Rootless-Ghost/Log-Analyzer
GitHub: Rootless-Ghost/Log-Analyzer
一款基于 Python 的安全日志分析工具,帮助 SOC 分析师解析日志并检测可疑活动。
Stars: 0 | Forks: 0
# 📁 日志分析器
一个基于 Python 的安全日志分析工具,专为 SOC 分析师设计。解析日志文件、检测可疑活动并生成可操作的报告。
## 功能
- **日志解析**:支持 Windows 安全事件日志(.evtx、.csv)和 Linux 认证日志
- **威胁检测**:识别可疑模式,包括:
- 失败登录尝试(暴力破解检测)
- 非常规时间登录
- 权限提升事件
- 账户锁定
- **报告生成**:生成具有严重性评级的清晰、可读报告
## 演示
### 分析输出
## 安装
```
git clone https://github.com/YOUR_USERNAME/log-analyzer.git
cd log-analyzer
pip install -r requirements.txt
```
## 用法
```
# 分析 Windows 安全事件日志(CSV 导出)
python src/log_analyzer.py --input samples/security_log.csv --type windows
# 分析 Linux 身份验证日志
python src/log_analyzer.py --input /var/log/auth.log --type linux
# 生成 HTML 报告
python src/log_analyzer.py --input samples/security_log.csv --type windows --report html
```
## 项目结构
```
log-analyzer/
├── src/
│ ├── log_analyzer.py # Main script
│ ├── parsers/ # Log parsing modules
│ ├── detectors/ # Detection rule modules
│ └── reporters/ # Report generation
├── samples/ # Sample log files for testing
├── output/ # Generated reports
├── tests/ # Unit tests
├── config.yaml # Configuration file
├── requirements.txt
└── README.md
```
## 检测规则
| 规则 | 描述 | 严重性 |
|------|-------------|----------|
| 暴力破解 | 5 分钟内来自同一来源的 5 次以上失败登录 | 高 |
| 非常规时间登录 | 00:00–05:00 之间的成功登录 | 中 |
| 权限提升 | 用户被添加到管理员/特权组 | 高 |
| 账户锁定 | 检测到账户锁定事件 | 中 |
## 路线图
- [x] 项目初始化
- [ ] Windows 事件日志解析器(CSV)
- [ ] 基础检测规则
- [ ] 终端输出
- [ ] HTML 报告生成
- [ ] Linux auth.log 解析器
- [ ] IP 信誉查询(VirusTotal/AbuseIPDB)
- [ ] 可通过配置自定义检测规则
## 许可证
本项目采用 MIT 许可证授权——详情请参阅 [LICENSE](LICENSE) 文件。
由 [Rootless-Ghost](https://github.com/Rootless-Ghost) 构建