比如下面这个ICAP响应数据包

  这是CAS返回给SG的响应头部,表达的是CAS发现了病毒,病毒名称为EICAR-TEST-FILE,从X-Virus-Details中可以看到详细信息,比如这个“X-Virus-Details”就可以直接作为日志字段,放入ProxySG的Access Log Format中。

能否记录DLP日志

  回到正题,SGOS在6.5.9.2版本以后引入了两个新的Access Log字段,分别是x-icap-reqmod-header()和x-icap-respmod-header(),这两个字段后面的括号可以写任意的ICAP请求/响应报头名称,去抓取相应的报头内容。
  这两个字段不在默认的Main和BCReporter格式里,需要自己新建一个日志格式,在自建的日志格式中加入这两个字段。但其实从下面这个被DLP阻挡的ICAP响应包中可以看到,DLP返回的ICAP报头中其实没有相关的字段说明该文件被阻挡了,只是在ICAP body中有此信息,所以,只要报头中没有,Access Log就无法记录。结论就是:ProxySG仅能记录文件被送到了DLP,但是否被DLP阻挡,需要调取DLP的日志才可以。

ProxySG 记录被DLP阻挡的日志相关推荐

  1. nginx不记录指定文件类型的日志

    不记录指定文件类型的日志 server{     listen 80;     server_name www.test1.com www.aaa1.com www.bbb1.com;     if ...

  2. 2.在某应用软件中需要记录业务方法的调用日志,在不修改现有业务类的基础上为每一个类提供一个日志记录代理类,在代理类中输出日志,例如在业务方法 method() 调用之前输出“方法 method() 被

    2.在某应用软件中需要记录业务方法的调用日志,在不修改现有业务类的基础上为每一个类提供一个日志记录代理类,在代理类中输出日志,例如在业务方法 method() 调用之前输出"方法 metho ...

  3. ASP.NET Web API 记录请求响应数据到日志的一个方法

    原文:ASP.NET Web API 记录请求响应数据到日志的一个方法 原文:http://blog.bossma.cn/dotnet/asp-net-web-api-log-request-resp ...

  4. IP记录Linux所有用户操作日志的方法(附脚本)

    按时按登录IP记录Linux所有用户操作日志的方法(附脚本) 标签: IP记录,Linux,总结,按时,方法,日志,用户操作,脚本.PS:Linux用户操作记录一般通过命令history来查看历史记录 ...

  5. 恒大ems时间插件java0_ems 员工管理系统。包括 ,部门,职位的增删改查;考勤记录,薪资结算,日志和意见箱等 Java Develop 249万源代码下载- www.pudn.com...

    文件名称: ems下载  收藏√  [ 5  4  3  2  1 ] 开发工具: Java 文件大小: 6480 KB 上传时间: 2016-01-05 下载次数: 0 详细说明:员工管理系统.包括 ...

  6. go语言web开发系列之五:gin用zap+file-rotatelogs实现日志记录及按日期切分日志

    一,安装需要用到的库: 1,安装zap日志库: liuhongdi@ku:/data/liuhongdi/zaplog$ go get -u go.uber.org/zap 2,安装go-file-r ...

  7. 4.36域名重定向4.37用户认证4.38Nginx访问日志4.39日志不记录静态文件4.40日志切割...

    2019独角兽企业重金招聘Python工程师标准>>> 域名重定向 用户认证 Nginx访问日志 日志不记录静态文件 日志切割 域名重定向 配置第二个域名: vi /etc/ngin ...

  8. 审计文件的作用以及记录的内容,审计日志的记录,以及审计日志包括的内容

    对DBA(数据库管理员)而言,审计就是记录数据库中正在作什么的过程. 审计文件的作用 审计功能把用户对数据库的所有操作自动记录下来,放入审计日志中,审计员可以利用审计日志监控数据库中的各种行为,重现导 ...

  9. 用Java代码实现日志记录器_如何在此简单的Java日志记录实现中附加到日志文件? - java...

    我得到了以下用于创建和管理Logger的类.每当执行代码和程序时,都会使用对静态getLogger()捕获块的调用进行记录. public class Log { private static fin ...

最新文章

  1. 计算机录入技能考试题,计算机文字录入员高级技能考试试卷
  2. 4)PHP命名规则,传值方式
  3. Python A+B问题
  4. 多人互砍游戏的后台服务器的多线程架构
  5. 绝非偶然 苹果iPhone领先5年背后的迷思 【推荐】
  6. js 控制浏览器窗口大小
  7. Pandas条件筛选 | Python技能树征题
  8. linux下添加服务,Linux下添加服务
  9. MySQL数据库如何管理与维护_mysql数据库的管理与维护
  10. SQL View 的使用语法与原则
  11. 回调函数总结(个人见解)
  12. Android SlidingMenu 仿网易新闻客户端布局
  13. 认真学习系列:Linux原理——《趣谈linux》学习笔记
  14. 计算机之间是如何进行通信的?;详解三次握手和四次挥手
  15. python模块基础之OS模块
  16. 20181109_任务
  17. 公募权益类基金投资者盈利洞察报告
  18. Android MVVM开发框架
  19. Redis缓存雪崩解决方案
  20. 如何用MATLAB加速,使用MATLAB加速C/C++算法开发

热门文章

  1. 免费资源丨全新版三维制作cinema4D自学零基础教程
  2. 【2019CVPR学习】翻译-Graph Attention Convolution for Point Cloud Semantic Segmentation
  3. 我们的宇宙在不断分裂?它可能只是量子多重宇宙一支
  4. 机械臂-运动轨迹(简单整理)
  5. 汇编语言与计算机硬件有关吗,汇编语言和硬件的关系
  6. 宅在家学不进去吗?试试这些 GitHub 上简单易学的游戏项目吧
  7. 一切换页面word就自动右移动解决方案
  8. 30个好用的ERP开源项目
  9. 云智原生定义紫光云3.0,全面提速数字化转型升级
  10. BSGS exBSGS学习笔记